sbo41sp1 bip admin it

sbo41sp1 bip admin it
Manuale dell'amministratore della piattaforma Business Intelligence
■ SAP BusinessObjects Business Intelligence platform 4.1 Support Package 1
2013-09-19
Copyright
© 2013 SAP AG o una sua affiliata. Tutti i diritti riservati.Non è ammessa la riproduzione o la
trasmissione del presente documento, né di alcuna delle sue parti, in qualsiasi formato o per qualsiasi
fine senza l’esplicita autorizzazione di SAP AG. Le informazioni qui contenute sono soggette a modifica
senza preavviso. Alcuni prodotti software commercializzati da SAP AG e dai suoi distributori
contengono componenti software di proprietà di altri produttori di software. Le specifiche nazionali
dei prodotti possono variare. Tali informazioni sono fornite da SAP AG e dalle sue affiliate (“Gruppo
SAP”) solo a scopo informativo, senza alcun fine illustrativo o di garanzia di qualsiasi natura; il Gruppo
SAP non si assume alcuna responsabilità per eventuali errori od omissioni presenti nelle informazioni.
Le uniche garanzie applicabili ai prodotti e ai servizi del Gruppo SAP sono quelle espressamente
menzionate nelle apposite clausole contrattuali eventualmente previste per i singoli prodotti o servizi.
Nessuna parte del presente documento è da interpretarsi come garanzia aggiuntiva. SAP e gli altri
prodotti e servizi SAP qui menzionati, nonché i relativi loghi, sono marchi o marchi registrati di SAP
AG in Germania e in altri Paesi. Per ulteriori informazioni e comunicazioni sui marchi consultare
http://www.sap.com/italy/about/company/legal/copyright/index.epx.
2013-09-19
Sommario
3
Capitolo 1
Cronologia del documento....................................................................................................21
Capitolo 2
Introduzione..........................................................................................................................23
2.1
2.1.1
2.1.2
2.1.3
2.1.4
2.2
2.2.1
2.2.2
2.2.3
Informazioni sul manuale........................................................................................................23
Capitolo 3
Architettura...........................................................................................................................35
3.1
3.1.1
3.1.2
3.1.3
3.1.4
3.1.5
3.1.6
3.1.7
3.1.8
3.1.9
3.1.10
3.1.11
3.2
3.2.1
3.2.2
3.2.3
3.2.4
3.2.5
Presentazione dell'architettura................................................................................................35
Destinatari del manuale..........................................................................................................23
Informazioni sulla piattaforma Business Intelligence ...............................................................23
Variabili..................................................................................................................................24
Terminologia..........................................................................................................................24
Prima di iniziare......................................................................................................................26
Concetti fondamentali............................................................................................................26
Strumenti di amministrazione principali...................................................................................29
Attività principali.....................................................................................................................31
Diagramma componenti.........................................................................................................36
Livelli architettura...................................................................................................................37
Database...............................................................................................................................38
Server, host e cluster.............................................................................................................39
Server di applicazioni Web.....................................................................................................39
Software Development Kit.....................................................................................................41
Origini dati..............................................................................................................................43
Autenticazione e Single Sign On............................................................................................44
Integrazione SAP...................................................................................................................46
Controllo integrato delle versioni............................................................................................47
Percorso di aggiornamento....................................................................................................47
Server, servizi, nodi e host.....................................................................................................47
Modifiche al server dalla versione XI 3.1................................................................................49
Servizi....................................................................................................................................51
Categorie di servizio...............................................................................................................59
Tipi di server..........................................................................................................................63
Server....................................................................................................................................69
2013-09-19
Sommario
4
3.3
3.3.1
Applicazioni client...................................................................................................................71
3.3.2
3.3.3
3.3.4
3.4
3.4.1
3.4.2
3.4.3
3.4.4
3.4.5
Installato con la piattaforma SAP BusinessObjects Business Intelligence...............................76
Capitolo 4
Configurazione guidata del sistema......................................................................................95
4.1
4.2
4.3
4.4
4.5
4.6
4.6.1
Introduzione alla Configurazione guidata del sistema..............................................................95
Capitolo 5
Gestione delle licenze.........................................................................................................105
5.1
5.1.1
5.1.2
5.1.3
Gestione dei codici di licenza...............................................................................................105
Capitolo 6
Gestione di utenti e gruppi..................................................................................................107
6.1
6.1.1
6.1.2
6.1.3
6.2
6.2.1
6.2.2
6.2.3
6.2.4
6.2.5
6.2.6
Panoramica della gestione dei server...................................................................................107
Installato con gli Strumenti client della piattaforma SAP BusinessObjects Business
Intelligence.............................................................................................................................72
Disponibile separatamente.....................................................................................................77
Client di applicazioni Web.......................................................................................................79
Workflow del processo..........................................................................................................83
Avvio e autenticazione............................................................................................................83
Oggetti programma................................................................................................................85
Crystal Reports......................................................................................................................86
Web Intelligence....................................................................................................................91
Analisi....................................................................................................................................93
Specifica dei prodotti utilizzati................................................................................................95
Scelta di un modello di distribuzione.......................................................................................97
Specifica dei percorsi delle cartelle di dati..............................................................................98
Verifica delle modifiche........................................................................................................100
File di registro e file di risposta.............................................................................................100
Utilizzo di un file di risposta..................................................................................................101
Visualizzazione delle informazioni sulle licenze......................................................................105
Per aggiungere un codice di licenza......................................................................................105
Visualizzazione dell'attività dell'account corrente..................................................................106
Gestione utenti....................................................................................................................107
Gestione gruppi...................................................................................................................108
Tipi di autenticazione disponibili ...........................................................................................109
Gestione di account Enterprise e generali............................................................................111
Per creare un account utente...............................................................................................111
Per modificare un account utente.........................................................................................112
Per eliminare un account utente...........................................................................................113
Per creare un nuovo gruppo.................................................................................................114
Per modificare le proprietà di un gruppo...............................................................................114
Per visualizzare i membri del gruppo.....................................................................................114
2013-09-19
Sommario
5
6.2.7
6.2.8
6.2.9
6.2.10
6.2.11
6.2.12
6.2.13
6.2.14
6.2.15
6.2.16
6.3
6.3.1
6.3.2
6.3.3
6.3.4
6.3.5
Per aggiungere i sottogruppi................................................................................................115
Capitolo 7
Impostazione dei diritti........................................................................................................129
7.1
7.1.1
7.1.2
7.1.3
7.1.4
7.1.5
7.2
7.2.1
7.2.2
7.2.3
7.2.4
7.2.5
7.3
7.3.1
7.3.2
7.3.3
7.3.4
7.3.5
7.3.6
7.3.7
7.3.8
7.4
7.4.1
Funzionamento dei diritti nella piattaforma BI........................................................................129
Per specificare l'appartenenza al gruppo..............................................................................115
Per eliminare un gruppo........................................................................................................116
Aggiunta in blocco di utenti o gruppi di utenti.......................................................................116
Per abilitare l'account Guest.................................................................................................117
Aggiunta di utenti ai gruppi...................................................................................................117
Modifica delle impostazioni password..................................................................................119
Concessione del diritto di accesso a utenti e gruppi.............................................................121
Controllo dell'accesso alle caselle di posta in entrata dell'utente..........................................121
Configurazione delle opzioni di BI Launch Pad......................................................................121
Gestione degli alias..............................................................................................................125
Per creare un utente e aggiungere un alias di terze parti.......................................................125
Per creare un nuovo alias per un utente esistente................................................................126
Per assegnare un alias da un altro utente.............................................................................127
Eliminazione di un alias.........................................................................................................127
Per disattivare un alias.........................................................................................................128
Livelli di accesso..................................................................................................................129
Impostazioni dei diritti avanzati.............................................................................................130
Ereditarietà...........................................................................................................................131
Diritti specifici del tipo..........................................................................................................136
Determinazione dei diritti effettivi.........................................................................................137
Gestione delle impostazioni di protezione per gli oggetti nella CMC.....................................138
Per visualizzare i diritti per un principale su un oggetto.........................................................139
Per assegnare principali a un elenco di controllo di accesso per un oggetto.........................140
Per modificare la protezione per un principale su un oggetto................................................140
Impostazione dei diritti su una cartella di livello superiore nella piattaforma BI.......................141
Controllo impostazioni di protezione per un principale..........................................................141
Utilizzo di livelli di accesso....................................................................................................144
Scelta tra i livelli di accesso Visualizza e Visualizza su richiesta............................................146
Per copiare un livello di accesso esistente...........................................................................147
Per creare un nuovo livello di accesso..................................................................................148
Per rinominare un livello di accesso......................................................................................148
Per eliminare un livello di accesso........................................................................................148
Per modificare i diritti in un livello di accesso........................................................................149
Analisi e relazione tra livelli di accesso e oggetti...................................................................150
Gestione dei livelli di accesso tra i siti..................................................................................150
Interruzione dell'ereditarietà..................................................................................................151
Per disabilitare l'eredità........................................................................................................152
2013-09-19
Sommario
6
7.5
7.5.1
7.5.2
7.6
Utilizzo dei diritti per delegare l'amministrazione...................................................................153
Capitolo 8
Protezione della piattaforma BI...........................................................................................159
8.1
8.2
8.3
8.4
8.5
8.5.1
8.5.2
8.6
8.6.1
8.7
8.7.1
8.7.2
8.8
8.9
8.9.1
8.9.2
8.9.3
8.9.4
8.9.5
8.10
8.11
8.11.1
8.12
8.12.1
8.12.2
8.12.3
8.13
8.13.1
8.13.2
8.13.3
8.14
8.14.1
8.14.2
8.15
8.15.1
Panoramica della protezione ................................................................................................159
Scelta tra le opzioni Modificare i diritti che gli utenti hanno sugli oggetti...............................155
Diritti del proprietario............................................................................................................156
Riepilogo delle indicazioni per l'amministrazione dei diritti.....................................................156
Pianificazione del ripristino d'emergenza...............................................................................159
Raccomandazioni generali per la protezione della distribuzione.............................................160
Configurazione della protezione per server di terze parti in bundle........................................161
Relazione di trust attiva........................................................................................................161
Token di accesso.................................................................................................................161
Meccanismo dei ticket per la distribuzione della protezione..................................................162
Sessioni e registrazione delle sessioni.................................................................................163
Registrazione delle sessioni CMS........................................................................................163
Protezione dell'ambiente......................................................................................................164
Da browser a server Web....................................................................................................164
Comunicazione tra il server Web e la piattaforma BI.............................................................164
Controllo delle modifiche alla configurazione della protezione ..............................................165
Controllo dell'attività sul Web...............................................................................................165
Protezione contro tentativi di accesso non autorizzati...........................................................165
Limitazioni relative alle password..........................................................................................166
Limitazioni relative all'accesso..............................................................................................166
Limitazioni per l'utente..........................................................................................................166
Limitazioni all'account Guest................................................................................................167
Estensioni di elaborazione....................................................................................................167
Panoramica della protezione dei dati della piattaforma BI......................................................168
Modalità di protezione dell'elaborazione dei dati...................................................................168
Crittografia nella piattaforma BI............................................................................................170
Utilizzo delle chiavi cluster....................................................................................................171
Responsabili crittografia.......................................................................................................174
Gestione delle chiavi di crittografia in CMC..........................................................................175
Configurazione dei server per SSL.......................................................................................180
Creazione di file di chiavi e certificati....................................................................................180
Impostazione di SSL quando il certificato viene gestito da un'autorità di certificazione.........182
Configurazione del protocollo SSL.......................................................................................184
Informazioni sulla comunicazione tra componenti della piattaforma BI ..................................189
Panoramica dei server della piattaforma BI e delle porte di comunicazione...........................189
Comunicazione tra componenti della piattaforma BI ............................................................191
Configurazione della piattaforma BI per i firewall...................................................................199
Per configurare il sistema per i firewall.................................................................................200
2013-09-19
Sommario
7
8.15.2
8.16
8.16.1
8.16.2
Debug di una distribuzione con firewall.................................................................................203
8.17
8.17.1
8.17.2
8.17.3
8.17.4
8.17.5
8.18
8.18.1
8.18.2
8.19
8.19.1
8.19.2
8.19.3
8.19.4
8.19.5
8.20
8.20.1
8.20.2
8.20.3
Impostazioni firewall per gli ambienti integrati.......................................................................209
Capitolo 9
Autenticazione....................................................................................................................231
9.1
9.1.1
9.1.2
9.1.3
9.2
9.2.1
9.2.2
9.2.3
9.2.4
9.2.5
9.3
9.3.1
9.3.2
9.3.3
9.4
Opzioni di autenticazione nella piattaforma BI.......................................................................231
Esempi di scenari di firewall tipici..........................................................................................204
Esempio: livello applicazione distribuito su una rete separata................................................204
Esempio: livello thick client e database separato dai server della piattaforma BI mediante un
firewall.................................................................................................................................207
Linee guida specifiche del firewall per Oracle EBS...............................................................210
Configurazione del firewall per l'integrazione con JD Edwards EnterpriseOne......................212
Linee guida specifiche del firewall per Oracle EBS...............................................................213
Configurazione del firewall per l'integrazione con PeopleSoft Enterprise ..............................214
Configurazione del firewall per l'integrazione con Siebel.......................................................216
Piattaforma BI e server proxy inverso ..................................................................................218
Server reverse proxy supportati ..........................................................................................218
Distribuzione delle applicazioni Web ....................................................................................218
Configurazione di server proxy inverso per applicazioni Web della piattaforma BI.................219
Istruzioni dettagliate per la configurazione di server reverse proxy........................................219
Per configurare il server reverse proxy.................................................................................220
Per configurare il server proxy inverso Apache 2.2 per la piattaforma BI .............................220
Per configurare il server proxy inverso WebSEAL 6.0 per la piattaforma BI .........................220
Per configurare Microsoft ISA 2006 per la piattaforma BI ....................................................221
Configurazione speciale per la piattaforma BI in distribuzioni di proxy inversi........................223
Abilitazione del proxy inverso per Servizi Web......................................................................223
Abilitazione del percorso principale per i cookie di sessione per ISA 2006...........................226
Abilitazione di reverse proxy per SAP BusinessObjects Live Office......................................228
Autenticazione principale......................................................................................................232
Plug-in di protezione.............................................................................................................233
Single Sign On alla piattaforma BI........................................................................................234
autenticazione Enterprise.....................................................................................................236
Presentazione dell'autenticazione Enterprise........................................................................236
Impostazioni di autenticazione Enterprise.............................................................................236
Modifica delle impostazioni del database..............................................................................237
Abilitazione dell'Autenticazione affidabile..............................................................................239
Configurazione dell'Autenticazione affidabile per l'applicazione Web.....................................241
Autenticazione LDAP...........................................................................................................250
Utilizzo dell'autenticazione LDAP..........................................................................................251
Configurazione dell'autenticazione LDAP.............................................................................253
Mappatura di gruppi LDAP...................................................................................................263
Autenticazione Windows AD................................................................................................273
2013-09-19
Sommario
8
9.4.1
9.4.2
9.4.3
9.4.4
9.4.5
9.4.6
9.4.7
9.5
9.5.1
9.5.2
9.5.3
9.5.4
9.5.5
9.5.6
9.5.7
9.5.8
9.6
9.6.1
9.6.2
9.6.3
9.6.4
9.6.5
9.7
9.7.1
9.7.2
9.7.3
9.7.4
9.8
9.8.1
9.8.2
9.8.3
9.9
9.9.1
9.9.2
9.9.3
9.9.4
9.9.5
Utilizzo dell'autenticazione Windows AD..............................................................................273
Capitolo 10
Amministrazione del server.................................................................................................377
10.1
10.2
Utilizzo dell'area di gestione Server della console CMC.......................................................377
Preparazione del controller di dominio..................................................................................274
Configurazione dell'autenticazione AD nella CMC................................................................275
Configurazione del servizio della piattaforma BI per l'esecuzione del SIA..............................282
Configurazione del server di applicazioni Web per l'autenticazione AD.................................284
Impostazione del Single Sign On .........................................................................................292
Risoluzione dei problemi relativi all'autenticazione Windows AD...........................................306
Autenticazione SAP.............................................................................................................308
Configurazione dell'autenticazione SAP ...............................................................................308
Creazione di un account utente per la piattaforma BI............................................................309
Connessione ai sistemi di autorizzazione SAP......................................................................310
Impostazione delle opzioni di autenticazione SAP.................................................................312
Importazione dei ruoli SAP ..................................................................................................317
Configurazione di Secure Network Communication (SNC)...................................................321
Impostazione del Single Sign On nel sistema SAP...............................................................334
Configurazione di SSO per SAP Crystal Reports e SAP NetWeaver...................................338
Autenticazione PeopleSoft...................................................................................................339
Panoramica..........................................................................................................................339
Abilitazione dell'autenticazione PeopleSoft Enterprise..........................................................339
Mappatura di ruoli PeopleSoft alla piattaforma BI.................................................................340
Pianificazione degli aggiornamenti utente.............................................................................344
Utilizzo del Ponte di protezione PeopleSoft..........................................................................345
Autenticazione JD Edwards..................................................................................................356
Panoramica..........................................................................................................................356
Abilitazione dell'autenticazione JD Edwards EnterpriseOne..................................................356
Mappatura dei ruoli JD Edwards EnterpriseOne alla piattaforma BI.......................................357
Pianificazione degli aggiornamenti utente.............................................................................360
Autenticazione Siebel...........................................................................................................362
Abilitazione dell'autenticazione Siebel...................................................................................362
Mappatura di ruoli alla piattaforma BI....................................................................................363
Pianificazione degli aggiornamenti utente.............................................................................366
Autenticazione Oracle EBS..................................................................................................368
Abilitazione dell'autenticazione Oracle EBS..........................................................................368
Mappatura dei ruoli Oracle E-Business Suite alla piattaforma BI...........................................369
Eliminazione mappatura ruoli ................................................................................................373
Personalizzazione dei diritti per gruppi e utenti Oracle EBS mappati ....................................373
Configurazione del Single Sign On (SSO) per SAP Crystal Reports e Oracle EBS...............375
Gestione dei server mediante gli script in Windows ............................................................380
2013-09-19
Sommario
10.3
10.4
10.4.1
10.4.2
10.4.3
10.4.4
10.5
10.5.1
10.6
10.6.1
10.7
10.7.1
10.7.2
10.7.3
10.7.4
10.8
10.9
10.9.1
10.9.2
10.9.3
10.9.4
10.10
10.10.1
10.10.2
10.10.3
10.11
10.11.1
10.11.2
10.11.3
10.11.4
10.12
10.12.1
10.12.2
10.12.3
10.12.4
10.12.5
10.12.6
10.12.7
10.12.8
10.12.9
10.13
9
Gestione dei server in Unix .................................................................................................381
Visualizzazione e modifica dello stato del server...................................................................381
Visualizzazione dello stato dei server...................................................................................381
Avvio, arresto e riavvio dei server........................................................................................383
Arresto di Central Management Server................................................................................385
Abilitazione e disabilitazione dei server.................................................................................386
Aggiunta, duplicazione o eliminazione di server....................................................................387
Aggiunta, duplicazione ed eliminazione di server...................................................................387
Cluster di Central Management Server................................................................................391
Cluster di Central Management Server................................................................................391
Gestione di gruppi di server.................................................................................................395
Creazione di un gruppo di server..........................................................................................396
Utilizzo di sottogruppi di server............................................................................................397
Modifica dell’appartenenza di gruppo di un server................................................................398
Accesso degli utenti a server e gruppi di server...................................................................399
Configurazione degli Adaptive Processing Server per i sistemi di produzione.......................400
Valutazione delle prestazioni del sistema..............................................................................401
Monitoraggio dei server della piattaforma BI.........................................................................401
Analisi delle specifiche dei server.........................................................................................401
Visualizzazione delle specifiche del sistema.........................................................................402
Registrazione dell’attività dei server.....................................................................................402
Configurazione delle impostazioni server..............................................................................403
Per modificare le proprietà di un server................................................................................404
Applicazione delle impostazioni dei servizi a più server.........................................................404
Utilizzo di modelli di configurazione......................................................................................405
Configurazione delle impostazioni di rete del server.............................................................407
Opzioni dell'ambiente di rete................................................................................................408
Opzioni di identificazione host del server..............................................................................408
Configurazione di un computer multi-home...........................................................................410
Configurazione dei numeri di porta.......................................................................................413
Gestione dei nodi.................................................................................................................416
Utilizzo dei nodi....................................................................................................................416
Aggiunta di un nuovo nodo...................................................................................................419
Ricreazione di un nodo.........................................................................................................423
Eliminazione di un nodo........................................................................................................427
Ridenominazione di un nodo.................................................................................................429
Spostamento di un nodo......................................................................................................430
Parametri script....................................................................................................................434
Aggiunta di dipendenze dei server Windows........................................................................439
Modifica delle credenziali utente per un nodo.......................................................................440
Assegnazione di un nuovo nome a un computer in una distribuzione della piattaforma BI.....441
2013-09-19
Sommario
10
10.13.1
10.13.2
10.13.3
10.14
10.15
10.15.1
10.15.2
Modifica dei nomi dei cluster................................................................................................441
Capitolo 11
Gestione dei database CMS (Central Management Server)...............................................451
11.1
11.1.1
11.1.2
11.2
11.2.1
11.2.2
11.3
11.3.1
11.3.2
11.4
11.4.1
11.4.2
11.4.3
Gestione delle connessioni di database di sistema CMS......................................................451
Capitolo 12
Gestione dei server del contenitore di applicazioni Web (WACS).....................................461
12.1
12.1.1
12.1.2
12.1.3
12.1.4
12.1.5
12.1.6
12.1.7
12.1.8
12.1.9
12.1.10
12.1.11
12.1.12
WACS.................................................................................................................................461
Capitolo 13
Backup e ripristino del sistema...........................................................................................501
13.1
Panoramica di backup e ripristino.........................................................................................501
Modifica di indirizzi IP...........................................................................................................441
Assegnazione di nuovi nomi ai computer..............................................................................443
Utilizzo di librerie a 32 e a 64 bit con la piattaforma BI..........................................................447
Gestione dei segnaposto per server e nodi..........................................................................448
Visualizzazione dei segnaposto server.................................................................................448
Visualizzazione e modifica dei segnaposto per un nodo........................................................448
Selezione di SQL Anywhere come database CMS...............................................................451
Selezione di SAP HANA come database CMS.....................................................................452
Selezione di un database CMS nuovo o esistente................................................................453
Selezione di un database CMS nuovo o esistente in Windows.............................................454
Per selezionare un database CMS nuovo o esistente in UNIX..............................................455
Ricreazione del database di sistema CMS............................................................................455
Nuova creazione del database di sistema CMS in Windows.................................................456
Per creare nuovamente il database di sistema CMS in UNIX................................................457
Copia dei dati da un database di sistema CMS a un altro.....................................................457
Preparazione per la copia di un database di sistema CMS....................................................458
Copia di un database di sistema CMS in Windows...............................................................458
Copia di dati da un database di sistema CMS in Unix...........................................................459
Server contenitore applicazioni Web (WACS)......................................................................461
Aggiunta o rimozione di WACS aggiuntivi alla distribuzione..................................................464
Aggiunta o rimozione di servizi dal server WACS.................................................................468
Configurazione di HTTPS/SSL.............................................................................................469
Metodi di autenticazione supportati......................................................................................473
Configurazione di AD Kerberos per server WACS ..............................................................473
Configurazione del Single Sign On AD Kerberos .................................................................480
Configurazione di servizi Web RESTful.................................................................................482
WACS e ambiente IT...........................................................................................................491
Configurazione delle proprietà delle applicazioni Web...........................................................494
Risoluzione dei problemi.......................................................................................................495
Proprietà del server WACS..................................................................................................499
2013-09-19
Sommario
11
13.2
13.3
13.4
13.4.1
13.4.2
13.4.3
13.5
13.5.1
13.5.2
13.5.3
13.6
Terminologia........................................................................................................................501
Capitolo 14
Copia della distribuzione della piattaforma BI....................................................................525
14.1
14.2
14.3
14.4
14.5
14.6
14.6.1
14.6.2
Panoramica della copia del sistema......................................................................................525
Capitolo 15
Gestione delle versioni.......................................................................................................539
15.1
15.2
15.2.1
15.2.2
15.3
15.4
Gestione di diverse versioni delle risorse BI ........................................................................539
Capitolo 16
Promotion Management......................................................................................................545
16.1
16.1.1
16.1.2
16.1.3
16.1.4
16.2
16.2.1
16.2.2
16.2.3
Promotion Management.......................................................................................................545
Casi d'uso per il backup e il ripristino...................................................................................503
Backup.................................................................................................................................505
Backup dell'intero sistema....................................................................................................506
Backup delle impostazioni server.........................................................................................509
Backup del contenuto BI......................................................................................................512
Ripristino del sistema...........................................................................................................512
Ripristino dell'intero sistema.................................................................................................513
Ripristino delle impostazioni server......................................................................................518
Ripristino del contenuto BI...................................................................................................521
Script BackupCluster e RestoreCluster...............................................................................521
Terminologia........................................................................................................................525
Casi di utilizzo per la copia del sistema.................................................................................526
Pianificazione della copia del sistema...................................................................................527
Considerazioni e limitazioni...................................................................................................528
Procedura di copia del sistema.............................................................................................530
Per eseguire l'esportazione da un sistema di origine.............................................................530
Per eseguire l'importazione in un sistema di destinazione.....................................................535
Utilizzo dell'opzione Impostazioni sistema gestione versioni.................................................540
Impostazione del sistema di gestione delle versioni ClearCase in Windows.........................541
Impostazione del sistema di gestione delle versioni ClearCase in Unix.................................541
Confronto tra versioni diverse dello stesso processo...........................................................542
Aggiornamento del contenuto di Subversion........................................................................542
Panoramica..........................................................................................................................545
Funzionalità..........................................................................................................................545
Diritti di accesso per l'applicazione.......................................................................................546
Supporto di WinAD in Promotion Management....................................................................547
Introduzione allo strumento Promotion Management............................................................547
Accesso all'applicazione Promotion Management................................................................547
Componenti dell'interfaccia utente.......................................................................................548
Utilizzo delle opzioni di impostazione....................................................................................550
2013-09-19
Sommario
12
16.3
16.3.1
16.3.2
16.3.3
16.3.4
16.3.5
16.3.6
16.3.7
16.3.8
16.3.9
16.3.10
16.3.11
16.3.12
16.3.13
16.4
16.4.1
16.4.2
16.5
16.5.1
16.5.2
16.5.3
16.5.4
16.6
16.6.1
16.6.2
16.6.3
Utilizzo dello strumento Promotion Management..................................................................556
Capitolo 17
Differenza visiva..................................................................................................................601
17.1
17.1.1
17.1.2
17.1.3
Differenza visiva nello strumento Promotion Management...................................................601
Capitolo 18
Gestione delle applicazioni.................................................................................................607
18.1
18.1.1
18.1.2
18.1.3
18.2
18.2.1
Gestione delle applicazioni mediante CMC..........................................................................607
Creazione ed eliminazione di cartelle....................................................................................557
Per creare un processo........................................................................................................558
Per creare un nuovo processo copiando un processo esistente ..........................................560
Per eseguire la ricerca di un processo..................................................................................561
Per modificare un processo..................................................................................................562
Per aggiungere un infoobject a un processo.........................................................................562
Per gestire le dipendenze di un processo.............................................................................563
Per eseguire la ricerca di oggetti dipendenti ........................................................................564
Per promuovere un processo quando i repository sono connessi.........................................565
Promozione di un processo mediante un file BIAR................................................................567
Per pianificare la promozione di un processo........................................................................570
Per visualizzare la cronologia di un processo........................................................................571
Per eseguire il rollback di un processo.................................................................................572
Per gestire versioni diverse di un infoobject.........................................................................575
Diritti di accesso dell'applicazione Gestione delle versioni ...................................................576
Backup e ripristino di file Subversion....................................................................................577
Utilizzo dell'opzione della riga di comando............................................................................578
Per eseguire lo strumento da riga di comando in Windows...................................................578
Per eseguire lo strumento da riga di comando in UNIX.........................................................579
Parametri degli strumenti della riga di comando....................................................................580
File delle proprietà di esempio..............................................................................................587
Utilizzo di Enhanced Change and Transport System.............................................................588
Prerequisiti...........................................................................................................................589
Per configurare la piattaforma BI e l'integrazione con CTS+.................................................589
Per promuovere un processo utilizzando CTS......................................................................597
Confronto di oggetti o file mediante la differenza visiva........................................................602
Confronto di oggetti o file nel sistema di gestione delle versioni...........................................603
Pianificazione del confronto..................................................................................................604
Panoramica..........................................................................................................................607
Impostazioni comuni per le applicazioni................................................................................608
Impostazioni specifiche dell'applicazione..............................................................................609
Gestione delle applicazioni mediante le proprietà BOE.war ..................................................652
File WAR BOE.....................................................................................................................652
2013-09-19
Sommario
13
18.3
18.3.1
18.3.2
18.3.3
18.4
18.4.1
18.4.2
18.4.3
Personalizzazione dei punti di ingresso per l'accesso a BI Launch Pad e OpenDocument.....663
Capitolo 19
Gestione di connessioni e universi.....................................................................................681
19.1
19.1.1
19.2
19.2.1
Gestione delle connessioni..................................................................................................681
Capitolo 20
Monitoraggio.......................................................................................................................685
20.1
20.2
20.2.1
20.3
20.3.1
20.3.2
20.4
20.4.1
20.4.2
20.4.3
20.5
20.5.1
20.5.2
20.6
20.7
20.7.1
20.7.2
20.7.3
20.7.4
20.7.5
20.7.6
Informazioni sul monitoraggio...............................................................................................685
Capitolo 21
Controllo.............................................................................................................................711
21.1
Panoramica..........................................................................................................................711
Percorsi dei file BI Launch Pad e OpenDocument................................................................663
Per definire una pagina di accesso personalizzata................................................................665
Aggiunta di un'autenticazione affidabile all'accesso..............................................................665
Personalizzazione dell'interfaccia Web Intelligence...............................................................666
Scheda Funzionalità.............................................................................................................667
Scheda Elementi dell'interfaccia utente................................................................................667
Per personalizzare l'aspetto dell'interfaccia Web Intelligence................................................678
Eliminazione di una connessione universo............................................................................681
Gestione degli universi.........................................................................................................682
Eliminazione di universi.........................................................................................................682
Termini relativi al monitoraggio.............................................................................................685
Architettura..........................................................................................................................687
Configurazione del supporto di database per il monitoraggio ...............................................688
Configurazione per l'utilizzo del database Derby...................................................................689
Configurazione per l'utilizzo del database di controllo...........................................................689
Proprietà di configurazione...................................................................................................696
URL dell'endpoint JMX.........................................................................................................701
Autenticazione HTTPS per le probe di monitoraggio.............................................................702
Crittografia delle password per le probe...............................................................................702
Integrazione con altre applicazioni........................................................................................703
Integrazione dell'applicazione di monitoraggio con IBM Tivoli................................................703
Integrazione dell'applicazione di monitoraggio con SAP Solution Manager ..........................706
Supporto cluster per il server di monitoraggio......................................................................706
Risoluzione dei problemi.......................................................................................................707
Cruscotto.............................................................................................................................707
Avvisi...................................................................................................................................707
Elenco di controlli.................................................................................................................708
Probe...................................................................................................................................708
Metriche..............................................................................................................................709
Grafico.................................................................................................................................709
2013-09-19
Sommario
14
21.2
21.2.1
21.2.2
21.2.3
21.3
21.3.1
Pagina di controllo CMC......................................................................................................717
Capitolo 22
Ricerca piattaforma.............................................................................................................753
22.1
22.1.1
22.1.2
22.2
22.2.1
22.2.2
22.2.3
22.3
22.3.1
22.3.2
22.3.3
22.4
Informazioni sul servizio di ricerca piattaforma......................................................................753
22.4.1
22.4.2
22.5
22.6
22.7
22.7.1
22.7.2
Creazione di un connettore nella funzionalità di ricerca di SAP NetWeaver Enterprise .........772
Capitolo 23
Federazione.........................................................................................................................779
23.1
23.2
23.3
23.3.1
23.3.2
23.3.3
23.3.4
23.3.5
23.4
23.4.1
Federation............................................................................................................................779
Stato del controllo................................................................................................................717
Configurazione del controllo eventi.......................................................................................719
Impostazioni di configurazione dell'archivio dati di controllo (ADS).......................................721
Eventi di controllo.................................................................................................................723
Eventi di controllo e dettagli.................................................................................................734
SDK applicazione di ricerca piattaforma...............................................................................753
Ambiente cluster..................................................................................................................754
Impostazione della ricerca piattaforma..................................................................................754
Distribuzione di OpenSearch................................................................................................754
Configurazione del proxy inverso..........................................................................................756
Configurazione delle proprietà dell'applicazione nella CMC..................................................757
Utilizzo della ricerca piattaforma...........................................................................................763
Indicizzazione del contenuto nel repository CMS..................................................................763
Elenco errori di indicizzazione ..............................................................................................764
Risultati della ricerca............................................................................................................764
Integrazione del servizio di ricerca piattaforma con la funzionalità di ricerca di SAP NetWeaver
Enterprise............................................................................................................................771
Importazione del ruolo di un utente nella piattaforma BI........................................................773
Ricerca dalla funzionalità di ricerca di NetWeaver Enterprise................................................773
Controllo..............................................................................................................................774
Risoluzione dei problemi.......................................................................................................775
Riparazione automatica........................................................................................................775
Scenari di problemi...............................................................................................................775
Termini correlati a Federation...............................................................................................780
Gestione dei diritti di protezione...........................................................................................782
Diritti richiesti sul sito di origine............................................................................................782
Diritti richiesti nel sito di destinazione...................................................................................783
Diritti specifici di Federation.................................................................................................784
Replica della protezione per un oggetto................................................................................786
Replica della protezione mediante i livelli di accesso.............................................................787
Opzioni di tipi e modalità di replica........................................................................................787
Replica unilaterale ...............................................................................................................788
2013-09-19
Sommario
15
23.4.2
23.4.3
23.5
23.6
23.7
23.7.1
23.7.2
23.8
23.8.1
23.8.2
23.9
23.9.1
23.9.2
23.9.3
23.9.4
23.10
23.10.1
23.10.2
23.10.3
23.11
23.11.1
23.11.2
23.12
23.12.1
23.12.2
23.12.3
23.13
23.13.1
23.13.2
23.13.3
23.14
23.14.1
23.14.2
23.14.3
23.14.4
23.15
23.15.1
23.15.2
Replica bilaterale .................................................................................................................788
Capitolo 24
Configurazioni supplementari per gli ambienti ERP............................................................827
24.1
Configurazioni per l'integrazione di SAP NetWeaver............................................................827
Aggiornamento da origine o da destinazione........................................................................789
Replica di utenti e gruppi di terze parti..................................................................................790
Replica di universi e connessioni agli universi.......................................................................791
Gestione degli elenchi di replica...........................................................................................792
Creazione di elenchi di replica..............................................................................................793
Modifica degli elenchi di replica............................................................................................795
Gestione delle connessioni remote......................................................................................796
Creazione di connessioni remote.........................................................................................797
Modifica delle connessioni remote.......................................................................................799
Gestione dei processi di replica...........................................................................................799
Creazione di processi di replica............................................................................................800
Pianificazione dei processi di replica.....................................................................................802
Modifica dei processi di replica............................................................................................803
Visualizzazione di un registro dopo un processo di replica....................................................803
Gestione dell'eliminazione di oggetti.....................................................................................804
Modalità di utilizzo dell'eliminazione di oggetti......................................................................804
Limiti dell'eliminazione di oggetti...........................................................................................805
Frequenza di eliminazione degli oggetti.................................................................................806
Gestione del rilevamento e della risoluzione dei conflitti.......................................................807
Risoluzione di conflitti di replica unilaterale...........................................................................807
Risoluzione conflitti di replica bilaterale.................................................................................809
Utilizzo dei Servizi Web in Federation...................................................................................812
Variabili di sessione .............................................................................................................812
Memorizzazione di file nella cache .......................................................................................812
Distribuzione personalizzata ................................................................................................813
Pianificazione remota e istanze eseguite localmente.............................................................814
Pianificazione remota...........................................................................................................814
Istanze eseguite localmente.................................................................................................816
Condivisione di istanze.........................................................................................................816
Importazione e promozione di contenuto replicato................................................................817
Importazione di contenuto replicato......................................................................................817
Importazione del contenuto replicato e continuazione della replica .......................................818
Promozione del contenuto da un ambiente di test................................................................819
Puntamento a un sito di destinazione...................................................................................819
Procedure consigliate...........................................................................................................820
Limitazioni della release corrente..........................................................................................823
Risoluzione dei messaggi di errore.......................................................................................824
2013-09-19
Sommario
16
24.1.1
24.2
24.2.1
24.2.2
24.3
24.3.1
24.3.2
24.3.3
24.4
24.4.1
Integrazione con SAP Netweaver Business Warehouse (BW)..............................................827
24.4.2
24.4.3
24.4.4
24.4.5
Creazione della voce di menu Crystal Reports.....................................................................887
Capitolo 25
Gestione e configurazione dei registri................................................................................895
25.1
25.2
25.3
25.3.1
25.3.2
25.3.3
25.4
25.4.1
25.4.2
25.5
25.5.1
25.6
Registrazione delle analisi dei componenti ...........................................................................895
Capitolo 26
Integrazione con SAP Solution Manager............................................................................909
26.1
26.2
26.3
26.3.1
26.3.2
26.3.3
26.4
26.4.1
26.4.2
Panoramica sull'integrazione.................................................................................................909
Configurazione per l'integrazione JD Edwards......................................................................879
Configurazione del Single Sign On (SSO) per SAP Crystal Reports.....................................879
Configurazione delle integrazioni di Secure Socket Layer per JD Edwards ..........................880
Configurazione per l'integrazione PeopleSoft Enterprise.......................................................881
Configurazione di Single Sign-On (SSO) per SAP Crystal Reports e PeopleSoft Enterprise..882
Configurazione per le comunicazioni Secure Sockets Layer.................................................883
Regolazione delle prestazioni per i sistemi PeopleSoft.........................................................885
Configurazione per l'integrazione Siebel...............................................................................886
Configurazione di Siebel per l'integrazione con la piattaforma SAP BusinessObjects Business
Intelligence...........................................................................................................................886
Contextual Awareness.........................................................................................................889
Configurazione di Single Sign-On (SSO) per SAP Crystal Reports e Siebel.........................891
Configurazione per le comunicazioni Secure Sockets Layer.................................................892
Livelli del registro di analisi...................................................................................................895
Configurazione dell'analisi per i server..................................................................................896
Per impostare il livello del registro nella console CMC.........................................................897
Per impostare il livello del registro per più server nella console CMC...................................897
Per configurare l'analisi del server tramite il file BO_trace.ini................................................898
Configurazione dell'analisi per le applicazioni Web................................................................900
Impostazione del livello del registro di analisi delle applicazioni Web nella CMC...................901
Per configurare le impostazioni di analisi utilizzando il file BO_trace.ini.................................901
Configurazione dell'analisi per Upgrade Management Tool...................................................906
Configurazione dell'analisi per Upgrade Management Tool...................................................906
Configurazione dell'analisi per le applicazioni client della piattaforma BI................................906
Elenco di controllo dell'integrazione di SAP Solution Manager..............................................909
Gestione della registrazione di System Landscape Directory...............................................910
Registrazione della piattaforma BI in System Landscape......................................................911
Quando viene attivata la registrazione SLD?........................................................................912
Registrazione della connettività SLD ...................................................................................912
Gestione degli agenti di Solution Manager Diagnostics........................................................913
Panoramica di Solution Manager Diagnostics (SMD)...........................................................913
Utilizzo degli agenti SMD.....................................................................................................913
2013-09-19
Sommario
17
26.4.3
26.5
26.5.1
26.5.2
26.5.3
26.5.4
26.6
Account utente SMAdmin....................................................................................................914
Capitolo 27
Amministrazione della riga di comando..............................................................................919
27.1
27.1.1
27.1.2
27.1.3
27.2
27.2.1
27.3
27.3.1
27.3.2
27.3.3
27.3.4
27.3.5
27.3.6
27.3.7
27.3.8
27.3.9
27.3.10
27.3.11
Script UNIX..........................................................................................................................919
Capitolo 28
Repository diagnostic tool .................................................................................................945
28.1
28.2
28.2.1
28.2.2
28.3
28.4
Panoramica dello Strumento di diagnostica del repository....................................................945
Capitolo 29
Appendice sui diritti............................................................................................................959
29.1
29.2
29.3
Appendice sui diritti..............................................................................................................959
Gestione della strumentazione delle prestazioni...................................................................915
Strumentazione delle prestazioni per la piattaforma BI..........................................................915
Impostazione della strumentazione delle prestazioni per la piattaforma BI.............................915
Strumentazione delle prestazioni per il livello Web...............................................................917
File di registro di strumentazione .........................................................................................917
Analisi con SAP Passport.....................................................................................................917
Utilità per gli script...............................................................................................................919
Modelli di script....................................................................................................................924
Script utilizzati nella piattaforma BI.......................................................................................925
Script Windows....................................................................................................................926
ccm.exe...............................................................................................................................926
Righe di comando server......................................................................................................930
Panoramica sulle righe di comando.......................................................................................930
Opzioni standard per tutti i server.........................................................................................931
Central Management Server................................................................................................932
Server di elaborazione Crystal Reports e Crystal Reports Cache Server.............................933
Server di elaborazione di Dashboards e Server cache di Dashboards..................................934
Job Server...........................................................................................................................936
Adaptive Processing Server.................................................................................................937
Report Application Server....................................................................................................937
Server di elaborazione Web Intelligence...............................................................................940
Input e Output File Repository Server..................................................................................941
Event Server........................................................................................................................943
Utilizzo dello strumento di diagnostica del repository............................................................946
Per utilizzare lo strumento Repository Diagnostic Tool.........................................................946
Parametri di Repository Diagnostic Tool...............................................................................947
Incoerenze tra CMS e FRS..................................................................................................954
Incoerenze nei metadati CMS..............................................................................................955
Diritti generali.......................................................................................................................959
Diritti per tipi di oggetti specifici...........................................................................................962
2013-09-19
Sommario
18
29.3.1
29.3.2
29.3.3
29.3.4
29.3.5
29.3.6
29.3.7
29.3.8
29.3.9
29.3.10
29.3.11
29.3.12
29.3.13
Diritti sulla cartella................................................................................................................962
Capitolo 30
Appendice sulle proprietà dei server..................................................................................993
30.1
30.1.1
30.1.2
30.1.3
30.1.4
30.1.5
30.1.6
30.1.7
30.1.8
Informazioni sull'appendice sulle proprietà dei server............................................................993
Capitolo 31
Appendice sulle metriche server.......................................................................................1041
31.1
31.1.1
31.1.2
31.1.3
31.1.4
31.1.5
31.1.6
31.1.7
31.1.8
31.1.9
31.1.10
31.1.11
Informazioni sull'appendice sulle metriche server................................................................1041
Categorie.............................................................................................................................962
Documenti Desktop Intelligence...........................................................................................963
Note....................................................................................................................................965
Report Crystal......................................................................................................................966
Documenti Web Intelligence.................................................................................................966
Utenti e gruppi.....................................................................................................................967
Livelli di accesso..................................................................................................................970
Diritti sugli universi (.unv) ....................................................................................................970
Diritti sugli universi (.unx) ....................................................................................................972
Livelli di accesso agli oggetti universo..................................................................................973
Diritti di connessione............................................................................................................974
Applicazioni..........................................................................................................................976
Proprietà comuni dei server..................................................................................................993
Proprietà dei servizi principali...............................................................................................996
Proprietà dei servizi di connettività.....................................................................................1011
Proprietà dei servizi Crystal Reports..................................................................................1016
Proprietà dei servizi Analysis..............................................................................................1026
Proprietà dei servizi Data Federation..................................................................................1028
Proprietà dei servizi di Web Intelligence.............................................................................1028
Proprietà dei servizi di Dashboards....................................................................................1037
Metriche server comuni .....................................................................................................1042
Metriche del Central Management Server..........................................................................1044
Metriche di Connection Server...........................................................................................1048
Metriche di Event Server....................................................................................................1049
Metriche del File Repository Server...................................................................................1050
Metriche di Adaptive Processing Server.............................................................................1050
Metriche del server del contenitore di applicazioni Web.....................................................1056
Metriche di Adaptive Job Server........................................................................................1057
Metriche di Crystal Reports Server....................................................................................1059
Metriche del server Web Intelligence.................................................................................1062
Metriche server di Dashboards..........................................................................................1064
2013-09-19
Sommario
Capitolo 32
Appendice: segnaposto per server e nodi.........................................................................1067
32.1
Segnaposto server e nodo.................................................................................................1067
Capitolo 33
Appendice: schema archivio dati di controllo...................................................................1079
33.1
33.2
33.3
Panoramica........................................................................................................................1079
Capitolo 34
Appendice sullo schema dei database di monitoraggio....................................................1091
34.1
Schema del database di tendenza......................................................................................1091
Capitolo 35
Appendice sul foglio di lavoro della copia di sistema.......................................................1095
35.1
Foglio di lavoro della copia del sistema...............................................................................1095
Appendice A
Ulteriori informazioni.........................................................................................................1097
Indice
19
Diagramma schema............................................................................................................1079
Tabelle dell'archivio dati di controllo....................................................................................1079
1099
2013-09-19
Sommario
20
2013-09-19
Cronologia del documento
Cronologia del documento
La seguente tabella contiene una panoramica delle modifiche principali apportate al documento.
Versione
Data
Descrizione
Piattaforma SAP BusinessObjects Business
Intelligence 4.1
Maggio
2013
Prima versione di questo documento.
Piattaforma SAP BusinessObjects Business
Intelligence 4.1 pacchetto di supporto 1
Agosto
2013
•
•
•
21
Il capitolo “Promotion Management” è stato aggiornato.
Il capitolo “Gestione delle licenze” è stato aggiornato.
Altre correzioni e aggiornamenti minori.
2013-09-19
Cronologia del documento
22
2013-09-19
Introduzione
Introduzione
2.1 Informazioni sul manuale
In questo manuale vengono fornite informazioni e procedure per la distribuzione e la configurazione
della piattaforma SAP BusinessObjects Business Intelligence (la “piattaforma BI”). Le procedure sono
fornite per le attività comuni. Le informazioni concettuali e i dettagli tecnici sono forniti per tutti gli
argomenti avanzati.
Per informazioni sull'installazione di questo prodotto, consultare il Manuale d'installazione della
piattaforma SAP BusinessObjects Business Intelligence.
2.1.1 Destinatari del manuale
Il manuale illustra le procedure di distribuzione e configurazione della piattaforma BI. È consigliabile
consultarlo se si intende eseguire una qualsiasi delle attività seguenti:
•
pianificare la prima distribuzione
•
configurare la prima distribuzione
•
apportare modifiche significative all'architettura di una distribuzione esistente
•
migliorare le prestazioni del sistema.
Questo manuale è destinato agli amministratori di sistema responsabili della configurazione, della
gestione e della manutenzione di un'installazione della piattaforma BI. La dimestichezza con il sistema
operativo e l'ambiente di rete è utile, così come una generale comprensione della gestione dei server
delle applicazioni Web e delle tecnologie relative agli script. Tuttavia, per fornire assistenza a tutti i
livelli di esperienza amministrativa, questo manuale mira a offrire informazioni complementari e
concettuali sufficienti a chiarire tutte le funzionalità e attività amministrative.
2.1.2 Informazioni sulla piattaforma Business Intelligence
23
2013-09-19
Introduzione
La piattaforma BI è una soluzione flessibile e scalabile per la distribuzione di informazioni agli utenti
finali in più formati, inclusi cruscotti e report interattivi, mediante un'applicazione Web: intranet, extranet,
Internet o portale aziendale. La piattaforma BI è una suite integrata per la creazione di report, l'analisi
e la distribuzione di informazioni, che offre una soluzione ideale per aumentare la produttività degli
utenti finali e ridurre l'onere delle attività amministrative. Sia che venga utilizzata per la distribuzione di
report settimanali sulle vendite, per la fornitura ai clienti di offerte di servizi personalizzati o per
l'integrazione di informazioni cruciali nei portali aziendali, la piattaforma BI garantisce sempre vantaggi
tangibili che riguardano l'intera azienda e non solo.
2.1.3 Variabili
In questo manuale vengono utilizzate le seguenti variabili.
Variabile
Descrizione
INSTALLDIR
La directory in cui viene installata la piattaforma BI.
Su un computer Windows, la directory predefinita è C:\Programmi (x86)\SAP
BusinessObjects\.
DIRPLATFORM64
Nome del sistema operativo Unix. I valori accettabili sono:
• aix_rs6000_64
• linux_x64
• solaris_sparcv9
• hpux_ia64
DIRSCRIPT
La directory in cui si trovano gli script di amministrazione della piattaforma BI.
In Windows la directory è DIRINSTALL\SAP BusinessObjects Enterprise
XI 4.0\win64_x64\scripts.
In Unix la directory è DIRINSTALL/sap_bobj/enterprise_xi40/DIRPLAT
FORM64/scripts.
2.1.4 Terminologia
In questa documentazione relativa alla piattaforma BI vengono utilizzati i termini seguenti:
aggiornamento
Tutte le attività di pianificazione, preparazione, migrazione e post-elaborazione necessarie
per completare un processo di migrazione.
24
2013-09-19
Introduzione
Archivio dati di controllo (ADS)
Il database utilizzato per la memorizzazione dei dati di controllo.
chiave cluster
Utilizzata per decrittografare le chiavi nel database CMS. È possibile modificare la chiave
cluster utilizzando CCM, ma non è possibile reimpostarla analogamente a una password.
Si tratta di una chiave di crittografia con la quale viene crittografato il contenuto e pertanto
è estremamente importante non perderla.
cluster
Un cluster è costituito da due o più server CMS (Central Management Server) che operano
insieme e utilizzano un singolo database CMS.
clustering
Indica la creazione di un cluster. Ad esempio, per creare un cluster:
1. Installare un CMS e un database CMS nel computer.
2. Installare un CMS nel computer B.
3. Fare in modo che il CMS sul computer B punti al database CMS sul computer A.
CMS
Central Management Server.
componenti aggiuntivi
Prodotti che interagiscono con la piattaforma BI ma dispongono del proprio programma
di installazione, ad esempio SAP BusinessObjects Explorer.
computer
Il software della piattaforma BI viene installato in un computer.
database CMS
Il database utilizzato dal CMS per memorizzare informazioni sulla piattaforma BI.
database in bundle; server di applicazioni Web in bundle
Il database o il server di applicazioni Web fornito con la piattaforma BI.
distribuzione
Il software della piattaforma BI installato, configurato e in esecuzione su uno o più computer.
installazione
Un'istanza dei file della piattaforma BI creati dal programma di installazione su un computer.
migrazione
Il processo di trasferimento del contenuto di Business Intelligence da una versione principale
precedente, ad esempio la versione XI 3.1, tramite Upgrade Management Tool. Non è
possibile eseguirlo per le distribuzioni con la stessa versione principale, vedere
“promozione”.
nodo
Un gruppo di server della piattaforma BI eseguiti sullo stesso computer e gestiti dallo
stesso agente SIA (Server Intelligence Agent).
Pacchetto di supporto
Aggiornamenti per una versione principale o secondaria.
25
2013-09-19
Introduzione
Patch
Aggiornamenti minimi per una specifica versione del pacchetto di supporto.
Piattaforma BI
Abbreviazione per piattaforma SAP BusinessObjects Business Intelligence.
promozione
Il processo di trasferimento del contenuto di Business Intelligence tra distribuzioni con la
stessa versione principale, ad esempio 4.0, tramite l'applicazione Promotion Management.
server
Un processo della piattaforma BI. Un server ospita uno o più servizi.
Server di applicazioni Web
Un server di applicazioni Web elabora contenuto dinamico, ad esempio il server di
applicazioni Web in bundle per 4.1 è Tomcat 7.
Server Intelligence Agent (SIA)
Un SIA è un processo che gestisce un gruppo di server. Le attività di gestione includono
l'arresto, l'avvio e il riavvio dei server.
versione principale
Versioni software, ad esempio 4.0.
versione secondaria
Versioni software, ad esempio 4.1.
2.2 Prima di iniziare
2.2.1 Concetti fondamentali
2.2.1.1 Server Intelligence
Server Intelligence è un componente fondamentale della piattaforma BI. Le modifiche applicate ai
processi del server nella Central Management Console (CMC) vengono estese agli oggetti server
corrispondenti dal Central Management Server (CMS). Server Intelligence Agent (SIA) viene utilizzato
per riavviare o chiudere automaticamente un server quando riscontra una condizione insolita e viene
utilizzato da un amministratore per gestire un nodo.
26
2013-09-19
Introduzione
CMS archivia le informazioni sui server nel database del sistema CMS per poter ripristinare in modo
semplice le impostazioni predefinite del server. Dal momento che SIA interroga periodicamente il CMS
affinché richieda informazioni sui server gestiti, SIA conosce lo stato in cui i server dovrebbero trovarsi
e quando agire.
Nota:
Un'installazione della piattaforma BI rappresenta un'istanza univoca dei file della piattaforma BI creati
dal programma di installazione su un computer. È possibile utilizzare un'istanza di un'installazione della
piattaforma BI solo all'interno di un singolo cluster. I nodi appartenenti a cluster differenti che condividono
la stessa installazione della piattaforma BI non sono supportati perché questo tipo di distribuzione non
può essere corretto né aggiornato. Solo le piattaforme Unix supportano più installazioni del software
sullo stesso computer, a condizione che ogni installazione venga eseguita con un account utente
univoco e venga installata in una cartella separata in modo da non condividere file con le altre
installazioni. Tenere presente che tutti i computer nel cluster devono presentare versione e livello patch
identici.
Argomenti correlati
• Server, host e cluster
2.2.1.2 Server, servizi, nodi e host
Nella piattaforma BI i termini server e servizio vengono utilizzati per fare riferimento ai due tipi di software
eseguiti su una piattaforma BI.
Il termine “server” viene utilizzato per descrivere un processo a livello di sistema operativo (in alcuni
sistemi viene definito daemon) che ospita uno o più servizi. Ad esempio, CMS e Adaptive Processing
Server sono server. Un server viene eseguito con un account di sistema operativo specifico e dispone
di un proprio PID.
Un servizio è un sottosistema del server che esegue una funzione specifica. Il servizio viene eseguito
nello spazio di memoria del relativo server con l'ID processo del contenitore principale (server). Ad
esempio, il servizio di pianificazione di Web Intelligence è un sottosistema eseguito in Adaptive Job
Server.
Un nodo è un insieme di server della piattaforma BI eseguiti nello stesso host e gestiti dallo stesso
Server Intelligence Agent (SIA). In un solo host possono trovarsi uno o più nodi.
La piattaforma BI può essere installata in un solo computer, suddivisa tra più computer connessi tra
loro in una Intranet o in una rete WAN.
Il diagramma che segue mostra un'installazione ipotetica della piattaforma BI. Nelle installazioni reali
il numero di host, nodi, server e servizi, nonché il tipo di server e di servizi è variabile.
27
2013-09-19
Introduzione
Due host formano il cluster denominato ProductionBISystem:
28
•
Nell'host denominato HostAlpha è installata la piattaforma BI. L'host è configurato per contenere
due nodi:
• NodeMercury include un Adaptive Job Server (NodeMercury.AJS) con servizi per la
pianificazione e la pubblicazione di report, un Input File Repository Server (NodeMercury.IFRS)
con un servizio che consente di memorizzare i report di input e un Output File Repository Server
(NodeMercury.OFRS) con un servizio che consente di memorizzare l'output dei report.
• NodeVenus include un Adaptive Processing Server (NodeVenus.APS) con servizi che forniscono
funzionalità per la pubblicazione, il monitoraggio e la traduzione, un Adaptive Processing Server
(NodeVenus.APS2) dotato di un servizio che fornisce il controllo dei client, e un Central
Management Server (NodeVenus.CMS) con un servizio che fornisce i servizi CMS.
•
Nell'host denominato HostBeta è installata la piattaforma BI. L'host è configurato per contenere tre
nodi:
• NodeMars contiene un Central Management Server (NodeMars.CMS) con un servizio che fornisce
i servizi CMS. La presenza di CMS su due computer consente il bilanciamento del carico e
funzionalità di prevenzione e failover.
• NodeJupiter contiene un server di elaborazione di Web Intelligence (NodeJupiter.Web
Intelligence) dotato di un servizio che fornisce la funzionalità di creazione di report Web
2013-09-19
Introduzione
•
Intelligence e un Event Server (NodeJupiter.EventServer) per consentire il monitoraggio
di report dei file.
NodeSaturn contiene un Adaptive Processing Server (NodeSaturn.APS) dotato di un servizio
che fornisce il controllo dei client.
2.2.2 Strumenti di amministrazione principali
2.2.2.1 Configurazione guidata del sistema
La Configurazione guidata del sistema è uno strumento che consente di configurare in modo semplice
e veloce la distribuzione della piattaforma BI. La procedura guida l'utente nella scelta delle opzioni di
configurazione di base fino a ottenere una distribuzione di lavoro che utilizza impostazioni comuni come
le seguenti:
•
•
•
i server dei prodotti che si desidera avviare automaticamente con la piattaforma BI
se si desidera ottimizzare la distribuzione per ottenere il massimo livello di prestazioni oppure risorse
hardware limitate
la posizione delle cartelle di sistema
Per impostazione predefinita, la procedura guidata è impostata per essere eseguita automaticamente
quando si accede alla Central Management Console (CMC), tuttavia questa impostazione può essere
modificata nella procedura guidata. È anche possibile avviare la procedura guidata in qualsiasi momento
dall'area di "gestione" della CMC.
2.2.2.2 Central Management Console (CMC)
La Central Management Console (CMC) è uno strumento basato su Web che si utilizza per eseguire
attività amministrative (quali la gestione di server, contenuti e utenti) e per configurare le impostazioni
di protezione. Poiché la console CMC è un'applicazione basata su Web, è possibile eseguire tutti i task
amministrativi mediante un browser Web in qualsiasi computer in grado di connettersi al server di
applicazioni Web.
Tutti gli utenti possono accedere a CMC per modificare le impostazioni delle preferenze. Solo i membri
del gruppo Amministratori possono modificare le impostazioni di gestione, a meno che tale diritto non
venga esplicitamente concesso ad altri utenti. I ruoli possono essere assegnati in CMC per garantire
29
2013-09-19
Introduzione
privilegi utente per portare a termine attività amministrative minori, quali la gestione di utenti nel gruppo
e di report nelle cartelle appartenenti al proprio team.
2.2.2.3 Central Configuration Manager (CCM)
CCM (Central Configuration Manager) è uno strumento di configurazione per la gestione dei nodi e la
risoluzione dei problemi del server fornito in due modalità. In un ambiente Microsoft Windows, CCM
consente di gestire server locali e remoti tramite l'interfaccia utente grafica o la riga di comando. In
ambiente Unix lo script di shell di CCM (ccm.sh) consente di gestire i server da una riga di comando.
CCM viene utilizzato per creare e configurare nodi e per avviare o interrompere il server di applicazioni
Web, se questo è il server di applicazioni Web Tomcat in bundle predefinito. In Windows è anche
possibile configurare parametri di rete, ad esempio la crittografia SSL (Secure Sockets Layer). Questi
parametri si applicano a tutti i server in un nodo.
Nota:
La maggior parte dei task di gestione server viene ora gestita tramite la console CMC, non CCM. CCM
è ora utilizzato per la risoluzione dei problemi e per la configurazione dei nodi.
2.2.2.4 Strumento Repository Diagnostic Tool
Lo strumento Repository Diagnostic Tool (RDT) consente di esaminare, diagnosticare e risolvere i
conflitti che possono verificarsi tra il database di sistema CMS (Central Management Server) e l'archivio
di file FRS (File Repository Server). È possibile impostare un limite per il numero di errori che lo strumento
RDT può trovare e ripristinare prima di interrompersi.
Utilizzare lo strumento RDT dopo aver ripristinato il sistema della piattaforma BI.
2.2.2.5 Upgrade Management Tool
Upgrade Management Tool (in precedenza Importazione guidata) viene installato come parte della
piattaforma BI e guida gli amministratori attraverso il processo di importazione di utenti, gruppi e cartelle
di versioni precedenti della piattaforma BI. Consente inoltre di importare e aggiornare eventi, gruppi di
server, oggetti repository e calendari.
Per informazioni sull'esecuzione dell'aggiornamento da una versione precedente della piattaforma BI,
consultare il Manuale di aggiornamento della piattaforma SAP BusinessObjects Business Intelligence
.
30
2013-09-19
Introduzione
2.2.3 Attività principali
In base alla situazione, può essere opportuno concentrarsi su sezioni specifiche di questa guida; inoltre,
altre risorse possono essere disponibili per situazioni specifiche. Per ciascuna delle situazioni seguenti,
è presente un elenco di attività proposte e di argomenti di lettura.
Argomenti correlati
• Pianificazione o esecuzione della prima distribuzione
• Configurazione della distribuzione
• Miglioramento delle prestazioni del sistema
• Central Management Console (CMC)
2.2.3.1 Pianificazione o esecuzione della prima distribuzione
Se si sta pianificando di distribuire o si distribuisce per la prima volta la piattaforma BI, è consigliabile
leggere le sezioni seguenti di questo manuale:
•
•
•
•
•
Per acquisire familiarità con i componenti della piattaforma BI, leggere la sezione “Panoramica
dell'architettura”.
“Informazioni sulla comunicazione tra componenti della piattaforma BI”
“Panoramica della protezione”
Se si intende utilizzare l'autenticazione di terze parti, leggere “Opzioni di autenticazione disponibili
nella piattaforma BI”.
Dopo l'installazione, leggere “Utilizzo dell'area di gestione Server della console CMC”
Per ulteriori informazioni sull'installazione della piattaforma BI, consultare il Manuale di installazione
della piattaforma SAP BusinessObjects Business Intelligence. Per valutare le esigenze specifiche e
progettare l'architettura di distribuzione più appropriata, consultare il Guida alla pianificazione della
piattaforma SAP BusinessObjects Business Intelligence.
Argomenti correlati
• Presentazione dell'architettura
• Comunicazione tra componenti della piattaforma BI
• Panoramica della protezione
• Opzioni di autenticazione nella piattaforma BI
• Utilizzo dell'area di gestione Server della console CMC
31
2013-09-19
Introduzione
2.2.3.2 Configurazione della distribuzione
Se è stata appena completata l'installazione della piattaforma BI ed è necessario eseguire le attività di
configurazione iniziali, ad esempio la configurazione di firewall e la gestione utenti, si consiglia di
consultare le seguenti sezioni:
Argomenti correlati
• Introduzione alla Configurazione guidata del sistema
• Comunicazione tra componenti della piattaforma BI
• Panoramica della protezione
• Informazioni sul monitoraggio
2.2.3.3 Miglioramento delle prestazioni del sistema
Se si desidera valutare l'efficacia della propria distribuzione e modificarla per ottimizzare le risorse,
leggere le sezioni seguenti:
•
•
•
Se si desidera utilizzare un modello di distribuzione per configurare il sistema, leggere “Introduzione
alla Configurazione guidata del sistema”.
Se si desidera monitorare il sistema esistente, leggere “Informazioni sul monitoraggio”.
Per attività e procedure di manutenzione quotidiane che riguardano i server della CMC, leggere
“Utilizzo dell'area di gestione Server della console CMC”.
Argomenti correlati
• Introduzione alla Configurazione guidata del sistema
• Informazioni sul monitoraggio
• Utilizzo dell'area di gestione Server della console CMC
2.2.3.4 Utilizzo di oggetti in CMC
Un oggetto è un documento o un file creato nella piattaforma BI o in altro software, che viene
memorizzato e gestito nel repository della piattaforma BI. Se si utilizzano oggetti in CMC, consultare
le seguenti sezioni:
32
2013-09-19
Introduzione
•
Per informazioni sull'impostazione di utenti e gruppi in CMC, consultare “Panoramica della gestione
degli account”.
•
Per impostare la protezione per gli oggetti, consultare “Funzionamento dei diritti nella piattaforma
BI”.
•
Per informazioni generali sull'utilizzo degli oggetti, consultare il Manuale dell'utente della piattaforma
SAP BusinessObjects Business Intelligence.
Argomenti correlati
• Panoramica della gestione dei server
• Funzionamento dei diritti nella piattaforma BI
33
2013-09-19
Introduzione
34
2013-09-19
Architettura
Architettura
3.1 Presentazione dell'architettura
In questa sezione vengono presentati i componenti generali dell'architettura della piattaforma, del
sistema e dei componenti di servizio che costituiscono la piattaforma SAP BusinessObjects Business
Intelligence. Le informazioni consentono agli amministratori di comprendere gli elementi base del
sistema e di creare un piano per lo sviluppo, la gestione e la manutenzione del sistema.
Nota:
per un elenco di piattaforme supportate, lingue, database, server di applicazioni Web, server Web e di
altri sistemi supportati da questa versione, consultare il documento Product Availability Matrix (Supported
Platforms/PAR), disponibile nella sezione SAP BusinessObjects di SAP Support Portal all'indirizzo:
https://service.sap.com/bosap-support.
La Business Intelligence (BI) è stata progettata per garantire elevate prestazioni in svariati scenari
utente e di distribuzione. Ad esempio, tramite servizi di piattaforma specializzati è possibile gestire
l'accesso ai dati e la generazione di report su richiesta oppure la pianificazione dei report basata su
tempi ed eventi. È possibile ridurre il carico di lavoro del processore dovuto alle operazioni di
pianificazione ed elaborazione creando server dedicati per la gestione di servizi specifici. L'architettura
è progettata per soddisfare le esigenze di quasi tutti i tipi di distribuzione BI ed è sufficientemente
flessibile per passare da alcuni utenti con un singolo strumento a decine di migliaia con più strumenti
e interfacce.
È possibile integrare la piattaforma BI negli altri sistemi tecnologici dell'organizzazione utilizzando API
di servizi Web, Java o .NET.
Gli utenti finali possono accedere ai report, crearli, modificarli e interagire con essi tramite strumenti e
applicazioni speciali tra cui:
• Client installati dal programma di installazione di Strumenti client della piattaforma BI:
• Web Intelligence Rich Client
• Business View Manager
• Strumento di conversione dei report
• Universe Design Tool
• Query come servizio Web
• Information Design Tool (in precedenza Information Designer)
• Translation Management Tool (in precedenza Translation Manager)
• Widget (in precedenza Widget BI)
•
35
Client disponibili separatamente:
2013-09-19
Architettura
•
•
•
•
SAP Crystal Reports
SAP BusinessObjects Dashboards (in precedenza Xcelsius)
SAP BusinessObjects Analysis (in precedenza Voyager)
BI Workspaces (in precedenza Dashboard Builder)
I reparti IT possono utilizzare strumenti di gestione di dati e sistema tra cui:
• Visualizzatori di report
• Central Management Console (CMC)
• Central Configuration Manager (CCM)
• Repository Diagnostic Tool (RDT)
• Strumento di amministrazione di Data Federation
• Upgrade Management Tool (in precedenza Importazione guidata)
• Universe Design Tool (in precedenza Universe Designer)
• SAP BusinessObjects Mobile
Per fornire flessibilità, affidabilità e scalabilità, è possibile installare i componenti della piattaforma BI
in uno o più computer. È anche possibile installare contemporaneamente due versioni diverse della
piattaforma BI nello stesso computer, benché questa configurazione sia consigliata solo come parte
del processo di aggiornamento o di test.
I processi server possono essere scalati in verticale (un computer esegue più processi server, o tutti)
per ridurre i costi oppure in orizzontale (i processi server sono distribuiti tra due o più computer connessi
in rete) per migliorare le prestazioni. Inoltre, è possibile eseguire più versioni ridondanti dello stesso
processo server su più di un computer, in modo tale che l'elaborazione possa continuare se si verifica
un problema nel processo principale.
Nota:
Benché sia possibile utilizzare una combinazione di piattaforme Windows e Unix o Linux, è consigliabile
non mescolare i sistemi operativi per i processi CMS (Central Management Server).
3.1.1 Diagramma componenti
La piattaforma SAP BusinessObjects Business Intelligence è una piattaforma BI (Business Intelligence)
che fornisce gli strumenti di analisi e creazione dei report a livello aziendale. I dati possono essere
analizzati da una grande varietà di sistemi di database supportati, inclusi i sistemi OLAP multidimensionali
o di testo, e i report BI possono essere pubblicati in diversi formati su più sistemi di pubblicazione.
Il diagramma dell'architettura disponibile nella SAP Community Network illustra i componenti della
piattaforma BI, inclusi server e strumenti client, nonché altri prodotti analitici, componenti di applicazioni
Web e database che possono fare parte di un ambiente di piattaforma BI:http://scn.sap.com/docs/DOC43663
La piattaforma BI crea report da una connessione di sola lettura ai database dell'organizzazione e
utilizza i database in esso inclusi per la memorizzazione delle relative informazioni sulla configurazione,
sul controllo e su altre funzioni. I report BI creati dal sistema possono essere inviati a una varietà di
36
2013-09-19
Architettura
destinazioni, inclusi file system e posta elettronica. In alternativa, è possibile accedervi attraverso siti
Web o portali.
La piattaforma BI è un sistema indipendente che può esistere su un solo computer (ad esempio un
piccolo ambiente di sviluppo o di test pre-produzione) o essere scalato in un cluster con molti computer
che eseguono componenti diversi (ad esempio, un ambiente di produzione su larga scala).
3.1.2 Livelli architettura
La piattaforma SAP BusinessObjects Business Intelligence può essere vista come una serie di livelli
concettuali.
Livello client
Il livello client contiene tutte le applicazioni client desktop che interagiscono con la piattaforma BI al
fine di fornire una varietà di funzionalità di creazione report, analisi e amministrazione. Fra gli esempi
si ricordino il Central Configuration Manager (programma di installazione della piattaforma BI), Information
Design Tool (programma di installazione degli strumenti client della piattaforma BI) e SAP Crystal
Reports 2011 (disponibile e installato separatamente).
Livello Web
Il livello Web contiene le applicazioni Web distribuite in un server di applicazioni Web Java. Le
applicazioni Web forniscono tramite un browser Web le funzionalità della piattaforma BI agli utenti finali.
Tra gli esempi di applicazioni Web figurano l'interfaccia Web amministrativa della Central Management
Console (CMC) e BI Launch Pad.
Il livello Web contiene anche i Servizi Web Attraverso il server di applicazioni Web, i Servizi Web
forniscono agli strumenti software le funzionalità della piattaforma BI, come l'autenticazione delle
sessioni, la gestione dei privilegi utente, la pianificazione, la ricerca, l'amministrazione, la creazione di
report e la gestione di query. Ad esempio, Live Office è un prodotto che utilizza i Servizi Web per
integrare la creazione di report della piattaforma BI con i prodotti Microsoft Office.
Livello gestione
Il livello di gestione (anche noto come intelligence tier) coordina e controlla tutti i componenti della
piattaforma BI. Comprende CMS (Central Management Server), Event Server e i servizi correlati. Il
server CMS gestisce le informazioni relative alla configurazione e alla protezione, invia richieste di
servizio ai server, gestisce il controllo e mantiene il database di sistema CMS. Event Server gestisce
gli eventi basati su file che si verificano nel livello di archiviazione.
Livello archiviazione
Il livello di archiviazione è responsabile della gestione di file, quali documenti e report.
Input File Repository Server gestisce i file che contengono le informazioni da utilizzare nei report, come
i seguenti tipi di file: .rpt, .car, .exe, .bat, .js, .xls, .doc, .ppt, .rtf, .txt, .pdf, .wid,
.rep, .unv.
37
2013-09-19
Architettura
Output File Repository Server gestisce i report creati dal sistema, come i seguenti tipi di file: .rpt,
.csv, .xls, .doc, .rtf, .txt, .pdf, .wid, .rep.
Il livello di archiviazione gestisce inoltre la funzione di cache dei report per il salvataggio delle risorse
di sistema quando gli utenti accedono ai report.
Livello di elaborazione
Il livello di elaborazione analizza i dati e produce i report. Si tratta dell'unico livello che accede ai database
contenenti i dati dei report. Questo livello è costituito da Adaptive Job Server, Connection Server (a 32
e 64 bit) e dai server di elaborazione quali Adaptive Processing Server o il server di elaborazione Crystal
Reports.
Livello dati
È costituito dai server di database che ospitano il database di sistema CMS e l'archivio dati di controllo.
È costituito anche da qualsiasi server di database contenente dati relazionali, OLAP o altri tipi di dati
per la creazione di report e applicazioni analitiche.
3.1.3 Database
La piattaforma BI utilizza più database differenti.
• Database di reporting
Questo termine fa riferimento alle informazioni sull'organizzazione. Sono le informazioni di origine
analizzate e restituite dai prodotti della SAP BusinessObjects Business Intelligence Suite. In genere
le informazioni vengono archiviate in un database relazionale, ma possono essere contenute anche
in file di testo, documenti di Microsoft Office o sistemi OLAP.
•
Database di sistema CMS
Il database di sistema CMS viene utilizzato per archiviare le informazioni della piattaforma BI, ad
esempio i dettagli relativi a utenti, server, cartelle, documenti, configurazione e autenticazione. Viene
gestito mediante il server CMS e talvolta definito come repository di sistema.
•
Archivio dati di controllo
L'Archivio dati di controllo (ADS, Auditing Data Store) viene utilizzato per archiviare le informazioni
relative a eventi registrabili che si verificano nella piattaforma BI. Tali informazioni possono essere
utilizzate per il monitoraggio dell'uso dei componenti di sistema, dell'attività dell'utente o di altri
aspetti del funzionamento quotidiano.
•
Database Lifecycle Management
Nel database Lifecycle Management vengono registrate le informazioni relative alla configurazione
e alla versione di un'installazione della piattaforma BI, nonché gli aggiornamenti.
•
Database Monitoraggio
Monitoraggio utilizza il database Java Derby per memorizzare informazioni sui componenti e sulla
configurazione del sistema per il supporto SAP.
38
2013-09-19
Architettura
Se non è disponibile un server di database da utilizzare con il sistema CMS e i database dell'archivio
dati di controllo, il programma di installazione della piattaforma BI può installarlo e configurarlo
automaticamente. Per stabilire quale database supportato è più adatto ai requisiti della propria
organizzazione, è consigliabile valutare i requisiti rispetto alle indicazioni del fornitore di server di
database.
3.1.4 Server, host e cluster
La piattaforma BI è costituita da raccolte di server eseguiti su uno o più host. Per le piccole installazioni,
ad esempio sistemi di test o di sviluppo, è possibile utilizzare un solo host per un server di applicazioni
Web, un server di database e tutti i server della piattaforma BI.
Per le installazioni di medie e grandi dimensioni è possibile utilizzare server in esecuzione su più host.
È possibile, ad esempio, utilizzare un host server di applicazioni Web insieme a un host server della
piattaforma BI. In questo modo vengono liberate risorse sull'host server della piattaforma BI per
consentire l'elaborazione di un numero maggiore di informazioni rispetto al caso in cui viene ospitato
anche un server di applicazioni Web.
Per le installazioni di grandi dimensioni è possibile utilizzare diversi host server della piattaforma BI
raggruppati in un cluster. Se, ad esempio, un'organizzazione include un gran numero di utenti SAP
Crystal Reports, è possibile creare server di elaborazione Crystal Reports su più host server della
piattaforma BI per garantire la disponibilità di una notevole quantità di risorse per elaborare le richieste
dei client.
I principali vantaggi derivanti dalla presenza di più server sono i seguenti:
• Miglioramento delle prestazioni
Diversi host server della piattaforma BI sono in grado di elaborare una coda di informazioni di report
in modo più rapido rispetto a un solo host server della piattaforma BI.
•
Bilanciamento del carico
Se un server registra un carico più elevato rispetto agli altri server presenti in un cluster, il CMS
invia automaticamente nuovo lavoro a un server che include risorse migliori.
•
Maggiore disponibilità
Se un server rileva una condizione imprevista, il CMS reindirizza automaticamente il lavoro verso
server diversi fino a quando la condizione non viene corretta.
3.1.5 Server di applicazioni Web
Un server di applicazioni Web funge da livello di traduzione tra un'applicazione browser Web o rich e
la piattaforma BI. Sono supportati i server di applicazioni Web in esecuzione in Windows, Unix e Linux.
39
2013-09-19
Architettura
Per un elenco dettagliato dei server di applicazioni Web supportati, consultare il documento Supported
Platforms/PARs, disponibile all'indirizzo https://service.sap.com/bosap-support.
Se non è disponibile un server di applicazioni Web da utilizzare con la piattaforma BI, il programma di
installazione può installare e configurare automaticamente un server di applicazioni Web Tomcat. Per
identificare il server di applicazioni Web supportato più adatto ai requisiti di un'organizzazione è
consigliabile valutare i requisiti rispetto alle informazioni indicate dal fornitore di server di applicazioni
Web.
Nota:
quando si configura un ambiente di produzione, è consigliabile che il server di applicazioni Web sia
ospitato in un sistema separato. L'esecuzione della piattaforma BI e di un server di applicazioni Web
nello stesso host in un ambiente di produzione può determinare una riduzione delle prestazioni.
3.1.5.1 Server del contenitore applicazioni Web (WACS)
Per ospitare le applicazioni Web della piattaforma BI è necessario un server di applicazioni Web.
Se si ricopre il ruolo di amministratore di server di applicazioni Web Java avanzato con esigenze
amministrative avanzate, utilizzare un server di applicazioni Web Java supportato per l'hosting delle
applicazioni Web della piattaforma BI. Se si utilizza un sistema operativo Windows supportato per
ospitare la piattaforma BI e si preferisce un processo di installazione del server di applicazioni Web
semplice o non si dispone delle risorse necessarie per amministrare un server di applicazioni Web
Java, è possibile installare il server del contenitore applicazioni Web (WACS) durante l'installazione
della piattaforma BI.
WACS è un server della piattaforma BI che consente l'esecuzione di applicazioni Web della piattaforma
BI, quali la CMC (Central Management Console), BI Launch Pad e Servizi Web, anche senza una
precedente installazione di un server di applicazioni Web Java.
L'utilizzo di WACS offre numerosi vantaggi:
• Il server WACS richiede interventi minimi per l'installazione, la manutenzione e la configurazione.
Viene installato e configurato dal programma di installazione della piattaforma BI e non sono richieste
ulteriori operazioni per iniziare a utilizzarlo.
• Con il server WACS non occorre avere competenze di amministrazione e manutenzione di server
di applicazioni Java.
• Il server WACS offre un'interfaccia amministrativa coerente con quella di altri server della piattaforma
BI.
• Analogamente ad altri server della piattaforma BI, WACS può essere installato in un host dedicato.
Nota:
Esistono alcune limitazioni all'uso di un server WACS anziché un server di applicazioni Web Java
dedicato:
• Il server WACS è disponibile solo nei sistemi operativi Windows supportati.
• Le applicazioni Web personalizzate non possono essere distribuite nel WACS, in quanto questo
server supporta solo le applicazioni Web installate con la piattaforma BI.
40
2013-09-19
Architettura
•
Il server WACS non può essere utilizzato con un bilanciatore di carico Apache.
Oltre al WACS, è possibile utilizzare un server di applicazioni Web dedicato. Questo consente al server
di applicazioni Web dedicato di ospitare applicazioni Web personalizzate, mentre la CMC e altre
applicazioni Web della piattaforma BI sono ospitate dal WACS.
3.1.6 Software Development Kit
Il Software Development Kit (SDK) consente agli sviluppatori di incorporare aspetti della piattaforma
SAP BusinessObjects Business Intelligence nelle applicazioni e nei sistemi utilizzati da un'organizzazione.
La piattaforma BI include SDK per lo sviluppo di software sulle piattaforme Java e .NET.
Nota:
I kit .NET SDK per la piattaforma BI non sono installati per impostazione predefinita e devono essere
scaricati dal sito SAP Service Marketplace.
La piattaforma BI supporta i seguenti SDK:
• Java SDK e .NET SDK per la piattaforma Business Intelligence
Gli SDK per la piattaforma BI consentono alle applicazioni di eseguire attività come l'autenticazione,
la gestione della sessione, l'utilizzo degli oggetti repository, la pianificazione e la pubblicazione di
report nonché la gestione dei server.
Nota:
Per l'accesso completo alle funzioni di protezione, di gestione dei server e di controllo, utilizzare
l'SDK Java.
•
SDK dei servizi Web RESTful della piattaforma Business Intelligence
L'SDK dei servizi Web RESTful della piattaforma BI consente di accedere alla piattaforma BI mediante
il protocollo HTTP. È possibile utilizzare questo SDK per accedere alla piattaforma BI, passare al
repository della piattaforma BI, accedere alle risorse ed eseguire la pianificazione delle risorse di
base. È possibile accedere a questo SDK scrivendo applicazioni che utilizzano qualsiasi linguaggio
di programmazione che supporti il protocollo HTTP oppure utilizzando qualsiasi strumento che
supporti l'esecuzione di richieste HTTP.
•
Java Consumer SDK e .NET Consumer SDK per la piattaforma Business Intelligence
Implementazione dei servizi Web basati su SOAP che consente di impostare le opzioni di
autenticazione e protezione utente, accesso a documenti e report, pianificazione, pubblicazioni e
gestione del server.
I servizi Web della piattaforma BI utilizzano standard quali XML, SOAP, AXIS 2.0 e WSDL. La
piattaforma segue la specifica dei servizi Web WS-Interoperability Basic Profile 1.0.
41
2013-09-19
Architettura
Nota:
Le applicazioni dei servizi Web sono al momento supportate unicamente con le seguenti configurazioni
della funzione di bilanciamento del carico:
1. Persistenza dell'indirizzo IP di origine.
2. Persistenza della porta di destinazione e dell'indirizzo IP di origine (disponibile solo in un Content
Services Switch Cisco).
3. Persistenza SSL.
4. Persistenza di sessione basata su cookie.
Nota:
La persistenza SSL può causare problemi di affidabilità e protezione in alcuni browser Web. Chiedere
all'amministratore della rete di determinare se la persistenza SSL è appropriata per l'organizzazione.
•
SDK Java di connessione e del driver di accesso ai dati
Questi SDK consentono di creare driver di database per il server di connessione e di gestire le
connessioni di database.
•
SDK Java del livello semantico
L'SDK Java del livello semantico consente di sviluppare un'applicazione Java che esegue attività
di amministrazione e protezione su universi e connessioni. È ad esempio possibile implementare i
servizi per la pubblicazione di un universo in un repository oppure recuperare una connessione
protetta dal repository nell'area di lavoro. Questa applicazione può essere incorporata nelle soluzioni
Business Intelligence che integrano la piattaforma BI come OEM.
•
Report Application Server Java SDK e .NET SDK
Gli SDK di Report Application Server consentono alle applicazioni di aprire, creare e modificare i
report Crystal già esistenti, effettuando operazioni come l'impostazione dei valori dei parametri, la
modifica delle origini dati e l'esportazione in altri formati, tra cui XML, PDF, Microsoft Word e Microsoft
Excel.
•
Visualizzatore Java e .NET Crystal Reports Viewer
I visualizzatori consentono alle applicazioni di visualizzare ed esportare report Crystal. Sono disponibili
i seguenti visualizzatori:
• Visualizzatore di pagine di report DHTML: presenta i dati e consente di eseguire operazioni quali
drill down, esplorazione delle pagine, zoom, visualizzazione di prompt, ricerca, evidenziazione,
esportazione e stampa.
• Visualizzatore di parti di report: consente di visualizzare le singole parti di un report, tra cui grafici,
testo e campi.
•
Report Engine Java SDK e .NET SDK
Gli SDK di Report Engine consentono alle applicazioni di interagire con i report creati con SAP
BusinessObjects Web Intelligence.
Gli SDK di Report Engine includono librerie che è possibile utilizzare per creare uno strumento di
progettazione di report Web. Le applicazioni create con questi SDK sono in grado di visualizzare,
creare o modificare svariati tipi di documenti Web Intelligence. Gli utenti possono modificare documenti
aggiungendo, rimuovendo e modificando oggetti quali tabelle, grafici, condizioni e filtri.
42
2013-09-19
Architettura
•
SDK dell'applicazione di ricerca piattaforma: è l'interfaccia tra l'applicazione client e il servizio di
ricerca piattaforma. Ricerca piattaforma supporta l'SDK pubblico fornito come parte dell'SDK di
Ricerca piattaforma.
Quando un parametro di richiesta ricerca viene inviato tramite l'applicazione client al livello SDK, il
livello SDK converte il parametro di richiesta in un formato codificato XML e lo passa al servizio
Ricerca piattaforma.
Gli SDK possono essere utilizzati in combinazione per fornire un'ampia gamma di funzionalità BI alle
applicazioni in uso. Per ulteriori informazioni su questi SDK, inclusi i manuali per lo sviluppatore e i
riferimenti alle API, visitare il sito Web http://help.sap.com.
3.1.7 Origini dati
3.1.7.1 Universi
L'universo astrae la complessità dei dati utilizzando un linguaggio aziendale anziché un linguaggio dati
per accedere, modificare e organizzare i dati. Il linguaggio aziendale viene memorizzato sotto forma
di oggetti in un file di universo. Web Intelligence e Crystal Reports utilizzano gli universi per semplificare
il processo di creazione degli utenti necessario per l'esecuzione di query e analisi semplici e complesse
da parte dell'utente finale.
Gli universi sono un componente fondamentale della piattaforma BI. Tutti gli oggetti universo e le relative
connessioni vengono memorizzati e protetti nel repository centrale da Connection Server. Per accedere
al sistema e creare gli universi, gli strumenti di progettazione degli universi devono accedere alla
piattaforma BI. L'accesso agli universi e la protezione a livello di riga possono anche essere gestiti al
livello del gruppo o del singolo utente dall'ambiente di progettazione.
Il livello semantico consente a Web Intelligence di recapitare i documenti, utilizzando più provider di
dati sincronizzati, incluse le origini dati OLAP (online analytical processing) e CWM (common
warehousing metamodel).
3.1.7.2 Business Views
Le viste aziendali semplificano la creazione e l'interazione di report limitando la complessità dei dati
per gli sviluppatori di report. Le viste aziendali consentono di separare le connessioni dati, l'accesso ai
dati, gli elementi aziendali e il controllo dell'accesso.
43
2013-09-19
Architettura
Le viste aziendali possono essere utilizzate solo da Crystal Reports e hanno lo scopo di semplificare
la protezione dell'accesso ai dati e della visualizzazione per la creazione di report Crystal. Le viste
aziendali supportano la combinazione di più origini dati in una sola visualizzazione. Business Views è
completamente supportato nella piattaforma BI.
La piattaforma Business Intelligence include una serie di servizi di gestione delle piattaforme
preconfigurati e dedicati per attività quali la gestione delle password, le metriche dei server e il controllo
dell'accesso degli utenti, per supportare le funzioni di gestione decentralizzate.
3.1.8 Autenticazione e Single Sign On
La protezione del sistema viene gestita attraverso il Central Management Server (CMS), plug-in di
protezione e strumenti di autenticazione di terze parti, ad esempio SiteMinder o Kerberos. Questi
componenti autenticano gli utenti e autorizzano l'accesso utente per la piattaforma BI, le relative cartelle
e altri oggetti.
Sono disponibili i plug-in di protezione Single Sign On dell'autenticazione utente seguenti:
• Enterprise (predefinito), incluso il supporto per Autenticazione affidabile da utilizzare con metodi di
autenticazione come SAML, X.509, SAP NW SSO e altri metodi supportati dal server di applicazioni.
• LDAP
• Windows Active Directory (AD)
Quando si utilizza un sistema ERP (Enterprise Resource Planning), il Single Sign On viene utilizzato
per autenticare l'accesso dell'utente al sistema ERP in modo che i report possano essere verificati nei
dati ERP. Sono supportati i Single Sign On di autenticazione utente seguenti per i sistemi ERP:
• SAP ERP e Business Warehouse (BW)
• Oracle E-Business Suite (EBS)
• Siebel Enterprise
• JD Edwards Enterprise One
• PeopleSoft Enterprise
3.1.8.1 Plug-in di protezione
I plug-in di protezione automatizzano la creazione e la gestione di account consentendo la mappatura
di account utente e gruppi da sistemi di terze parti nella piattaforma BI. È possibile mappare account
utente di terze parti ad account utente Enterprise esistenti o creare nuovi account utente Enterprise
che corrispondano a ogni voce mappata nel sistema esterno.
I plug-in di protezione gestiscono dinamicamente elenchi di utenti e gruppi di terze parti. Dopo aver
mappato un gruppo LDAP (Lightweight Directory Access Protocol) o Windows Active Directory (AD)
44
2013-09-19
Architettura
alla piattaforma BI, tutti gli utenti che appartengono a quel gruppo possono accedere alla piattaforma
BI. Le modifiche successive alle appartenenze a gruppi di terzi vengono propagate automaticamente.
La piattaforma BI supporta i seguenti plug-in di protezione:
•
Plug-in di protezione Enterprise
Il server Central Management Server (CMS) gestisce informazioni di protezione quali account utente,
appartenenza a gruppi e diritti oggetti per la definizione di privilegi di utenti e gruppi. Questa
operazione prende il nome di autenticazione Enterprise.
L'autenticazione Enterprise è sempre abilitata e non può essere disabilitata. Utilizzare l'autenticazione
Enterprise predefinita del sistema se si preferisce creare account e gruppi distinti da utilizzare con
la piattaforma BI oppure se non è stata ancora impostata una gerarchia di utenti e gruppi in un server
LDAP o Windows AD.
Autenticazione affidabile è un componente dell'autenticazione Enterprise che si integra con soluzioni
Single Sign On di terze parti, tra cui Java Authentication and Authorization Service (JAAS). Le
applicazioni che stabiliscono una connessione fidata con il Central Management Server possono
usare l'Autenticazione affidabile per accedere al sistema senza password.
•
•
Plug-in di protezione di LDAP
Windows AD
Nota:
Sebbene un utente possa configurare l'autenticazione Windows AD per la piattaforma BI e le
applicazioni personalizzate tramite la console CMC, quest'ultima e BI Launch Pad non supportano
l'autenticazione Windows AD con NTLM. Gli unici metodi di autenticazione supportati da CMC e BI
Launch Pad sono Windows AD con Kerberos, LDAP, Enterprise e Autenticazione affidabile.
3.1.8.2 Integrazione ERP (Enterprise Resource Planning)
Un'applicazione ERP (Enterprise Resource Planning) supporta le funzioni essenziali dei processi
aziendali mediante la raccolta di informazioni in tempo reale relative alle operazioni quotidiane. La
piattaforma BI supporta Single Sign-On e la creazione di report dai sistemi ERP seguenti:
• SAP ERP e Business Warehouse (BW)
• Siebel Enterprise
• Oracle E-Business Suite
• JD Edwards EnterpriseOne
• PeopleSoft Enterprise
Nota:
•
45
Il supporto di SAP ERP e BW viene installato per impostazione predefinita. Utilizzare l'opzione di
installazione Personalizza / Espandi per deselezionare il supporto dell'integrazione SAP se non è
richiesto il supporto di SAP ERP o BW.
2013-09-19
Architettura
•
Il supporto di Siebel Enterprise, Oracle E-Business Suite, JD Edwards EnterpriseOne o PeopleSoft
non viene installato per impostazione predefinita. Utilizzare l'opzione di installazione "Personalizza
/ Espandi" per selezionare e installare l'integrazione dei sistemi ERP non SAP.
Per informazioni dettagliate sulle specifiche versioni supportate dalla piattaforma BI, consultare il
documento Supported Platforms/PARs disponibile all'indirizzo https://service.sap.com/bosap-support.
Per configurare l'integrazione ERP, consultare il capitolo Configurazioni supplementari per gli ambienti
ERP di questo manuale.
3.1.9 Integrazione SAP
La piattaforma BI si integra con l'infrastruttura SAP esistente grazie agli strumenti SAP seguenti:
• SAP System Landscape Directory (SLD)
Lo strumento System Landscape Directory di SAP NetWeaver è l'origine centrale dei dati System
Landscape più importanti per la gestione del ciclo di vita del software. Fornendo una directory
contenente le informazioni relative a tutto il software installabile disponibile da SAP e i dati aggiornati
automaticamente sui sistemi già installati in un landscape, si ottiene la base per il supporto dello
strumento nella pianificazione delle attività del ciclo di vita del software nel System Landscape.
Il programma di installazione della piattaforma BI registra il fornitore, il nome e la versione dei prodotti
con SLD, nonché nomi, versioni e percorso di componenti front-end e server.
•
SAP Solution Manager
SAP Solution Manager è una piattaforma che consente di integrare contenuto, strumenti e
metodologie per implementare, supportare, realizzare e monitorare le soluzioni SAP e non SAP di
un'organizzazione.
Il software non SAP con integrazione certificata da SAP viene inserito in un repository centrale e
trasferito automaticamente al server SLD (System Landscape Directories) di SAP. I clienti SAP
possono quindi identificare facilmente quale versione di integrazione di prodotti di terze parti è stata
certificata da SAP nel proprio ambiente del sistema SAP. Questo servizio offre pertanto informazioni
relative ai prodotti di terze parti aggiuntive rispetto ai cataloghi in linea.
SAP Solution Manager è disponibile per i clienti SAP senza costi aggiuntivi e include l'accesso
diretto al supporto SAP, nonché informazioni sul percorso di aggiornamento SAP. Per ulteriori
informazioni su SLD, consultare la sezione “Registrazione della piattaforma BI in System Landscape”.
•
CTS Transport (CTS+)
Change and Transport System (CTS) consente di organizzare i progetti di sviluppo in ABAP
Workbench e nella personalizzazione, quindi di trasportare le modifiche tra i sistemi SAP presenti
nel System Landscape. Come per gli oggetti ABAP, è inoltre possibile trasportare gli oggetti Java
(J2EE, JEE) e le tecnologie non ABAP specifiche di SAP (quali Web Dynpro Java e SAP NetWeaver
Portal) nel landscape.
46
2013-09-19
Architettura
•
Monitoraggio con CA Wily Introscope
CA Wily Introscope è un prodotto per la gestione delle applicazioni Web che consente di monitorare
e diagnosticare i problemi di prestazioni che si possono verificare all'interno dei moduli SAP basati
su Java in fase di produzione, comprese la visibilità nelle applicazioni Java personalizzate e le
connessioni ai sistemi back-end. Consente di isolare i colli di bottiglia delle prestazioni nei moduli
NetWeaver, compresi i singoli servlet, JSP, EJB, JCO, classi, metodi e altro. Fornisce inoltre il
monitoraggio in tempo reale con overhead limitato, la visibilità delle transazioni end-to-end, i dati
cronologici per la pianificazione dell'analisi o della capacità, cruscotti personalizzati, allarmi di soglia
automatici e un'architettura aperta per estendere il monitoraggio oltre gli ambienti NetWeaver.
3.1.10 Controllo integrato delle versioni
I file che costituiscono la piattaforma BI in un sistema server sono ora sottoposti al controllo delle
versioni. Il programma di installazione installerà e configurerà il sistema di controllo delle versioni
Subversion. In alternativa, è possibile immettere dettagli per l'utilizzo di un sistema di controllo delle
versioni Subversion o ClearCase esistente.
Un sistema di controllo delle versioni consente di mantenere e ripristinare revisioni diverse di file di
configurazione e altri file. Ciò significa che è sempre possibile ripristinare un determinato stato di un
qualsiasi momento del passato.
3.1.11 Percorso di aggiornamento
È possibile eseguire l'aggiornamento da una versione precedente di SAP BusinessObjects Enterprise
(ad esempio XI 3.x), tuttavia è necessario innanzitutto installare la piattaforma SAP BusinessObjects
Business Intelligence 4.x, quindi effettuare la migrazione di impostazioni e dati dal sistema esistente
utilizzando Upgrade Management Tool.
Per informazioni sulle modalità di aggiornamento da una versione precedente, consultare il Manuale
per l'aggiornamento della piattaforma SAP BusinessObjects Business Intelligence.
3.2 Server, servizi, nodi e host
Nella piattaforma BI i termini server e servizio vengono utilizzati per fare riferimento ai due tipi di software
eseguiti su una piattaforma BI.
47
2013-09-19
Architettura
Il termine “server” viene utilizzato per descrivere un processo a livello di sistema operativo (in alcuni
sistemi viene definito daemon) che ospita uno o più servizi. Ad esempio, CMS e Adaptive Processing
Server sono server. Un server viene eseguito con un account di sistema operativo specifico e dispone
di un proprio PID.
Un servizio è un sottosistema del server che esegue una funzione specifica. Il servizio viene eseguito
nello spazio di memoria del relativo server con l'ID processo del contenitore principale (server). Ad
esempio, il servizio di pianificazione di Web Intelligence è un sottosistema eseguito in Adaptive Job
Server.
Un nodo è un insieme di server della piattaforma BI eseguiti nello stesso host e gestiti dallo stesso
Server Intelligence Agent (SIA). In un solo host possono trovarsi uno o più nodi.
La piattaforma BI può essere installata in un solo computer, suddivisa tra più computer connessi tra
loro in una Intranet o in una rete WAN.
Il diagramma che segue mostra un'installazione ipotetica della piattaforma BI. Nelle installazioni reali
il numero di host, nodi, server e servizi, nonché il tipo di server e di servizi è variabile.
Due host formano il cluster denominato ProductionBISystem:
•
48
Nell'host denominato HostAlpha è installata la piattaforma BI. L'host è configurato per contenere
due nodi:
2013-09-19
Architettura
•
•
•
NodeMercury include un Adaptive Job Server (NodeMercury.AJS) con servizi per la
pianificazione e la pubblicazione di report, un Input File Repository Server (NodeMercury.IFRS)
con un servizio che consente di memorizzare i report di input e un Output File Repository Server
(NodeMercury.OFRS) con un servizio che consente di memorizzare l'output dei report.
NodeVenus include un Adaptive Processing Server (NodeVenus.APS) con servizi che forniscono
funzionalità per la pubblicazione, il monitoraggio e la traduzione, un Adaptive Processing Server
(NodeVenus.APS2) dotato di un servizio che fornisce il controllo dei client, e un Central
Management Server (NodeVenus.CMS) con un servizio che fornisce i servizi CMS.
Nell'host denominato HostBeta è installata la piattaforma BI. L'host è configurato per contenere tre
nodi:
• NodeMars contiene un Central Management Server (NodeMars.CMS) con un servizio che fornisce
i servizi CMS. La presenza di CMS su due computer consente il bilanciamento del carico e
funzionalità di prevenzione e failover.
• NodeJupiter contiene un server di elaborazione di Web Intelligence (NodeJupiter.Web
Intelligence) dotato di un servizio che fornisce la funzionalità di creazione di report Web
Intelligence e un Event Server (NodeJupiter.EventServer) per consentire il monitoraggio
di report dei file.
• NodeSaturn contiene un Adaptive Processing Server (NodeSaturn.APS) dotato di un servizio
che fornisce il controllo dei client.
3.2.1 Modifiche al server dalla versione XI 3.1
La seguente tabella illustra le maggiori modifiche apportate ai server della piattaforma BI dalla versione
XI 3.1. I tipi di modifiche includono:
• Server il cui nome è stato modificato fra una versione e l'altra, pur fornendo funzionalità identiche
o simili.
• Server che non vengono più offerti nelle versioni più recenti.
• Servizi comuni o correlati che sono stati consolidati nei server Adaptive.
Ad esempio, i servizi di pianificazione offerti dai singoli server Job in XI 3.1 sono stati spostati in
Adaptive Job Server in 4.0.
•
Nuovi server introdotti.
Tabella 3 - 1: Modifiche ai server
XI 3.1
4.0
4.0 Feature Pack 3
4.1
Connection Server
Connection Server
Connection Server
Connection Server 32
Connection Server 32
Connection Server 32
Connection Server [1]
49
2013-09-19
Architettura
XI 3.1
4.0
4.0 Feature Pack 3
4.1
Crystal Reports Job
Server
Adaptive Job Server
Adaptive Job Server
Adaptive Job Server
Servizio di elaborazione
di Crystal Reports 2011
Servizio di elaborazione
di Crystal Reports 2011
Crystal Reports Processing Server
Server di elaborazione
Crystal Reports (per i
report di SAP Crystal
Reports for Enterprise)
Server di elaborazione
Crystal Reports (per i
report di SAP Crystal
Reports for Enterprise)
Server di elaborazione Crystal
Reports (per i report di SAP
Crystal Reports for Enterprise)
Dashboard Server (Dashboard Builder) [2]
Dashboard Server
(Spazi di lavoro BI)
Non disponibile a partire da 4.0 Feature
Pack 3
Non disponibile in 4.1
Dashboard Analytics
Server(Dashboard Builder) [2]
Dashboard Analytics
Server (Spazi di lavoro
BI)
Non disponibile a partire da 4.0 Feature
Pack 3
Non disponibile in 4.1
Desktop Intelligence
Cache Server [3]
Non disponibile a partire da 4.0
Non disponibile a partire da 4.0
Non disponibile in 4.1 [3]
Desktop Intelligence
Job Server [3]
Non disponibile a partire da 4.0
Non disponibile a partire da 4.0
Non disponibile in 4.1 [3]
Server di elaborazione
Desktop Intelligence [3]
Non disponibile a partire da 4.0
Non disponibile a partire da 4.0
Non disponibile in 4.1 [3]
Destination Job Server
Adaptive Job Server
Adaptive Job Server
Adaptive Job Server
Server elenco dei valori
Server di elaborazione
Web Intelligence
Server di elaborazione
Web Intelligence
Server di elaborazione Web Intelligence
Multi-Dimensional Analysis Server
Adaptive Processing
Server
Adaptive Processing
Server
Adaptive Processing Server
Program Job Server
Adaptive Job Server
Adaptive Job Server
Adaptive Job Server
Report Application Server (RAS)
Crystal Reports 2011
Report Application Server (RAS)
Crystal Reports 2011
Report Application Server (RAS)
Crystal Reports 2011 Report
Application Server (RAS)
Job Server Web Intelligence
Adaptive Job Server
Adaptive Job Server
Adaptive Job Server
Server cache Xcelsius
[4]
Server cache Dashboard Design (Xcelsius)
[5]
Server cache Dashboards (Xcelsius)
Server cache Dashboards
(Xcelsius)
50
Servizio di elaborazione di Crystal Reports 2011
2013-09-19
Architettura
XI 3.1
4.0
4.0 Feature Pack 3
4.1
Server di elaborazione
Xcelsius [4]
Server di elaborazione
Dashboard Design
(Xcelsius) [5]
Server di elaborazione
Dashboards (Xcelsius)
Server di elaborazione Dashboards (Xcelsius)
•
•
•
•
•
[1] In 4.0, il Connection Server 32 è a 32 bit ed esegue connessioni in modo specifico a origini dati
che non sono in grado di gestire il middleware a 64 bit. Il Connection Server è a 64 bit ed esegue
connessioni a tutte le altre origini dati. Per ulteriori informazioni, consultare il Manuale dell’Accesso
ai dati.
[2] Il server Dashboard e Dashboard Analytics sono stati rimossi dalla versione 4.0 Feature Pack
3. La configurazione del server non è più richiesta per la funzionalità relativa agli spazi di lavoro BI
(in precedenza Dashboard Builder in XI 3.1).
[3] Desktop Intelligence non era disponibile nella versione 4.0 e nei relativi pacchetti di manutenzione.
L'applicazione client Desktop Intelligence è disponibile nella versione 4.1, tuttavia in tale versione
non sono disponibili i server Desktop Intelligence. I report Desktop Intelligence possono essere
convertiti in documenti Web Intelligence utilizzando lo Strumento di conversione dei report.
[4] La cache Xcelsius e i servizi di elaborazione sono stati introdotti a partire dalla versione XI 3.1
Service Pack 3 per ottimizzare le richieste Query come servizio Web sulle origini di dati relazionali
da Xcelsius. Servizi di elaborazione e cache equivalenti sono disponibili sul server di elaborazione
Dashboards e il server cache di Dashboards 4.0 Feature Pack 3.
[5] I server Dashboard Design in 4.0 sono stati rinominati in Dashboards in 4.0 Feature Pack 3 per
rispecchiare le modifiche di denominazione del prodotto apportate a SAP BusinessObjects
Dashboards.
3.2.2 Servizi
Quando si aggiungono server, è necessario includere alcuni servizi sull'Adaptive Job Server, ad esempio,
il Servizio di pianificazione consegna di destinazione.
Nota:
nelle prossime versioni di manutenzione potrebbero essere aggiunti nuovi servizi o tipi di server.
51
Servizio
Categoria del servizio
Tipo server
Descrizione del servizio
Servizio di connessione adattivo
Servizi di connessione
Adaptive Processing Server
Offre servizi di connettività per i driver basati su Java
2013-09-19
Architettura
Servizio
Servizio di pianificazione aggiornamento
autenticazione
Servizio applicazione
Web BEx
Servizio applicazione
Web BOE
Servizio Business
Process BI
Servizio Central Management
Servizio proxy controllo client
52
Categoria del servizio
Servizi principali
Analysis Services
Servizi principali
Servizi principali
Servizi principali
Servizi principali
Tipo server
Descrizione del servizio
Adaptive Job Server
Fornisce la sincronizzazione degli aggiornamenti per i plug-in
di protezione di terze
parti
Adaptive Processing Server
Fornisce l'integrazione delle applicazioni Web SAP Business
Warehouse (BW) Business Explorer (BEx)
con BI Launch Pad
Server del contenitore di applicazioni Web
Fornisce applicazioni
Web per WACS, inclusi CMC (Central Management Console),
BI Launch Pad e
OpenDocument
Server del contenitore di applicazioni Web
Fornisce i servizi Web
BI Business Process
per WACS, consentendo l'incorporazione
della tecnologia BI
nelle applicazioni
Web. Il servizio BI
Business Process è
obsoleto.
Central Management Server
Fornisce funzionalità
di gestione di server,
utenti, gestione delle
sessioni e protezione
(diritti di accesso e
autenticazione). Affinché il cluster possa
funzionare, è necessario che sia disponibile
almeno un servizio
Central Management
nel cluster.
Adaptive Processing Server
Raccoglie gli eventi di
controllo inviati dai
client e li inoltra al
server CMS
2013-09-19
Architettura
Servizio
Servizio di elaborazione Crystal Reports
2011
Servizi Crystal Reports
Tipo server
Descrizione del servizio
Crystal Reports Processing
Server
Accetta ed elabora i
report Crystal Reports
2011; è in grado di
condividere i dati contenuti in più report
per ridurre il numero
di accessi al database
Servizio di pianificazione Crystal Reports
2011
Servizi Crystal Reports
Adaptive Job Server
Esegue i processi
pianificati di una versione precedente di
Crystal Reports e
pubblica i risultati in
una determinata posizione di output
Servizio di modifica e
visualizzazione Crystal Reports 2011
Servizi Crystal Reports
Report Application Server
(RAS)
Elabora le richieste di
visualizzazione e modifica per i report Crystal Reports 2011.
Crystal Reports Cache Server
Limita il numero di
accessi al database
generati dai report
Crystal e velocizza la
generazione di report
mediante la gestione
di una cache di report
Crystal Reports Processing
Server
Accetta ed elabora i
report Crystal; è in
grado di condividere
i dati contenuti in più
report per ridurre il
numero di accessi al
database
Adaptive Job Server
Esegue i processi
pianificati di una versione nuova di Crystal Reports e pubblica
i risultati in una determinata posizione di
output
Servizio cache Crystal Reports
Servizio di elaborazione Crystal Reports
Servizio di pianificazione Crystal Reports
53
Categoria del servizio
Servizi Crystal Reports
Servizi Crystal Reports
Servizi Crystal Reports
2013-09-19
Architettura
Servizio
Servizio di accesso
ai dati personalizzato
Servizio cache Dashboards
Servizio elaborazione
di Dashboards
Servizio Data Federation
54
Categoria del servizio
Servizi Web Intelligence
Servizi Dashboards
Servizi Dashboards
Servizi Data Federation
Tipo server
Descrizione del servizio
Adaptive Processing Server
Fornisce connessioni
dinamiche a origini
dati che non richiedono un Connection
Server. Questo servizio consente di accedere e aggiornare i
report creati utilizzando alcuni fornitori di
dati personali quali
file CSV. Consultare
Manuale dell'utente di
SAP BusinessObjects
Web Intelligence Rich
Client per ulteriori informazioni sulla creazione di una query o
l'aggiornamento di un
documento basato su
un file di testo.
Server cache di Dashboards
Limita il numero di
accessi al database
generati dai report
Dashboards e velocizza la generazione di
report mediante la
gestione di una cache
di report
Server di elaborazione di
Dashboards
Accetta ed elabora i
report Dashboards; è
in grado di condividere i dati contenuti
in più report per ridurre il numero di accessi al database
Adaptive Processing Server
Esegue query sulle
origini dati sottostanti
ed elabora queste ultime per un universo
con più origini
2013-09-19
Architettura
Servizio
Tipo server
Descrizione del servizio
Esegue i processi
pianificati e pubblica
i risultati in una posizione di output, ad
esempio file system,
server FTP, posta
elettronica o la posta
in arrivo di un utente
Servizio di pianificazione consegna di
destinazione
Servizi principali
Servizio di recupero
documenti
Servizi Web Intelligence
Adaptive Processing Server
Salvataggio automatico e ripristino di documenti Web Intelligence
Servizio DSL Bridge
Servizi Web Intelligence
Adaptive Processing Server
Supporto per la sessione DSL (Dimensional Semantic Layer)
Event Server
Controlla la presenza
di eventi di file in un
File Repository Server (FRS) e attiva i
report da eseguire
quando richiesto
Adaptive Processing Server
Supporta i file Excel
caricati nella piattaforma BI come origini
dati. Consultare Manuale dell'utente di
SAP BusinessObjects
Web Intelligence Rich
Client per ulteriori informazioni sulla creazione di una query o
l'aggiornamento di un
documento basato su
un file Excel.
Servizio eventi
Servizio di accesso
ai dati di Excel
55
Categoria del servizio
Servizi principali
Servizi Web Intelligence
Adaptive Job Server
Nota:
Quando si aggiungono server, è necessario includere alcuni
servizi di Adaptive
Job Server, fra cui
questo servizio.
2013-09-19
Architettura
Servizio
Categoria del servizio
Tipo server
Descrizione del servizio
Servizio Information
Engine
Servizi Web Intelligence
Server di elaborazione Web
Intelligence
Servizio richiesto per
l'elaborazione di documenti Web Intelligence
Servizio archivio file
di input
Servizi principali
Input File Repository Server
Gestisce i report pubblicati e gli oggetti
programma che possono essere utilizzati
per la generazione di
nuovi report quando
si riceve un file di input
Servizio Insight to
Action
Servizi principali
Adaptive Processing Server
Consente di richiamare le azioni e offre
supporto per RRI
Servizio ClearCase
di Lifecycle Management
Servizi Lifecycle Management
Adaptive Processing Server
Fornisce il supporto
ClearCase per LCM
Servizio di pianificazione di Lifecycle
Management
Servizi Lifecycle Management
Adaptive Job Server
Esegue processi pianificati Lifecycle Management
Servizio Lifecycle
Management
Servizi Lifecycle Management
Adaptive Processing Server
Servizio Lifecycle
Management principale
Servizio di monitoraggio
Servizi principali
Adaptive Processing Server
Fornisce funzioni di
monitoraggio
Adaptive Processing Server
Assicura l'accesso ai
dati OLAP (Online
Analytical Processing) multidimensionali;
converte i dati non
elaborati in formato
XML, che può essere
visualizzato in Excel,
PDF o nelle tabelle a
campi incrociati e nei
grafici di Analysis (in
precedenza Voyager)
Servizio di analisi
multidimensionali
56
Analysis Services
2013-09-19
Architettura
Servizio
Categoria del servizio
Tipo server
Descrizione del servizio
Servizio di connessione nativo
Servizi di connessione
Connection Server
Fornisce servizi di connettività nativi per
l'architettura a 64 bit
Servizio di connettività nativo (32 bit)
Servizi di connessione
Connection Server
Fornisce servizi di connettività nativi per
l'architettura a 32 bit
Servizio archivio file
di output
Servizi principali
Output File Repository Server
Gestisce una raccolta
di documenti completati
Servizio di pianificazione ricerca piattaforma
Servizi principali
Adaptive Job Server
Esegue una ricerca
pianificata per indicizzare tutto il contenuto
del repository CMS
(Central Management
Server)
Servizio di ricerca
piattaforma
Servizi principali
Adaptive Processing Server
Fornisce la funzionalità di ricerca per la
piattaforma BI
Adaptive Job Server
Fornisce i processi
pianificati dei probe e
pubblica i risultati in
una posizione di output
Adaptive Job Server
Esegue i programmi
la cui esecuzione è
stata pianificata in un
determinato orario
Adaptive Job Server
Esegue i processi di
pubblicazione pianificati e pubblica i risultati in una posizione
di output
Adaptive Processing Server
Esegue operazioni
sui report dopo il completamento, ad esempio l'invio di report a
una posizione di output
Servizio di pianificazione metriche
Servizio di pianificazione programma
Servizio di pianificazione pubblicazione
Servizio di post-elaborazione pubblicazione
57
Servizi principali
Servizi principali
Servizi principali
Servizi principali
2013-09-19
Architettura
Servizio
Tipo server
Descrizione del servizio
Servizio di pubblicazione
Servizi principali
Adaptive Processing Server
Si coordina con il servizio di post-elaborazione pubblicazione e
il servizio di destinazione per la pubblicazione dei report in
una posizione di output, ad esempio file
system, server FTP,
posta elettronica o la
casella posta in arrivo
di un utente
Servizio Rebean
Servizi Web Intelligence
Adaptive Processing Server
SDK utilizzato da
Web Intelligence ed
Explorer
Servizi principali
Adaptive Job Server
Esegue processi di
federazione pianificati
per replicare i contenuti tra i siti federati
Servizio Web RESTful
Servizi principali
Server contenitore applicazioni Web (WACS)
Fornisce la gestione
di sessione delle richieste Servizio Web
RESTful.
Servizio di pianificazione query di protezione
Servizi principali
Adaptive Job Server
Esegue i processi di
Query protezione pianificati
Servizio token di protezione
Servizi principali
Adaptive Processing Server
Supporto Single Sign
On SAP
Adaptive Processing Server
Traduce elementi InfoObject con l'input
proveniente dal client
di Translation Manager
Adaptive Job Server
Esegue processi pianificati di Differenza
visiva (Lifecycle Management) e pubblica i
risultati in una posizione di output
Servizio di replica
Servizio di traduzione
Servizio di pianificazione differenza visiva
58
Categoria del servizio
Servizi principali
Servizi Lifecycle Management
2013-09-19
Architettura
Servizio
Servizio Differenza
visiva
Categoria del servizio
Servizi Lifecycle Management
Tipo server
Descrizione del servizio
Adaptive Processing Server
Determina se i documenti sono visivamente identici per la promozione di documenti
e Lifecycle Management
Servizio di visualizzazione
Servizi Web Intelligence
Adaptive Processing Server
Un servizio modello
di oggetto visualizzazione comune utilizzato da Web Intelligence
Servizio comune di
Web Intelligence
Servizi Web Intelligence
Server di elaborazione Web
Intelligence
Supporta l'elaborazione di documenti
Web Intelligence
Servizio principale di
Web Intelligence
Servizi Web Intelligence
Server di elaborazione Web
Intelligence
Supporta l'elaborazione di documenti
Web Intelligence
Servizio di elaborazione di Web Intelligence
Servizi Web Intelligence
Server di elaborazione Web
Intelligence
Accetta ed elabora i
documenti Web Intelligence
Servizio di pianificazione di Web Intelligence
Servizi Web Intelligence
Adaptive Job Server
Consente il supporto
di processi Web Intelligence pianificati
SDK di servizi Web e
servizio QaaWS
Servizi principali
Server del contenitore di applicazioni Web
Servizi Web su WACS
3.2.3 Categorie di servizio
Nota:
nelle prossime versioni di manutenzione potrebbero essere aggiunti nuovi servizi o tipi di server.
59
Categoria del servizio
Servizio
Tipo server
Analysis Services
Servizio applicazione Web BEx
Adaptive Processing Server
2013-09-19
Architettura
60
Categoria del servizio
Servizio
Tipo server
Analysis Services
Servizio di analisi multidimensionali
Adaptive Processing Server
Servizi di connessione
Servizio di connessione adattivo
Adaptive Processing Server
Servizi di connessione
Servizio di connessione nativo
Connection Server
Servizi di connessione
Servizio di connettività nativo
(32 bit)
Connection Server
Servizi principali
Servizio di pianificazione aggiornamento autenticazione
Adaptive Job Server
Servizi principali
Servizio Central Management
Central Management Server
Servizi principali
Servizio proxy controllo client
Adaptive Processing Server
Servizi principali
Servizio cruscotto
Dashboard Server
Servizi principali
Servizio di configurazione destinazione
Adaptive Job Server
Servizi principali
Servizio di pianificazione consegna di destinazione
Adaptive Job Server
Servizi principali
Servizio eventi
Event Server
Servizi principali
Servizio Insight to Action
Adaptive Processing Server
Servizi principali
Servizio archivio file di input
Input File Repository Server
Servizi principali
Servizio di monitoraggio
Adaptive Processing Server
Servizi principali
Servizio archivio file di output
Output File Repository Server
Servizi principali
Servizio di pianificazione ricerca
piattaforma
Adaptive Job Server
Servizi principali
Servizio di ricerca piattaforma
Adaptive Processing Server
Servizi principali
Servizio di pianificazione metriche
Adaptive Job Server
Servizi principali
Servizio di pianificazione programma
Adaptive Job Server
Servizi principali
Servizio di pianificazione pubblicazione
Adaptive Job Server
Servizi principali
Servizio di post-elaborazione
pubblicazione
Adaptive Processing Server
2013-09-19
Architettura
61
Categoria del servizio
Servizio
Tipo server
Servizi principali
Servizio di pubblicazione
Adaptive Processing Server
Servizi principali
Servizio di replica
Adaptive Job Server
Servizi principali
Servizio Web RESTful
Server del contenitore di applicazioni Web
Servizi principali
Servizio di pianificazione query
di protezione
Adaptive Job Server
Servizi principali
Servizio token di protezione
Adaptive Processing Server
Servizi principali
Servizio Single Sign-On
Central Management Server,
Connection Server, server di
elaborazione Crystal Reports,
RAS, server di elaborazione di
Dashboards e server di elaborazione di Web Intelligence
Servizi principali
Servizio log analisi
Qualsiasi server
Servizi principali
Servizio di traduzione
Adaptive Processing Server
Servizi principali
Servizio di pianificazione importazione gruppi e utenti
Adaptive Job Server
Servizi principali
Servizio contenitore applicazioni
Web
Server del contenitore di applicazioni Web
Servizi Crystal Reports
Servizio di elaborazione Crystal
Reports 2011
Crystal Reports Processing
Server
Servizi Crystal Reports
Servizio di pianificazione Crystal
Reports 2011
Adaptive Job Server
Servizi Crystal Reports
Servizio di modifica e visualizzazione Crystal Reports 2011
Report Application Server (RAS)
Servizi Crystal Reports
Servizio cache Crystal Reports
Crystal Reports Cache Server
Servizi Crystal Reports
Servizio di elaborazione Crystal
Reports
Crystal Reports Processing
Server
Servizi Crystal Reports
Servizio di pianificazione Crystal
Reports
Adaptive Job Server
Servizi Dashboards
Servizio cache Dashboards
Server cache di Dashboards
Servizi Dashboards
Servizio elaborazione di Dashboards
Server di elaborazione di Dashboards
2013-09-19
Architettura
62
Categoria del servizio
Servizio
Tipo server
Servizi Data Federation
Servizio Data Federation
Adaptive Processing Server
Servizi Lifecycle Management
Servizio ClearCase di Lifecycle
Management
Adaptive Processing Server
Servizi Lifecycle Management
Servizio di pianificazione di Lifecycle Management
Adaptive Job Server
Servizi Lifecycle Management
Servizio Lifecycle Management
Adaptive Processing Server
Servizi Lifecycle Management
Servizio di pianificazione differenza visiva
Adaptive Job Server
Servizi Lifecycle Management
Servizio Differenza visiva
Adaptive Processing Server
Servizi Web Intelligence
Servizio di accesso ai dati personalizzato
Adaptive Processing Server
Servizi Web Intelligence
Servizio di recupero documenti
Adaptive Processing Server
Servizi Web Intelligence
Servizio DSL Bridge
Adaptive Processing Server
Servizi Web Intelligence
Servizio di accesso ai dati di
Excel
Adaptive Processing Server
Servizi Web Intelligence
Servizio Information Engine
Server di elaborazione Web Intelligence
Servizi Web Intelligence
Servizio Rebean
Adaptive Processing Server
Servizi Web Intelligence
Servizio di visualizzazione
Adaptive Processing Server
Servizi Web Intelligence
Servizio comune di Web Intelligence
Server di elaborazione Web Intelligence
Servizi Web Intelligence
Servizio principale di Web Intelligence
Server di elaborazione Web Intelligence
Servizi Web Intelligence
Servizio di monitoraggio Web
Intelligence
Adaptive Processing Server
Servizi Web Intelligence
Servizio di elaborazione di Web
Intelligence
Server di elaborazione Web Intelligence
Servizi Web Intelligence
Servizio di pianificazione di Web
Intelligence
Adaptive Job Server
2013-09-19
Architettura
3.2.4 Tipi di server
Un asterisco accanto al nome di un servizio indica che si tratta di un servizio secondario. Alcuni servizi
secondari vengono creati automaticamente, tuttavia è necessario scegliere di includere altri servizi
secondari dopo aver selezionato il servizio principale dal quale dipende un servizio secondario.
Nota:
nelle prossime versioni di manutenzione potrebbero essere aggiunti nuovi servizi o tipi di server.
63
Tipo server
Servizio
Categoria del servizio
Qualsiasi server
Servizio log analisi
Servizi principali
Adaptive Job Server
Servizio di pianificazione aggiornamento autenticazione
Servizi principali
Adaptive Job Server
Servizio di pianificazione Crystal
Reports 2011
Servizi Crystal Reports
Adaptive Job Server
Servizio di pianificazione Crystal
Reports
Servizi Crystal Reports
Adaptive Job Server
Servizio di configurazione destinazione
Servizi principali
Adaptive Job Server
Servizio di pianificazione consegna di destinazione
Servizi principali
Adaptive Job Server
Servizio di pianificazione di Lifecycle Management
Servizi Lifecycle Management
Adaptive Job Server
Servizio di pianificazione ricerca
piattaforma
Servizi principali
Adaptive Job Server
Servizio di pianificazione metriche
Servizi principali
Adaptive Job Server
Servizio di pianificazione programma
Servizi principali
Adaptive Job Server
Servizio di pianificazione pubblicazione
Servizi principali
Adaptive Job Server
Servizio di replica
Servizi principali
Adaptive Job Server
Servizio di pianificazione query
di protezione
Servizi principali
2013-09-19
Architettura
64
Tipo server
Servizio
Categoria del servizio
Adaptive Job Server
Servizio di pianificazione importazione gruppi e utenti
Servizi principali
Adaptive Job Server
Servizio di pianificazione differenza visiva
Servizi Lifecycle Management
Adaptive Job Server
Servizio di pianificazione di Web
Intelligence
Servizi Web Intelligence
Adaptive Processing Server
Servizio di connessione adattivo
Servizi di connessione
Adaptive Processing Server
Servizio applicazione Web BEx
Analysis Services
Adaptive Processing Server
Servizio proxy controllo client
Servizi principali
Adaptive Processing Server
Servizio di accesso ai dati personalizzato
Servizi Web Intelligence
Adaptive Processing Server
Servizio Data Federation
Servizi Data Federation
Adaptive Processing Server
Servizio di recupero documenti
Servizi Web Intelligence
Adaptive Processing Server
Servizio DSL Bridge
Servizi Web Intelligence
Adaptive Processing Server
Servizio di accesso ai dati di
Excel
Servizi Web Intelligence
Adaptive Processing Server
Servizio Insight to Action
Servizi principali
Adaptive Processing Server
Servizio ClearCase di Lifecycle
Management
Servizi Lifecycle Management
Adaptive Processing Server
Servizio Lifecycle Management
Servizi Lifecycle Management
Adaptive Processing Server
Servizio di monitoraggio
Servizi principali
Adaptive Processing Server
Servizio di analisi multidimensionali
Analysis Services
Adaptive Processing Server
Servizio di ricerca piattaforma
Servizi principali
Adaptive Processing Server
Servizio di post-elaborazione
pubblicazione
Servizi principali
Adaptive Processing Server
Servizio di pubblicazione
Servizi principali
Adaptive Processing Server
Servizio Rebean
Servizi Web Intelligence
Adaptive Processing Server
Servizio token di protezione
Servizi principali
Adaptive Processing Server
Servizio di traduzione
Servizi principali
2013-09-19
Architettura
65
Tipo server
Servizio
Categoria del servizio
Adaptive Processing Server
Servizio Differenza visiva
Servizi Lifecycle Management
Adaptive Processing Server
Servizio di visualizzazione
Servizi Web Intelligence
Adaptive Processing Server
Servizio di monitoraggio Web
Intelligence
Servizi Web Intelligence
Central Management Server
Servizio Central Management
Servizi principali
Central Management Server
Servizio Single Sign-On
Servizi principali
Connection Server
Servizio di connessione nativo
Servizi di connessione
Connection Server
Servizio di connettività nativo
(32 bit)
Servizi di connessione
Connection Server
Servizio Single Sign-On
Servizi principali
Crystal Reports Cache Server
Servizio cache Crystal Reports
Servizi Crystal Reports
Crystal Reports Processing
Server
Servizio di elaborazione Crystal
Reports 2011
Servizi Crystal Reports
Crystal Reports Processing
Server
Servizio di elaborazione Crystal
Reports
Servizi Crystal Reports
Crystal Reports Processing
Server
Servizio Single Sign-On
Servizi principali
Server cache di Dashboards
Servizio cache Dashboards
Servizi Dashboards
Server di elaborazione di Dashboards
Servizio elaborazione di Dashboards
Servizi Dashboards
Server di elaborazione di Dashboards
Servizio Single Sign-On
Servizi principali
Dashboard Server
Servizio cruscotto
Servizi principali
Event Server
Servizio eventi
Servizi principali
Input File Repository Server
Servizio archivio file di input
Servizi principali
Output File Repository Server
Servizio archivio file di output
Servizi principali
Report Application Server (RAS)
Servizio di modifica e visualizzazione Crystal Reports 2011
Servizi Crystal Reports
RAS
Servizio Single Sign-On
Servizi principali
Server del contenitore di applicazioni Web
Servizio Web RESTful
Servizi principali
2013-09-19
Architettura
66
Tipo server
Servizio
Categoria del servizio
Server del contenitore di applicazioni Web
Servizio contenitore applicazioni
Web
Servizi principali
Server di elaborazione Web Intelligence
Servizio Information Engine
Servizi Web Intelligence
Server di elaborazione Web Intelligence
Servizio Single Sign-On
Servizi principali
Server di elaborazione Web Intelligence
Servizio comune di Web Intelligence
Servizi Web Intelligence
Server di elaborazione Web Intelligence
Servizio principale di Web Intelligence
Servizi Web Intelligence
Server di elaborazione Web Intelligence
Servizio di elaborazione di Web
Intelligence
Servizi Web Intelligence
Tipo server
Servizio
Categoria del servizio
Adaptive Job Server
Servizio di pianificazione aggiornamento autenticazione
Servizi principali
Adaptive Job Server
Servizio di pianificazione Crystal
Reports 2011
Servizi Crystal Reports
Adaptive Job Server
Servizio di pianificazione Crystal
Reports
Servizi Crystal Reports
Adaptive Job Server
Servizio di pianificazione consegna di destinazione
Servizi principali
Adaptive Job Server
Servizio di pianificazione di Lifecycle Management
Servizi Lifecycle Management
Adaptive Job Server
Servizio di pianificazione ricerca
piattaforma
Servizi principali
Adaptive Job Server
Servizio di pianificazione metriche
Servizi principali
Adaptive Job Server
Servizio di pianificazione programma
Servizi principali
Adaptive Job Server
Servizio di pianificazione pubblicazione
Servizi principali
Adaptive Job Server
Servizio di replica
Servizi principali
2013-09-19
Architettura
67
Tipo server
Servizio
Categoria del servizio
Adaptive Job Server
Servizio di pianificazione query
di protezione
Servizi principali
Adaptive Job Server
Servizio di pianificazione differenza visiva
Servizi Lifecycle Management
Adaptive Job Server
Servizio di pianificazione di Web
Intelligence
Servizi Web Intelligence
Adaptive Processing Server
Servizio di connessione adattivo
Servizi di connessione
Adaptive Processing Server
Servizio applicazione Web BEx
Analysis Services
Adaptive Processing Server
Servizio proxy controllo client
Servizi principali
Adaptive Processing Server
Servizio di accesso ai dati personalizzato
Servizi Web Intelligence
Adaptive Processing Server
Servizio Data Federation
Servizi Data Federation
Adaptive Processing Server
Servizio di recupero documenti
Servizi Web Intelligence
Adaptive Processing Server
Servizio DSL Bridge
Servizi Web Intelligence
Adaptive Processing Server
Servizio di accesso ai dati di
Excel
Servizi Web Intelligence
Adaptive Processing Server
Servizio Insight to Action
Servizi principali
Adaptive Processing Server
Servizio ClearCase di Lifecycle
Management
Servizi Lifecycle Management
Adaptive Processing Server
Servizio Lifecycle Management
Servizi Lifecycle Management
Adaptive Processing Server
Servizio di monitoraggio
Servizi principali
Adaptive Processing Server
Servizio di analisi multidimensionali
Analysis Services
Adaptive Processing Server
Servizio di ricerca piattaforma
Servizi principali
Adaptive Processing Server
Servizio di post-elaborazione
pubblicazione
Servizi principali
Adaptive Processing Server
Servizio di pubblicazione
Servizi principali
Adaptive Processing Server
Servizio Rebean
Servizi Web Intelligence
Adaptive Processing Server
Servizio token di protezione
Servizi principali
Adaptive Processing Server
Servizio di traduzione
Servizi principali
2013-09-19
Architettura
68
Tipo server
Servizio
Categoria del servizio
Adaptive Processing Server
Servizio Differenza visiva
Servizi Lifecycle Management
Adaptive Processing Server
Servizio di visualizzazione
Servizi Web Intelligence
Central Management Server
Servizio Central Management
Servizi principali
Connection Server
Servizio di connessione nativo
Servizi di connessione
Connection Server
Servizio di connettività nativo
(32 bit)
Servizi di connessione
Crystal Reports Cache Server
Servizio cache Crystal Reports
Servizi Crystal Reports
Crystal Reports Processing
Server
Servizio di elaborazione Crystal
Reports 2011
Servizi Crystal Reports
Crystal Reports Processing
Server
Servizio di elaborazione Crystal
Reports
Servizi Crystal Reports
Server cache di Dashboards
Servizio cache Dashboards
Servizi Dashboards
Server di elaborazione di Dashboards
Servizio elaborazione di Dashboards
Servizi Dashboards
Dashboard Server
Servizio cruscotto
Servizi principali
Event Server
Servizio eventi
Servizi principali
Input File Repository Server
Servizio archivio file di input
Servizi principali
Output File Repository Server
Servizio archivio file di output
Servizi principali
Report Application Server (RAS)
Servizio di modifica e visualizzazione Crystal Reports 2011
Servizi Crystal Reports
Server del contenitore di applicazioni Web
Servizio Web RESTful
Servizi principali
Server di elaborazione Web Intelligence
Servizio Information Engine
Servizi Web Intelligence
Server di elaborazione Web Intelligence
Servizio comune di Web Intelligence
Servizi Web Intelligence
Server di elaborazione Web Intelligence
Servizio principale di Web Intelligence
Servizi Web Intelligence
Server di elaborazione Web Intelligence
Servizio di elaborazione di Web
Intelligence
Servizi Web Intelligence
2013-09-19
Architettura
3.2.5 Server
I server sono raccolte di servizi eseguiti su un host mediante Server Intelligence Agent (SIA). Il tipo di
server viene definito in base ai servizi eseguiti al suo interno. I server possono essere creati in Central
Management Console (CMC). Nella tabella che segue sono riportati i diversi tipi di server che possono
essere creati nella console CMC.
Server
Descrizione
Adaptive Job Server
Server generico che elabora processi pianificati. Quando si aggiunge un
Job Server al sistema della piattaforma BI, è possibile configurarlo in
modo da elaborare report, documenti, programmi o pubblicazioni e inviare
i risultati a destinazioni differenti.
Adaptive Processing Server Server generico che ospita i servizi responsabili dell'elaborazione di richieste provenienti da diverse origini.
Il programma di installazione installa un Adaptive Processing Server
(APS) per sistema host. In base alle funzionalità installate, il server APS
può ospitare un numero elevato di servizi, tra cui il servizio di monitoraggio, il servizio Lifecycle Management, il servizio di analisi multidimensionale (MDAS), quello di pubblicazione e altri ancora.
Per i sistemi di produzione o di test, la procedura consigliata consiste nel
creare ulteriori APS e nel configurarli in base alle specifiche esigenze
aziendali. Per ulteriori informazioni, consultare Introduzione alla Configurazione guidata del sistema e Configurazione degli Adaptive Processing
Server per i sistemi di produzione.
69
Central Management Server (CMS)
Gestisce un database di informazioni sul sistema della piattaforma BI
(nel database di sistema CMS) e le azioni utente sottoposte a controllo
(nell'archivio dati di controllo). Tutti i servizi della piattaforma sono gestiti
dal server CMS. Il CMS controlla anche l'accesso ai file di sistema in cui
sono memorizzati i documenti e le informazioni su utenti, gruppi di utenti,
livelli di protezione (inclusa l'autenticazione e l'autorizzazione) e il contenuto.
Connection Server
Fornisce l'accesso al database dei dati di origine. Supporta i database
relazionali, nonché OLAP e altri formati. Il Connection Server è responsabile della gestione della connessione e dell'interazione con le varie
origini dati e della fornitura di un insieme di funzionalità comuni ai client.
2013-09-19
Architettura
Server
Descrizione
Crystal Reports Cache Ser- Intercetta le richieste di report inviate dai client al Page Server. Se il
ver
Cache Server non è in grado di soddisfare la richiesta con una pagina di
report memorizzata, passa la richiesta al server di elaborazione Crystal
Reports, il quale esegue il report e restituisce i risultati. Il Cache Server
memorizza quindi la pagina del report per consentirne l'eventuale utilizzo
in futuro.
Crystal Reports Processing Risponde alle richieste di pagina elaborando report e generando pagine
Server
EPF (Encapsulated Page Format). Il vantaggio principale del formato
EPF è che supporta l'accesso alla pagina su richiesta in modo che venga
restituita solo la pagina richiesta, non l'intero report. Le prestazioni del
sistema risultano migliorate e il traffico di rete viene ridotto sensibilmente
per i report di grandi dimensioni.
70
Server cache di Dashboards
Intercetta le richieste di report inviate dai client a Dashboard Server. Se
il Cache Server non è in grado di soddisfare la richiesta con una pagina
di report memorizzata, passa la richiesta a Dashboard Server, il quale
esegue il report e restituisce i risultati. Il Cache Server memorizza quindi
la pagina del report per consentirne l'eventuale utilizzo in futuro.
Server di elaborazione di
Dashboards
Risponde alle richieste di Dashboards elaborando report e generando
pagine EPF (Encapsulated Page Format). Il vantaggio principale del formato EPF è che supporta l'accesso alla pagina su richiesta in modo che
venga restituita solo la pagina richiesta, non l'intero report. Le prestazioni
del sistema risultano migliorate e il traffico di rete viene ridotto sensibilmente per i report di grandi dimensioni.
Event Server
Monitora gli eventi del sistema, che possono avere la funzione di trigger
per l'esecuzione di un report. Quando si imposta l'attivazione di un evento,
Event Server monitora la condizione e invia una notifica al server CMS
per segnalare che si è verificato un evento. Il server CMS avvia quindi
qualsiasi processo dipendente dall'evento. Event Server gestisce gli
eventi basati su file che si verificano nel livello di archiviazione.
2013-09-19
Architettura
Server
Descrizione
File Repository Server
Responsabile della creazione di oggetti del file system, quali report
esportati e file importati in formati non nativi. Un FRS di input memorizza
gli oggetti report e programma che sono stati pubblicati nel sistema dagli
amministratori o dagli utenti finali. Un FRS di output memorizza tutte le
istanze di report generate dal Job Server.
Server di elaborazione Web Elabora documenti SAP BusinessObjects Web Intelligence.
Intelligence
Report Application Server
Offre funzionalità per la creazione di report ad-hoc che consentono agli
utenti di creare e modificare report Crystal utilizzando l'SDK (Software
Development Kit) di SAP Crystal Reports Server Embedded.
3.3 Applicazioni client
È possibile interagire con la piattaforma BI mediante due tipi principali di applicazioni client:
• Applicazioni desktop
Tali applicazioni devono essere installate in un sistema operativo Microsoft Windows supportato e
sono in grado di elaborare dati e creare report a livello locale.
Nota:
Il programma di installazione della piattaforma BI non installa più le applicazioni desktop. Per installare
le applicazioni desktop in un server, utilizzare il programma di installazione autonomo Strumenti
client della piattaforma SAP BusinessObjects Business Intelligence.
I client desktop consentono di ridurre il carico di lavoro dovuto all'elaborazione di report BI su alcuni
computer. La maggior parte delle applicazioni desktop accede direttamente ai dati di
un'organizzazione tramite driver installati sul desktop e comunica con la distribuzione della piattaforma
BI tramite CORBA o SSL CORBA crittografato.
Tali applicazioni includono Crystal Reports e Live Office.
Nota:
Benché Live Office sia un'applicazione ricca di funzionalità, si interfaccia con i servizi Web della
piattaforma BI via HTTP.
•
Applicazioni Web
Queste applicazioni risiedono su un server di applicazioni Web ed è possibile accedervi tramite un
browser Web supportato sui sistemi operativi Windows, Macintosh, Unix e Linux.
Ciò consente di fornire accesso BI (business intelligence) a grandi gruppi di utenti, senza la necessità
di dover distribuire prodotti software desktop. La comunicazione viene gestita via HTTP, con o senza
crittografia SSL (HTTPS).
71
2013-09-19
Architettura
Alcuni esempi di questo tipo di applicazione sono BI Launch Pad, SAP BusinessObjects Web
Intelligence, la Central Management Console (CMC) e i visualizzatori di report.
3.3.1 Installato con gli Strumenti client della piattaforma SAP BusinessObjects
Business Intelligence
3.3.1.1 Web Intelligence Rich Client
Web Intelligence Rich Client è uno strumento di analisi e creazione report ad-hoc disponibile per gli
utenti aziendali con o senza accesso alla piattaforma BI.
Consente agli utenti business di accedere ai dati mediante universi (.unv e .unx), query BEx o altre
origini utilizzando termini aziendali familiari in un'interfaccia di trascinamento e rilascio. I workflow
consentono di analizzare le domande molto ampie o molto circoscritte e di porre ulteriori domande in
qualsiasi fase del workflow di analisi.
Gli utenti di Web Intelligence Rich Client possono continuare a utilizzare i file dei documenti Web
Intelligence (.wid) anche quando non sono in grado di connettersi a un CMS (Central Management
Server).
3.3.1.2 Business View Manager
Business View Manager consente agli utenti di creare oggetti di livello semantico che semplificano la
complessità del database sottostante.
Business View Manager consente di creare connessioni dati, connessioni dati dinamiche, basi dati,
elementi aziendali, viste aziendali e viste relazionali. Consente inoltre di impostare la protezione
dettagliata a livello di colonna e di riga per gli oggetti contenuti in un report.
I progettisti possono creare connessioni a più origini dati, unire le tabelle, creare alias dei nomi di campi,
creare campi calcolati, quindi utilizzare la struttura semplificata come vista aziendale. Progettisti e utenti
di report possono quindi utilizzare la vista aziendale come base per i propri report anziché creare le
proprie query direttamente dai dati.
72
2013-09-19
Architettura
3.3.1.3 Strumento di conversione dei report
Lo Strumento di conversione dei report converte i report in formato Web Intelligence e li pubblica su
un server CMS (Central Management Server).
I report possono essere recuperati dalle cartelle Pubblica, Preferiti o Posta in arrivo del
CMS. Terminata la conversione, è possibile pubblicare i report nella stessa cartella del report Web
Intelligence originale o in una cartella differente. Lo strumento non converte tutte le funzionalità e i
report Web Intelligence. Il livello di conversione dipende dalle funzioni del report originale. Alcune
funzioni impediscono la conversione del report, mentre altre vengono modificate, reimplementate o
rimosse dallo strumento durante la conversione.
Lo Strumento di conversione dei report consente anche di controllare i report convertiti. Questa
operazione agevola l'identificazione dei report che non sono stati convertiti totalmente dallo Strumento
di conversione dei report e l'individuazione del motivo.
3.3.1.4 Universe Design Tool
Universe Designer Tool (in precedenza Universe Designer) consente ai progettisti di dati di combinare
i dati provenienti da più origini in un livello semantico che nasconde la complessità del database agli
utenti finali. Limita la complessità dei dati utilizzando un linguaggio aziendale anziché tecnico per
accedere, modificare e organizzare i dati.
Universe Designer Tool offre un'interfaccia grafica per la selezione e la visualizzazione delle tabelle in
un database. Le tabelle del database sono rappresentate come simboli di tabella nel diagramma di uno
schema. I progettisti possono utilizzare questa interfaccia per manipolare tabelle, creare join tra tabelle,
tabelle alias, contesti e risolvere loop negli schemi.
È anche possibile creare universi da origini metadati. Universe Designer Tool viene utilizzato per la
generazione degli universi al termine del processo di creazione.
3.3.1.5 Query come servizio Web
Query come servizio Web è un'applicazione basata su procedure guidate che consente di creare query
in un servizio Web e di integrarle in applicazioni predisposte per il Web. È possibile salvare le query
per creare un catalogo di query standard selezionabili secondo le necessità.
73
2013-09-19
Architettura
Il contenuto di Business Intelligence (BI) è normalmente legato a una particolare interfaccia utente di
strumenti BI. Nel caso di Query come servizio Web non è così, in quanto il contenuto BI può essere
consegnato a qualsiasi interfaccia utente in grado di elaborare i servizi Web.
L'applicazione Query come servizio Web è progettata per essere utilizzata, come altri servizi Web, su
qualsiasi applicazione Microsoft Windows. Query come servizio Web è basato sulle specifiche di servizio
Web W3C SOAP, SDL e XML. È composto da due componenti principali:
• Componente server
Il componente server, incluso nella piattaforma BI, archivia il catalogo Query come servizio Web e
ospita i servizi Web pubblicati.
•
Strumento client
È questo il modo in cui gli utenti aziendali creano e pubblicano le query come servizio Web nel
server. È possibile installare lo strumento client in diversi computer che possono accedere e
condividere lo stesso catalogo memorizzato nel server. Lo strumento client comunica con i componenti
server tramite servizi Web.
Query come servizio Web consente di utilizzare le query Web come parte di una gamma di soluzioni
lato client, tra cui:
• Microsoft Office, Excel e InfoPath
• SAP NetWeaver
• OpenOffice
• Regole di business e applicazioni per la gestione dei processi
• Piattaforme Enterprise Service Bus
3.3.1.6 Information Design Tool
Information Design Tool (in precedenza Information Designer) è un ambiente di progettazione di metadati
che consente di estrarre, definire e manipolare i metadati dalle origini relazionali e OLAP per creare e
distribuire universi SAP BusinessObjects.
3.3.1.7 Translation Management Tool
La piattaforma BI fornisce il supporto per documenti e universi multilingue. Un documento multilingue
contiene versioni localizzate dei metadati degli universi e i prompt del documento. Un utente può creare
report, ad esempio, dallo stesso universo nelle lingue scelte.
Translation Management Tool (in precedenza Translation Manager) è lo strumento che definisce gli
universi multilingue e gestisce la traduzione degli universi e di altre risorse analitiche nel repository
CMS.
74
2013-09-19
Architettura
Translation Management Tool:
• Traduce l'universo o documenti per destinatari che utilizzano lingue diverse.
• Definisce le parti della lingua dei metadati di un documento e la traduzione appropriata. Genera un
formato XLIFF esterno e importa i file XLIFF per ottenere informazioni tradotte.
• Elenca l'universo o la struttura del documento da tradurre.
• Consente di tradurre i metadati mediante l'interfaccia utente o uno strumento di traduzione esterno,
importando ed esportando i file XLIFF.
• Crea documenti multilingue.
3.3.1.8 Strumento di amministrazione di Data Federation
Lo strumento di amministrazione di Data Federation (in precedenza Data Federator) è un'applicazione
rich client che offre funzionalità facili da usare per la gestione del servizio Data Federation.
Completamente integrato nella piattaforma BI, il servizio Data Federation consente universi con più
origini grazie alla distribuzione di query in più origini dati nonché la federazione dei dati tramite una
sola base dati.
Lo strumento di amministrazione di Data Federation consente di ottimizzare le query Data Federation
e ottimizzare il motore delle query Data Federation per ottenere le migliori prestazioni possibili.
Lo strumento di amministrazione Data Federation può essere utilizzato per effettuare le seguenti
operazioni.
• Verificare le query SQL.
•
Visualizzare i piani di ottimizzazione che descrivono in dettaglio la distribuzione delle query federate
in ciascuna origine.
•
Calcolare le “statistiche” e impostare i parametri di sistema per ottimizzare i servizi Data Federation
e ottenere le migliori prestazioni possibili.
•
Gestire le proprietà per controllare in che modo le query vengono eseguite in ciascuna origine dati
al livello del connettore.
•
Monitorare le query SQL in esecuzione.
•
Sfogliare la cronologia delle query eseguite.
3.3.1.9 Widget per la piattaforma BI
I widget sono piccole applicazioni che consentono l'accesso agevole e rapido alle funzioni utilizzate
con maggiore frequenza e forniscono informazioni visive dal desktop. I widget per la piattaforma BI (in
75
2013-09-19
Architettura
precedenza BI Widgets) consentono all'organizzazione di fornire l'accesso ai contenuti di Business
Intelligence (BI) esistenti nella piattaforma BI. In alternativa, è possibile aggiungere applicazioni Web
Dynpro registrate come widget XBCML (Extensible Business Client Markup Language) sui server SAP
NetWeaver Application Server come widget del desktop.
Per eseguire il rendering di widget XBCML sul desktop dell'utente, si utilizza SAP Web Dynpro Flex
Client. SAP Web Dynpro Flex Client è un motore di rendering basato su Adobe Flex utilizzato per il
rendering di widget. Per informazioni dettagliate su come configurare le applicazioni Web Dynpro,
vedere l'argomento Abilitazione dei widget sul server SAP NetWeaver Application Server nel manuale
Manuale dell'utente dei widget per SAP BusinessObjects.
Nota:
Il supporto di SAP Web Dynpro Flex Client per XBCML Widgets inizia nella versione 7.0 EhP2 SP3. Il
supporto della coda di Flex Client è limitato solo ai problemi di Flex Client trovato solo nei widget XBCML
nelle versioni specificate.
Grazie ai widget, è possibile eseguire ricerche nel contenuto esistente, ad esempio in documenti Web
Intelligence, modelli Dashboards e applicazioni Web Dynpro, quindi incollare le informazioni chiave sul
desktop in modo da renderle disponibili quando necessario.
La natura dei widget consente di utilizzare per il contenuto le seguenti funzionalità dell'ambiente dei
widget:
• Dimensione e posizionamento controllati dall'utente
• Aggiornamento automatico
• Impostazione facoltativa come finestra dell'applicazione principale
• Protezione completa della piattaforma BI (solo per le parti di report Web Intelligence e i modelli
Dashboards)
• Visualizzazione salvata
• Stato del contesto dati salvato (solo per le parti di report Web Intelligence)
• Collegamenti OpenDocument Web Intelligence a report dettagliati (solo per i documenti Web
Intelligence)
• Visualizzazioni a schede (solo per i modelli Dashboards)
3.3.2 Installato con la piattaforma SAP BusinessObjects Business Intelligence
3.3.2.1 Central Configuration Manager (CCM)
CCM (Central Configuration Manager) è uno strumento di configurazione per la gestione dei nodi e la
risoluzione dei problemi del server fornito in due modalità. In un ambiente Microsoft Windows, CCM
76
2013-09-19
Architettura
consente di gestire server locali e remoti tramite l'interfaccia utente grafica o la riga di comando. In
ambiente Unix lo script di shell di CCM (ccm.sh) consente di gestire i server da una riga di comando.
CCM viene utilizzato per creare e configurare nodi e per avviare o interrompere il server di applicazioni
Web, se questo è il server di applicazioni Web Tomcat in bundle predefinito. In Windows è anche
possibile configurare parametri di rete, ad esempio la crittografia SSL (Secure Sockets Layer). Questi
parametri si applicano a tutti i server in un nodo.
Nota:
La maggior parte dei task di gestione server viene ora gestita tramite la console CMC, non CCM. CCM
è ora utilizzato per la risoluzione dei problemi e per la configurazione dei nodi.
3.3.2.2 Upgrade Management Tool
Upgrade Management Tool (in precedenza Importazione guidata) viene installato come parte della
piattaforma BI e guida gli amministratori attraverso il processo di importazione di utenti, gruppi e cartelle
di versioni precedenti della piattaforma BI. Consente inoltre di importare e aggiornare eventi, gruppi di
server, oggetti repository e calendari.
Per informazioni sull'esecuzione dell'aggiornamento da una versione precedente della piattaforma BI,
consultare il Manuale di aggiornamento della piattaforma SAP BusinessObjects Business Intelligence
.
3.3.2.3 Strumento Repository Diagnostic Tool
Lo strumento Repository Diagnostic Tool (RDT) consente di esaminare, diagnosticare e risolvere i
conflitti che possono verificarsi tra il database di sistema CMS (Central Management Server) e l'archivio
di file FRS (File Repository Server).
Segnala inoltre lo stato del ripristino e le azioni completate. Per determinare la sincronizzazione tra il
file system e il database, è necessario che lo strumento RDT venga utilizzato al termine di un backup
a caldo da parte dell'utente. Può essere utilizzato anche dopo un ripristino e prima di avviare i servizi
della piattaforma BI. L'utente può impostare un limite per il numero di errori che lo strumento RDT può
trovare e ripristinare prima di interrompersi.
3.3.3 Disponibile separatamente
77
2013-09-19
Architettura
3.3.3.1 SAP BusinessObjects Analysis, versione per Microsoft Office
SAP BusinessObjects Analysis, versione per Microsoft Office, è un'eccellente alternativa a Business
Explorer (BEx) e consente agli analisti aziendali di esplorare dati OLAP (Online Analytical Processing)
multidimensionali.
Gli analisti possono rispondere rapidamente a domande concernenti l'azienda e condividere quindi la
propria analisi e lo spazio di lavoro con altri in forma di analisi.
SAP BusinessObjects Analysis, versione per Microsoft Office, consente agli analisti di:
• Rilevare tendenze, valori fuori norma e dettagli memorizzati nei sistemi finanziari senza l'assistenza
di un amministratore di database;
• Ottenere risposte a domande aziendali visualizzando al contempo con efficienza insiemi di dati
multidimensionali piccoli o grandi;
• Accedere all'intera gamma di origini dati OLAP disponibili nell'azienda e condividere risultati con
un'interfaccia semplice e intuitiva;
• Accedere a più origini OLAP diverse nella stessa analisi per ottenere una visione complessiva
dell'azienda e dell'impatto incrociato che una tendenza potrebbe avere su un'altra;
• Interrogare, analizzare, confrontare e prevedere fattori di sviluppo aziendali;
• Utilizzare una gamma completa di calcoli aziendali e temporali.
3.3.3.2 SAP Crystal Reports
Il software SAP Crystal Reports consente agli utenti di progettare report interattivi da un'origine dati.
3.3.3.3 SAP BusinessObjects Dashboards
SAP BusinessObjectsDashboards (in precedenza Xcelsius) è uno strumento per la visualizzazione dei
dati e la creazione di cruscotti dinamici e interattivi. I dati e le formule vengono importati o immessi
direttamente in un foglio di lavoro di Excel incorporato. Un'interfaccia Flash fornisce un'area di disegno
in cui è possibile visualizzare una varietà di analitiche e cruscotti.
I dati possono essere aggiornati dinamicamente dalla piattaforma BI ed esportati in svariati formati che
gli utenti dei dati possono visualizzare nei formati standard, ad esempio PowerPoint, PDF o Flash.
78
2013-09-19
Architettura
3.3.3.4 SAP BusinessObjects Explorer
SAP BusinessObjects Explorer è un'applicazione per l'individuazione dei dati che, grazie a funzionalità
di ricerca avanzate, consente di recuperare direttamente e rapidamente le risposte a domande aziendali
dai dati aziendali.
Quando si installa SAP BusinessObjects Explorer, al CCM (Central Configuration Manager) e alla CMC
(Central Management Console ) della piattaforma BI vengono aggiunti i server seguenti:
• Server master Explorer: gestisce tutti i server Explorer.
• Server di indicizzazione Explorer: fornisce e gestisce l'indicizzazione dei dati e dei metadati dello
spazio informazioni.
• Server di ricerca Explorer: elabora le query di ricerca e restituisce i risultati.
• Server di esplorazione Explorer: fornisce e gestisce l'esplorazione dello spazio informazioni e le
funzioni di analisi, incluse le funzioni di ricerca nei dati, filtro e aggregazione.
3.3.4 Client di applicazioni Web
I client di applicazioni Web risiedono su un server di applicazioni Web ed è possibile accedervi da un
computer client con un browser Web. Le applicazioni Web vengono distribuite automaticamente durante
l'installazione della piattaforma BI.
Per gli utenti è facile accedere alle applicazioni Web da un browser Web ed è possibile proteggere le
comunicazioni con la crittografia SSL se si prevede di consentire agli utenti di accedere dall'esterno
della rete dell'organizzazione.
Le applicazioni Web Java possono inoltre essere riconfigurate o distribuite dopo l'installazione iniziale
utilizzando lo strumento WDeploy della riga di comando, che consente di distribuire le applicazioni Web
a un server di applicazioni Web in due modi:
1. Modalità autonoma
Tutte le risorse di applicazioni Web vengono distribuite a un server di applicazioni Web che gestisce
contenuto sia statico che dinamico. Questa opzione è adatta alle installazioni di piccole dimensioni.
2. Modalità divisa
Il contenuto statico delle applicazioni Web (HTML, immagini, CSS) viene distribuito a un server Web
dedicato, mentre il contenuto dinamico (JSP) viene distribuito a un server di applicazioni Web.
Questa opzione è adatta alle installazioni di dimensioni maggiori, in cui sarà possibile evitare che il
server di applicazioni Web gestisca il contenuto Web statico.
Per ulteriori informazioni su WDeploy, consultare il Manuale della distribuzione in rete di applicazioni
Web della piattaforma SAP BusinessObjects Business Intelligence.
79
2013-09-19
Architettura
3.3.4.1 Central Management Console (CMC)
La Central Management Console (CMC) è uno strumento basato su Web che si utilizza per eseguire
attività amministrative (quali la gestione di server, contenuti e utenti) e per configurare le impostazioni
di protezione. Poiché la console CMC è un'applicazione basata su Web, è possibile eseguire tutti i task
amministrativi mediante un browser Web in qualsiasi computer in grado di connettersi al server di
applicazioni Web.
Tutti gli utenti possono accedere a CMC per modificare le impostazioni delle preferenze. Solo i membri
del gruppo Amministratori possono modificare le impostazioni di gestione, a meno che tale diritto non
venga esplicitamente concesso ad altri utenti. I ruoli possono essere assegnati in CMC per garantire
privilegi utente per portare a termine attività amministrative minori, quali la gestione di utenti nel gruppo
e di report nelle cartelle appartenenti al proprio team.
3.3.4.2 BI Launch Pad
BI Launch Pad (in precedenza InfoView) è un'interfaccia basata sul Web a cui gli utenti finali accedono
per visualizzare, pianificare e tenere traccia dei report BI pubblicati. BI Launch Pad può accedere,
esportare e interagire con qualsiasi tipo di elemento Business Intelligence, tra cui report, analitiche e
cruscotti.
BI Launch Pad consente agli utenti di gestire:
• Esplorazione e ricerca nei contenuti BI
• Accesso al contenuto BI (creazione, modifica e visualizzazione).
• Pianificazione e pubblicazione di contenuto BI.
3.3.4.3 Spazi di lavoro BI
BI Workspaces (in precedenza Dashboard Builder) consente di tenere traccia delle attività e delle
prestazioni aziendali utilizzando moduli (modelli per i dati) e workspace Business Intelligence (BI)
(visualizzazione dei dati in uno o più moduli). I moduli e gli spazi di lavoro BI forniscono le informazioni
necessarie per modificare le regole di business al variare delle condizioni. Consente di tenere traccia
e di analizzare i dati aziendali principali attraverso i moduli e gli spazi di lavoro BI. Supporta inoltre
analisi e decisioni di gruppo tramite funzioni integrate di collaborazione e flusso di lavoro. BI Workspaces
presenta le funzionalità seguenti:
• Esplorazione basata su schede
80
2013-09-19
Architettura
•
•
•
Creazione di pagine: gestione di moduli e spazi di lavoro BI
Uno strumento intuitivo di creazione delle applicazioni
Collegamento del contenuto tra i moduli per analisi approfondite dei dati
Nota:
gli spazi di lavoro BI sono parte integrante dell'applicazione BI Launch Pad. Pertanto, per utilizzare le
funzionalità degli spazi di lavoro BI, è necessario acquistare una licenza della piattaforma SAP
BusinessObjects Business Intelligence che includa nell'accordo l'utilizzo di BI Launch Pad.
3.3.4.4 Visualizzatori di report
Ogni visualizzatore di report supporta una diversa piattaforma e un browser differente. È possibile
impostare le preferenze in BI Launch Pad e nella Central Management Console (CMC). Esistono due
categorie di visualizzatori:
•
Visualizzatori di report lato client (visualizzatore Active X o Java)
I visualizzatori di report lato client vengono scaricati e installati nel browser dell'utente. Quando un
utente richiede un report, il server delle applicazioni elabora la richiesta e recupera le pagine del
report dalla piattaforma BI. Il server di applicazioni Web trasferisce quindi le pagine del report al
visualizzatore lato client, che le elabora e le visualizza nel browser Web. Per scegliere un
visualizzatore di report lato client, selezionare Preferenze > Crystal Reports > Web ActiveX
(ActiveX richiesto) o Web Java (Java richiesto).
•
Visualizzatori di report client zero (visualizzatore DHTML)
I visualizzatori di report client zero risiedono nel server di applicazioni Web. Quando un utente
richiede un report, il server di applicazioni Web recupera le pagine del report dalla piattaforma BI e
crea pagine DHTML che vengono visualizzate nel browser Web. Per scegliere il visualizzatore di
report client zero (DHTML), selezionare Preferenze > Crystal Reports > Web (download non
richiesto)
Tutti i visualizzatori di report elaborano le richieste di report e presentano le pagine di report che appaiono
nel browser Web.
Per ulteriori informazioni su una funzionalità specifica o sul supporto per la piattaforma fornito da ogni
visualizzatore di report, consultare il Manuale dell'utente di BI Launch Pad, il manuale Report Application
Server .NET SDK Developer Guide o il Manuale per gli sviluppatori dell'SDK Java dei visualizzatori.
3.3.4.5 SAP BusinessObjects Web Intelligence
SAP BusinessObjects Web Intelligence è uno strumento Web che offre funzionalità di query, creazione
di report e analisi per le origini dati relazionali in un unico prodotto basato sul Web.
81
2013-09-19
Architettura
Consente agli utenti di creare report, eseguire query ad-hoc, analizzare i dati e formattare i report in
un'interfaccia con trascinamento della selezione. Web Intelligence nasconde la complessità delle origini
dati sottostanti.
I report possono essere pubblicati su un portale Web supportato o in applicazioni Microsoft Office che
utilizzano SAP BusinessObjects Live Office.
3.3.4.6 SAP BusinessObjects Analysis, versione per OLAP
SAP BusinessObjects Analysis, versione per OLAP (in precedenza Voyager), è uno strumento OLAP
(Online Analytical Processing) disponibile nel portale di BI Launch Pad per l'utilizzo dei dati
multidimensionali. Consente inoltre di combinare le informazioni provenienti da diverse origini dati OLAP
all'interno di un unico spazio di lavoro. I provider OLAP supportati includono SAP BW e Microsoft
Analysis Services.
L'insieme di funzionalità OLAP di Analysis combina elementi di SAP Crystal Reports (accesso diretto
dei dati ai cubi OLAP per la creazione di report di produzione) e SAP BusinessObjects Interactive
Analysis (creazione di report analitici ad-hoc con universi da origini dati OLAP). Offre una gamma di
calcoli aziendali e temporali, nonché funzionalità quali dispositivi di scorrimento tempo che semplificano
l'analisi dei dati OLAP.
Nota:
l'applicazione Web Analysis, versione per OLAP, è disponibile solo come applicazione Web Java. Non
esiste un'applicazione corrispondente per .NET.
3.3.4.7 SAP BusinessObjects Mobile
SAP BusinessObjects Mobile consente agli utenti di accedere in modalità remota agli stessi report BI
(Business Intelligence), metriche e dati in tempo reale disponibili sui client desktop da un dispositivo
wireless. Il contenuto viene ottimizzato per i dispositivi mobili in modo tale che gli utenti possano
accedere, navigare e analizzare con facilità i dati dei report familiari senza ulteriore formazione.
Grazie a SAP BusinessObjects Mobile, il personale del settore amministrativo e di gestione delle
informazioni può mantenersi sempre aggiornato e prendere decisioni utilizzando le informazioni più
recenti. Il personale addetto alle vendite e all'assistenza sul campo è in grado di fornire informazioni
corrette su clienti, prodotti e ordini di lavoro, dove e quando si rende necessario.
SAP BusinessObjects Mobile supporta una vasta gamma di dispositivi mobili, tra cui BlackBerry,
Windows Mobile e Symbian.
Per ulteriori informazioni sull'installazione, sulla configurazione e sulla distribuzione di prodotti Mobile,
consultare il Manuale d'installazione e distribuzione di SAP BusinessObjects Mobile. Per informazioni
82
2013-09-19
Architettura
sull'utilizzo di SAP BusinessObjects Mobile, consultare il manuale Utilizzo di SAP BusinessObjects
Mobile.
3.4 Workflow del processo
Quando vengono eseguiti task, quali la registrazione, la pianificazione o la visualizzazione di un report,
le informazioni fluiscono nel sistema e i server comunicano tra loro. Nella sezione seguente vengono
descritti alcuni flussi di processo della piattaforma BI.
Per visualizzare ulteriori workflow del processo con aiuti visivi, consultare i tutorial ufficiali relativi ai
prodotti della piattaforma SAP BusinessObjects Business Intelligence 4.x presso:
http://scn.sap.com/docs/DOC-8292
3.4.1 Avvio e autenticazione
3.4.1.1 Accesso alla piattaforma BI
Questo workflow descrive l'accesso di un utente all'applicazione Web della piattaforma BI da un browser
Web. Questo workflow si applica alle applicazioni Web quali BI Launch Pad e la Central Management
Console (CMC).
1. Il browser (client Web) invia la richiesta di registrazione tramite il server Web al server di applicazioni
Web, dove è in esecuzione l'applicazione Web.
2. Il server di applicazioni Web stabilisce che si tratta di una richiesta di accesso. Il server di applicazioni
Web invia nome utente, password e tipo di autenticazione al server CMS per l'autenticazione.
3. Il server CMS convalida il nome utente e password sul database appropriato (in questo caso viene
utilizzata l'autenticazione Enterprise e le credenziali utente vengono autenticate nel database di
sistema CMS).
4. Una volta ottenuta la convalida, il server CMS crea una sessione per l'utente nella memoria.
5. Il server CMS invia una risposta al server di applicazioni Web per segnalare l'avvenuta convalida.
6. Il server di applicazioni Web genera un token di accesso per la sessione utente nella memoria. Per
il resto della sessione, il server di applicazioni Web utilizza il token di accesso per convalidare l'utente
rispetto al server CMS. Il server di applicazioni Web genera la pagina Web successiva da inviare
al client Web.
7. Il server di applicazioni Web invia la pagina Web successiva al server Web.
83
2013-09-19
Architettura
8. Il server di applicazioni Web invia la pagina Web al client Web dove viene visualizzata mediante il
browser dell'utente.
3.4.1.2 Avvio di SIA
È possibile configurare un SIA (Server Intelligence Agent) in modo tale che venga avviato
automaticamente con il sistema operativo host oppure manualmente mediante Central Configuration
Manager (CCM).
Un SIA recupera le informazioni sui server che gestisce da un server CMS (Central Management
Server). Se il SIA utilizza un server CMS locale e il server CMS non è in esecuzione, il SIA avvia il
server CMS. Se un SIA utilizza un server CMS remoto, tenterà di connettersi al server CMS.
Una volta avviato il SIA, si verificano gli eventi descritti di seguito.
1. Il SIA cerca un server CMS nella propria cache.
a. Se il SIA è configurato per l'avvio di un server CMS locale e il server CMS non è in esecuzione,
il SIA avvia il server CMS e si connette.
b. Se il SIA è configurato per l'utilizzo di un server CMS (locale o remoto) in esecuzione, tenterà di
connettersi al primo server CMS che trova nella cache. Se il server CMS al momento non è
disponibile, tenterà di connettersi al server CMS successivo nella cache. Se nessuno dei server
CMS di cache è disponibile, il SIA attende che uno di essi diventi disponibile.
2. Il server CMS verifica l'identità del SIA per assicurare che sia valido.
3. Una volta effettuata correttamente la connessione del SIA a un server CMS, viene richiesto l'elenco
dei server da gestire.
Nota:
Un SIA non archivia le informazioni sui server che gestisce. Le informazioni di configurazione che
indicano quale server è gestito da un SIA sono memorizzate nel database di sistema CMS e il SIA
le recupera dal server CMS all'avvio.
4. Il server CMS esegue una query sul database di sistema CMS per ottenere l'elenco dei server gestiti
dal SIA. Viene anche recuperata la configurazione di ogni server.
5. Il server CMS restituisce l'elenco di server e le informazioni sulla configurazione al SIA.
6. Per ogni server configurato per l'avvio automatico, il SIA esegue l'avvio con la configurazione
appropriata e ne monitora lo stato. Ciascun server avviato dal SIA è configurato per l'utilizzo dello
stesso CMS utilizzato dal SIA.
Eventuali server non configurati per l'avvio automatico insieme al SIA non verranno avviati.
3.4.1.3 Arresto di SIA
84
2013-09-19
Architettura
Server Intelligence Agent (SIA) viene interrotto automaticamente quando si arresta il sistema operativo
host. In alternativa è possibile interrompere manualmente il SIA in Central Configuration Manager
(CCM).
Quando si arresta il SIA vengono effettuate le seguenti operazioni:
•
Il SIA indica al server CMS si sta spegnendo.
a. Se il SIA si arresta perché si sta arrestando il sistema operativo host, il SIA richiede l'arresto dei
relativi server. Se i server non si arrestano entro 25 secondi, verrà forzato lo spegnimento.
b. Se il SIA viene arrestato manualmente, attenderà che il server gestito termini l'elaborazione dei
processi in corso. I server gestiti non accetteranno nuovi processi. Una volta completati tutti i
processi, i server si arrestano. Una volta arrestati tutti i server, si arresta anche il SIA.
Nota:
durante un arresto forzato, il SIA indica a tutti i server gestiti di arrestarsi immediatamente.
3.4.2 Oggetti programma
3.4.2.1 Impostazione di una pianificazione per un oggetto programma
Questo workflow descrive il modo in cui un utente pianifica l'esecuzione di un oggetto programma che
dovrà verificarsi in un secondo momento da un'applicazione Web quale Central Management Console
(CMC) o BI Launch Pad.
1. L'utente invia la richiesta di pianificazione dal client Web attraverso il server Web al server di
applicazioni Web.
2. Il server di applicazioni Web interpreta la richiesta e stabilisce che si tratta di una richiesta di
pianificazione. Il server di applicazioni Web invia l'ora pianificata, i valori di accesso al database, i
valori dei parametri, la destinazione e il formato al Central Management Server (CMS) specificato.
3. Il server CMS garantisce che l'utente disponga dei diritti per pianificare l'oggetto. Se l'utente dispone
di diritti sufficienti, il CMS aggiunge un nuovo record al database di sistema CMS e aggiunge la
rispettiva istanza all'elenco di pianificazioni in sospeso.
4. Il CMS invia al server di applicazioni Web una risposta relativa al completamento dell'operazione
di pianificazione.
5. Il server di applicazione Web genera la pagina HTML successiva e la invia attraverso il server Web
al client Web.
85
2013-09-19
Architettura
3.4.2.2 Esecuzione di un oggetto programma pianificato
Questo workflow descrive il processo di un oggetto programma pianificato in esecuzione a un'ora
specifica. Devono essere in esecuzione anche Adaptive Job Server e Input File Repository Server.
Nota:
Questo workflow richiede che siano in esecuzione il CMS, Adaptive Job Server e Input File Repository
Server.
1. Il server CMS controlla il database di sistema CMS per determinare se sono presenti eventuali report
SAP Crystal da pianificare all'ora prestabilita.
2. Quando giunge l'ora pianificata del processo, CMS localizza un Servizio di pianificazione programma
disponibile in esecuzione su un Adaptive Job Server. Il server CMS invia le informazioni sul processo
al Servizio di pianificazione programma.
3. Il Servizio di pianificazione programma comunica con l'Input File Repository Server (FRS) per
conseguire un oggetto programma.
Nota:
questa fase richiede inoltre la comunicazione con il CMS per localizzare gli oggetti e il server
necessario.
4. Il Servizio di pianificazione programma lancia il programma.
5. Il Servizio di pianificazione programma aggiorna periodicamente il CMS con lo stato del processo.
Lo stato attuale è Elaborazione in corso.
6. Il Servizio di pianificazione programma invia un file di registro a Output FRS. Output FRS segnala
a Servizio di pianificazione programma che l'oggetto è stato pianificato correttamente mediante
l'invio di un file di registro dell'oggetto.
Nota:
questa fase richiede inoltre la comunicazione con il CMS per localizzare gli oggetti e il server
necessario.
7. Il Servizio di pianificazione programma aggiorna il CMS con lo stato del processo. Lo stato attuale
è Operazione riuscita.
8. Il server CMS aggiorna lo stato del processo in memoria, quindi scrive le informazioni relative
all'istanza nel database di sistema CMS.
3.4.3 Crystal Reports
86
2013-09-19
Architettura
3.4.3.1 Visualizzazione di una pagina del report SAP Crystal di cache
Questo workflow è relativo alla richiesta da parte dell'utente di una pagina in un report SAP Crystal (ad
esempio dal visualizzatore di report in BI Launch Pad) quando la pagina del report risulta già esistere
su un server cache. Tale workflow si applica sia a SAP Crystal Reports 2011 che a SAP Crystal Reports
for Enterprise.
Nota:
Questo workflow richiede che siano in esecuzione il CMS e Crystal Reports Cache Server.
1. Il client Web invia una richiesta di visualizzazione in un URL tramite il server Web al server di
applicazioni Web.
2. Il server di applicazioni Web interpreta la richiesta e stabilisce che si tratta di una richiesta di
visualizzare la pagina di report selezionata. Il server di applicazioni Web invia una richiesta a CMS
per verificare che l'utente disponga dei diritti di visualizzazione necessari per il report.
3. CMS controlla il database del sistema CMS per verificare che l'utente disponga dei diritti necessari
a visualizzare il report.
4. Il server CMS invia una risposta al server di applicazioni Web per verificare che l'utente disponga
dei diritti sufficienti per visualizzare il report.
5. Il server di applicazioni Web invia una richiesta a Crystal Reports Cache Server per la pagina del
report (file .epf).
6. Crystal Reports Cache Server verifica se il file richiesto .epf esiste nella directory cache. In questo
esempio, viene trovato il file .epf.
7. Crystal Reports Cache Server restituisce la pagina richiesta al server di applicazioni Web.
8. Il server di applicazioni Web invia attraverso il server Web la pagina al client Web in cui viene
eseguito il rendering e la visualizzazione della pagina.
3.4.3.2 Visualizzazione di una pagina SAP Crystal Reports 2011 non memorizzata
nella cache
Questo workflow descrive la richiesta da parte dell'utente di una pagina di un report SAP Crystal Reports
2011 (ad esempio dal visualizzatore di report in BI Launch Pad) quando la pagina non è già esistente
in un server cache.
Nota:
Questo workflow richiede che siano in esecuzione il CMS, Crystal Reports Cache Server, il servizio di
elaborazione di Crystal Reports 2011 e Output File Repository Server.
1. L'utente invia la richiesta di visualizzazione attraverso il server Web al server di applicazioni Web.
87
2013-09-19
Architettura
2. Il server di applicazioni Web interpreta la richiesta, stabilisce che si tratta della richiesta di visualizzare
una pagina di report selezionata e invia una richiesta al Central Management Server (CMS) per
verificare che l'utente disponga di diritti sufficienti per visualizzare il report.
3. CMS controlla il database del sistema CMS per verificare che l'utente disponga dei diritti necessari
a visualizzare il report.
4. Il server CMS invia una risposta al server di applicazioni Web per verificare che l'utente disponga
dei diritti sufficienti per visualizzare il report.
5. Il server di applicazioni Web invia una richiesta a Crystal Reports Cache Server per la pagina del
report (file .epf).
6. Crystal Reports Cache Server determina se il file richiesto esiste nella directory cache.
In questo esempio, il file richiesto .epf non viene rilevato nella directory cache.
7. Crystal Reports Cache Server invia la richiesta al server di elaborazione Crystal Reports 2011.
8. Il servizio di elaborazione di Crystal Reports 2011 esegue una query su Output File Repository
Server (FRS) per l'istanza di report richiesta e Output FRS invia l'istanza di report richiesta al servizio
di elaborazione di Crystal Reports 2011.
Nota:
questa fase richiede inoltre la comunicazione con il CMS per localizzare gli oggetti e il server
necessario.
9. Il server di elaborazione Crystal Reports 2011 apre l'istanza di report e controlla se nel report sono
presenti dati.
Il servizio di elaborazione di Crystal Reports 2011 determina che il report contiene dati e crea il file
.epf per la pagina di report richiesta senza doversi connettere al database di produzione.
10. Il server di elaborazione Crystal Reports 2011 invia il file .epf a Crystal Reports Cache Server.
11. Crystal Reports Cache Server scrive il file .epf nella directory cache.
12. Crystal Reports Cache Server invia la pagina richiesta al server di applicazioni Web.
13. Il server di applicazioni Web invia attraverso il server Web la pagina al client Web in cui viene
eseguito il rendering e la visualizzazione della pagina.
3.4.3.3 Visualizzazione di un report SAP Crystal Reports 2011 su richiesta
Questo workflow descrive il processo di richiesta da parte di un utente di visualizzare una pagina di
report SAP Crystal Reports 2011 su richiesta per visualizzare i dati più recenti, ad esempio dal
visualizzatore di report in BI Launch Pad.
Nota:
Questo workflow richiede che siano in esecuzione il CMS, Crystal Reports Cache Server, il servizio di
elaborazione di Crystal Reports 2011 e Input File Repository Server.
1. L'utente invia la richiesta di visualizzazione attraverso il server Web al server di applicazioni Web.
88
2013-09-19
Architettura
2. Il server di applicazioni Web interpreta la richiesta e stabilisce che si tratta di una richiesta di
visualizzare la pagina di report selezionata. Il server di applicazioni Web invia una richiesta a CMS
per verificare che l'utente disponga dei diritti di visualizzazione necessari per il report.
3. CMS controlla il database del sistema CMS per verificare che l'utente disponga dei diritti necessari
a visualizzare il report.
4. Il server CMS invia una risposta al server di applicazioni Web per verificare che l'utente disponga
dei diritti sufficienti per visualizzare il report.
5. Il server di applicazioni Web invia una richiesta a Crystal Reports Cache Server per la pagina del
report (file .epf).
6. Crystal Reports Cache Server verifica che la pagina esista già. A meno che il report non soddisfi i
requisiti per la condivisione di report su richiesta (entro un'ora impostata per un'altra richiesta,
accesso al database, parametri), Crystal Reports Cache Server invia una richiesta al server di
elaborazione di Crystal Reports 2011 affinché generi la pagina.
7. Il server di elaborazione di Crystal Reports 2011 richiede l'oggetto report da Input File Repository
Server (FRS). Input FRS invia una copia dell'oggetto al server di elaborazione Crystal Reports 2011.
Nota:
questa fase richiede inoltre la comunicazione con il CMS per localizzare gli oggetti e il server
necessario.
8. Il server di elaborazione Crystal Reports 2011 apre il report in memoria e verifica se il report contiene
dati. In questo esempio non sono presenti dati nell'oggetto report, pertanto il server di elaborazione
Crystal Reports 2011 si collega all'origine dati per recuperare i dati e generare il report.
9. Il server di elaborazione di Crystal Reports 2011 invia la pagina (file .epf) a Crystal Reports Cache
Server. Crystal Reports Cache Server archivia una copia del file .epf nella directory cache in
previsione di nuove richieste di visualizzazione.
10. Crystal Reports Cache Server invia la pagina al server di applicazioni Web.
11. Il server di applicazioni Web invia attraverso il server Web la pagina al client Web in cui viene
eseguito il rendering e la visualizzazione della pagina.
3.4.3.4 Impostazione di una pianificazione per un report SAP Crystal
Questo workflow è relativo alla pianificazione da parte di un utente di un report SAP Crystal da eseguire
in un secondo momento da un'applicazione Web quale Central Management Console (CMC) o BI
Launch Pad. Il workflow si applica sia a SAP Crystal Reports 2011 che a SAP Crystal Reports for
Enterprise.
1. Il client Web invia una richiesta di pianificazione in un URL tramite il server Web al server di
applicazioni Web.
2. Il server di applicazioni Web interpreta la richiesta di URL e stabilisce che si tratta di una richiesta
di pianificazione. Il server di applicazioni Web invia l'ora pianificata, i valori di accesso al database,
i valori dei parametri, la destinazione e il formato al Central Management Server (CMS) specificato.
89
2013-09-19
Architettura
3. Il server CMS garantisce che l'utente disponga dei diritti per pianificare l'oggetto. Se l'utente dispone
dei diritti necessari, il server CMS aggiunge un nuovo record al database di sistema CMS. Il server
CMS aggiunge inoltre l'istanza all'elenco di pianificazioni in attesa.
4. CMS invia una risposta al server di applicazioni Web per segnalare l'avvenuta operazione di
pianificazione.
5. Il server di applicazione Web genera la pagina HTML successiva e la invia attraverso il server Web
al client Web.
3.4.3.5 Esecuzione di un report SAP Crystal Reports 2011 pianificato
Questo workflow descrive il processo di un report SAP Crystal Reports 2011 pianificato in esecuzione
a un'ora specifica.
1. Il server CMS controlla il database di sistema CMS per determinare se sono presenti eventuali report
SAP Crystal da pianificare all'ora prestabilita.
2. Quando giunge l'ora del processo pianificato, CMS individua un servizio di pianificazione Crystal
Reports 2011 disponibile in esecuzione su un Adaptive Job Server (in base al valore Numero max.
processi consentiti configurato su ogni Adaptive Job Server). CMS invia le informazioni del processo
(ID report, formato, destinazione, informazioni di accesso, parametri e formule di selezione) al
servizio di pianificazione Crystal Reports 2011.
3. Il servizio di pianificazione Crystal Reports 2011 comunica con Input File Repository Server (FRS)
per ottenere un modello di report in base all'ID report richiesto.
Nota:
questa fase richiede inoltre la comunicazione con il CMS per localizzare gli oggetti e il server
necessario.
4. Il servizio di pianificazione Crystal Reports 2011 avvia il processo JobChildserver.
5. Il processo secondario (JobChildserver) avvia ProcReport.dll alla ricezione del modello da parte
di Input File Repository Server. ProcReport.dll contiene tutti i parametri passati da CMS al
servizio di pianificazione Crystal Reports 2011.
6. ProcReport.dll avvia crpe32.dll, che elabora il report in base ai parametri passati.
7. Mentre crpe32.dll sta ancora elaborando il report, i record vengono recuperati dall'origine dati
come indicato nel report.
8. Il Servizio di pianificazione Crystal Reports 2011 aggiorna periodicamente il CMS con lo stato del
processo. Lo stato attuale è Elaborazione in corso.
9. Terminata la compilazione del report nella memoria del servizio di pianificazione di Crystal Reports
2011, è possibile esportarlo in un altro formato, ad esempio PDF (Portable Document Format).
Quando si esporta in PDF, viene utilizzato crxfpdf.dll.
10. Il report con i dati salvati viene inviato alla posizione pianificata (come un'e-mail) e quindi ad Output
FRS.
Nota:
questa fase richiede inoltre la comunicazione con il CMS per localizzare gli oggetti e il server
necessario.
90
2013-09-19
Architettura
11. Il Servizio di pianificazione Crystal Reports 2011 aggiorna il CMS con lo stato del processo. Lo stato
attuale è Operazione riuscita.
12. Il server CMS aggiorna lo stato del processo in memoria, quindi scrive le informazioni relative
all'istanza nel database di sistema CMS.
3.4.4 Web Intelligence
3.4.4.1 Visualizzazione su richiesta di una pianificazione per un documento SAP
BusinessObjects Web Solution
Questo workflow descrive il processo di visualizzazione da parte di un utente di un documento SAP
BusinessObjects Web Intelligence su richiesta per visualizzare i dati più recenti, ad esempio dal
visualizzatore Web Intelligence in BI Launch Pad.
1. Un browser invia la richiesta di visualizzazione al server di applicazioni Web tramite il server Web.
2. Il server di applicazioni Web interpreta la richiesta e stabilisce che si tratta di una richiesta di
visualizzare un documento Web Intelligence. Il server di applicazioni Web invia una richiesta a CMS
per verificare che l'utente disponga dei diritti di visualizzazione necessari per il documento.
3. CMS controlla il database del sistema CMS per verificare che l'utente disponga dei diritti necessari
a visualizzare il documento.
4. Il server CMS invia una risposta al server di applicazioni Web per verificare che l'utente disponga
dei diritti sufficienti per visualizzare il documento.
5. Il server di applicazioni Web invia una richiesta a Server di elaborazione Web Intelligence che
richiedere il documento.
6. Server di elaborazione Web Intelligence richiede il documento da Input File Repository Server (FRS)
e il file dell'universo su cui è stato generato il documento richiesto. Il file dell'universo contiene
informazioni di metalivello, inclusa la protezione a livello di riga e di colonna.
7. L'Input FRS invia una copia del documento a Server di elaborazione Web Intelligence, nonché il file
dell'universo su cui è stato generato il documento richiesto.
Nota:
questa fase richiede inoltre la comunicazione con il CMS per localizzare gli oggetti e il server
necessario.
8. Web Intelligence Report Engine (sul server di elaborazione Web Intelligence) apre il documento in
memoria e lancia QT.dll e un Connection Server in elaborazione.
9. QT.dll genera, convalida e rigenera SQL e si collega al database per eseguire la query. Connection
Server utilizza SQL per trasferire i dati dal database al modulo di report in cui viene elaborato il
documento.
91
2013-09-19
Architettura
10. Server di elaborazione Web Intelligence invia al server di applicazioni Web la pagina del documento
visualizzabile richiesta.
11. Il server di applicazioni Web invia attraverso il server Web la pagina del documento al client Web
in cui viene eseguito il rendering e la visualizzazione della pagina.
3.4.4.2 Impostazione di una pianificazione per un documento SAP
BusinessObjects Web Intelligence
Questo workflow è relativo alla pianificazione da parte dell'utente di un documento SAP BusinessObjects
Web Intelligence da eseguire in un secondo momento da un'applicazione Web quale Central
Management Console (CMC) o BI Launch Pad.
1. Il client Web invia una richiesta di pianificazione in un URL tramite il server Web al server di
applicazioni Web.
2. Il server di applicazioni Web interpreta la richiesta di URL e stabilisce che si tratta di una richiesta
di pianificazione. Il server di applicazioni Web invia l'ora pianificata, i valori di accesso al database,
i valori dei parametri, la destinazione e il formato al Central Management Server (CMS) specificato.
3. Il server CMS garantisce che l'utente disponga dei diritti per pianificare l'oggetto. Se l'utente dispone
dei diritti necessari, il server CMS aggiunge un nuovo record al database di sistema CMS. Il server
CMS aggiunge inoltre l'istanza all'elenco di pianificazioni in attesa.
4. CMS invia una risposta al server di applicazioni Web per segnalare l'avvenuta operazione di
pianificazione.
5. Il server di applicazione Web genera la pagina HTML successiva e la invia attraverso il server Web
al client Web.
3.4.4.3 Esecuzione di un documento SAP BusinessObjects Web Intelligence
pianificato
Questo workflow è relativo all'esecuzione di un documento pianificato SAP BusinessObjects Web
Intelligence a un'ora specifica.
1. Central Management Server (CMS) verifica il database del sistema CMS per determinare se
l'esecuzione di un documento Web Intelligence sia in pianificazione.
2. Quando giunge l'ora pianificata, CMS localizza un Servizio di pianificazione Web Intelligence
disponibile in esecuzione su un Adaptive Job Server. CMS invia la richiesta di pianificazione e tutte
le informazioni relative ad essa al servizio di pianificazione Web Intelligence.
3. Il servizio di pianificazione Web Intelligence individua un server di elaborazione Web Intelligence
disponibile basato sul valore Numero max. connessioni configurato in ogni server di elaborazione
Web Intelligence.
4. Il server di elaborazione Web Intelligence determina la posizione dell'Input File Repository Server
(FRS) che ospita il documento e il file di metalivello dell'universo su cui si basa il documento. Il
92
2013-09-19
Architettura
server di elaborazione Web Intelligence richiede quindi il documento al server Input FRS. Il server
Input FRS individua il documento Web Intelligence e il file dell'universo su cui si basa il documento,
quindi li invia al server di elaborazione Web Intelligence.
Nota:
questa fase richiede inoltre la comunicazione con il CMS per localizzare gli oggetti e il server
necessario.
5. Il documento Web Intelligence viene posizionato in una directory temporanea nel server di
elaborazione Web Intelligence. Nel server di elaborazione di Web Intelligence viene aperto il
documento in memoria e QT.dll genera l'SQL dall'universo su cui si basa il documento. Le librerie
di Connection Server incluse nel server di elaborazione Web Intelligence si collegano all'origine
dati. I dati query passano attraverso QT.dll per tornare al modulo di report nel server di elaborazione
Web Intelligence in cui il documento viene elaborato. Viene creata una nuova istanza funzionante.
6. Il server di elaborazione Web Intelligence carica l'istanza del documento nel server Output FRS.
Nota:
questa fase richiede inoltre la comunicazione con il CMS per localizzare gli oggetti e il server
necessario.
7. Il server di elaborazione Web Intelligence notifica al servizio di pianificazione Web Intelligence (su
Adaptive Job Server) il completamento della creazione del documento. Se è pianificato l'invio di un
documento a una destinazione (file system, FTP, SMTP o Posta in arrivo), Adaptive Job Server
recupera il documento elaborato dal server Output FRS e lo invia alle destinazioni specificate. Si
supponga che ciò non accada in questo esempio.
8. Il servizio di pianificazione Web Intelligence aggiorna il CMS con lo stato del processo.
9. Il server CMS aggiorna lo stato del processo in memoria, quindi scrive le informazioni relative
all'istanza nel database di sistema CMS.
3.4.5 Analisi
3.4.5.1 Visualizzazione di uno spazio di lavoro SAP BusinessObjects Analysis,
versione per OLAP
Questo workflow descrive la richiesta da parte di un utente di visualizzare uno spazio di lavoro SAP
BusinessObjects Analysis, versione per OLAP da BI Launch Pad.
Nota:
Questo workflow richiede che siano in esecuzione il CMS, Adaptive Processing Server (contenente il
servizio di analisi multidimensionale (MDAS)) e Input File Repository Server.
93
2013-09-19
Architettura
1. Il client Web invia una richiesta tramite il server Web al server di applicazioni Web per visualizzare
un nuovo spazio di lavoro. Il client Web comunica con il server di applicazioni Web utilizzando la
tecnologia DHTML AJAX (Asynchronous JavaScript and XML). La tecnologia AJAX consente di
eseguire aggiornamenti parziali della pagina, per evitare di eseguire il rendering di una nuova pagina
a ogni nuova richiesta.
2. Il server di applicazioni Web traduce la richiesta e la invia al server CMS per determinare se un
utente ha diritto a visualizzare o creare un nuovo workspace.
3. Il server CMS recupera le credenziali dell'utente dal database dal database di sistema CMS.
4. Se l'utente è autorizzato a visualizzare o creare uno spazio di lavoro, il server CMS invia un segnale
di conferma al server di applicazioni Web. Allo stesso tempo, invia anche un elenco di uno o più
servizi di analisi multidimensionale (MDAS) disponibili.
5. Il server di applicazioni Web seleziona un servizio MDAS dall'elenco di scelte disponibili e gli invia
una richiesta CORBA per trovare il/i server OLAP appropriato/i per creare un nuovo spazio di lavoro
o aggiornarne uno esistente.
6. È necessario che il servizio MDAS comunichi con l'Input File Repository Server (FRS) per recuperare
il documento dello spazio di lavoro appropriato contenente informazioni sul database OLAP
sottostante e una query OLAP iniziale salvata con esso. Il server Input FRS recupera lo spazio di
lavoro Analysis appropriato dalla directory sottostante, quindi invia nuovamente tale spazio di lavoro
al servizio MDAS.
7. Il servizio MDAS apre lo spazio di lavoro, formula una query e la invia al server di database OLAP.
È necessario che il servizio MDAS disponga di un client di database OLAP appropriato configurato
per l'origine dati OLAP. La query del client Web deve essere convertita nella query OLAP appropriata.
Il server di database OLAP restituisce il risultato della query al servizio MDAS.
8. Il servizio MDAS, in base alla richiesta di creazione, visualizzazione, stampa o esportazione, esegue
l'anteprima del rendering del risultato per consentire al server WAS Java di completare più
rapidamente il rendering. Il servizio MDAS invia i pacchetti XML del risultato sottoposto a rendering
al server di applicazioni Web.
9. Il server di applicazioni Web esegue il rendering dello spazio di lavoro e invia la pagina o la porzione
di pagina formattata al client Web tramite il server Web. Il client Web visualizza la pagina aggiornata
o la nuova pagina richiesta. Si tratta di una soluzione client zero che non richiede il download di
componenti Java o ActiveX.
94
2013-09-19
Configurazione guidata del sistema
Configurazione guidata del sistema
4.1 Introduzione alla Configurazione guidata del sistema
Dopo aver installato la piattaforma SAP BusinessObjects Business Intelligence, generalmente si
eseguono le attività di configurazione essenziali post-installazione, come la scelta di un modello di
distribuzione e la selezione dei prodotti SAP BusinessObjects che verranno utilizzati dall'organizzazione.
Per eseguire questa configurazione e rendere la piattaforma BI attiva nel più breve tempo possibile,
eseguire la "Configurazione guidata del sistema".
Vantaggi importanti derivanti dall'uso della procedura guidata:
• La procedura guidata spiega e illustra i passaggi di configurazione da eseguire.
• Consente di ridurre le probabilità di errata configurazione del sistema.
• Le impostazioni vengono configurate automaticamente e in questo modo la configurazione del
sistema risulta più veloce.
Per impostazione predefinita, la procedura guidata è impostata per essere eseguita automaticamente
quando si accede alla Central Management Console (CMC), ma può anche essere avviata dall'area
"Gestisci" della CMC. È possibile rieseguire la procedura guidata quando desiderato per modificare la
configurazione e utilizzare sempre la pagina di gestione "Server" della CMC per ottimizzare le
impostazioni, incluse quelle definite utilizzando la configurazione guidata.
Nota:
•
•
•
Per una maggiore protezione, solo ai membri del gruppo Amministratori è consentito l'accesso alla
procedura guidata.
Per impedire l'esecuzione automatica della procedura guidata, l'utente con ruolo di “Amministratore”
può selezionare la casella di controllo Non visualizzare questa procedura guidata all'avvio della
CMC nella prima pagina della procedura guidata.
Se si prevede di installare componenti aggiuntivi o di aggiungere nodi alla distribuzione della
piattaforma BI, è consigliabile effettuare queste operazioni prima di eseguire la Configurazione
guidata del sistema.
4.2 Specifica dei prodotti utilizzati
È possibile semplificare la configurazione dei server della piattaforma BI specificando i prodotti utilizzati
dall'organizzazione e ottimizzare l'allocazione delle risorse arrestando i server per i prodotti non utilizzati
95
2013-09-19
Configurazione guidata del sistema
dall'organizzazione. A tale scopo, selezionare i prodotti nella pagina "Prodotti". Quando si specificano
i prodotti utilizzati dall'organizzazione, la procedura guidata avvia tutti i server e le dipendenze necessarie
per l'esecuzione di tali prodotti, e configura i server e le dipendenze in questione per essere avviati
automaticamente a ogni avvio della piattaforma BI. È inoltre possibile migliorare il tempo di avvio e
l'utilizzo delle risorse della piattaforma BI deselezionando i prodotti non utilizzati.
Se ad esempio si seleziona il prodotto Crystal Reports, la piattaforma BI avvia automaticamente tutti i
server Crystal Reports e le dipendenze corrispondenti.
Per visualizzare un elenco dei server avviati automaticamente per un prodotto, fare clic sull'icona ?
accanto al nome del prodotto.
La procedura guidata configura i server dei prodotti come segue:
• La selezione di un prodotto determina l'avvio di tutti i server appartenenti a quel prodotto, nonché
di altri server necessari per il relativo funzionamento (dipendenze), al termine della procedura guidata.
La selezione di un prodotto imposta inoltre l'avvio automatico dei server del prodotto con la piattaforma
BI. Se un server ospita i servizi di più prodotti e uno dei prodotti viene selezionato, il server viene
avviato. Si noti che alcuni servizi di prodotti non selezionati potrebbero essere eseguiti se ospitati
da un server che ospita anche i servizi di prodotti selezionati.
• La deselezione di un prodotto determina l'arresto dei server utilizzati da quel prodotto, purché non
ospitino anche i servizi di un prodotto ancora selezionato o appartenenti alla categoria Servizi
principali. I server del prodotto arrestati sono impostati per non essere avviati automaticamente con
la piattaforma BI. Se un server ospita servizi sia di prodotti selezionati che deselezionati, rimane in
esecuzione.
• La deselezione di un prodotto potrebbe inoltre causare l'arresto di server che non appartengono al
prodotto deselezionato, se vi sono servizi dipendenti utilizzati solo dal prodotto deselezionato in
questione. Ciò determina la liberazione di risorse dal momento che i server dipendenti non sono più
necessari.
• Ogni volta che un prodotto viene selezionato o deselezionato, vengono avviati automaticamente
tutti i server che ospitano i servizi appartenenti alla categoria Servizi principali della piattaforma BI,
ad eccezione dei servizi ospitati dal WACS. Il WACS rimane nello stato corrente.
• La deselezione dei prodotti non implica la disinstallazione o la rimozione dei file di tali prodotti.
Ogni volta che si apre la pagina "Prodotti", gli stati dei prodotti rappresentano lo stato corrente del
sistema.
Se tutti i server di un prodotto sono in esecuzione, la casella di controllo di tale prodotto è selezionata.
Se tutti i server di un prodotto sono arrestati, la casella di controllo è deselezionata. Se sono in
esecuzione solo alcuni server di un prodotto, mentre altri presentano un altro stato, ad esempio di
arresto, nella pagina "Prodotti" viene visualizzata la casella di controllo Mantieni configurazione
esistente a indicare che il sistema è stato configurato all'esterno della procedura guidata. Per utilizzare
la procedura guidata per modificare la configurazione è possibile deselezionare la casella di controllo.
Nota:
•
•
96
Nella pagina "Prodotti" vengono visualizzati tutti i prodotti installati nel cluster. Se ad esempio nel
computer A sono installati i prodotti P1 e P2, mentre nel computer B sono installati i prodotti P2 e
P3, nella pagina "Prodotti" saranno visualizzati P1, P2 e P3. I prodotti non installati non vengono
visualizzati nella pagina "Prodotti".
Per semplificare la distribuzione, non è necessario ripetere la configurazione di questa pagina per
ogni nodo: viene infatti applicata all'intero cluster.
2013-09-19
Configurazione guidata del sistema
•
•
Se in precedenza sono state modificate impostazioni nella CMC, viene visualizzato un messaggio
che informa che le modifiche sono state apportate all'esterno della procedura guidata. È possibile
scegliere di mantenere la configurazione esistente o di sostituire le impostazioni correnti.
Le modifiche apportate nella procedura guidata non vengono applicate fino a quando non si fa clic
su Applica nella pagina "Rivedi".
Dopo aver apportato tutte le modifiche desiderate, fare clic su Avanti per accedere alla pagina successiva
della procedura guidata. È possibile anche utilizzare il pannello di spostamento a sinistra per passare
direttamente a una pagina già visitata.
4.3 Scelta di un modello di distribuzione
L'installazione predefinita della piattaforma BI prevede la configurazione di una distribuzione di piccole
dimensioni adatta a un ambiente demo su hardware del sistema limitato. Per adattarsi all'hardware e
al caso di utilizzo previsto, ad esempio la preparazione di un sistema di test o di produzione, scegliere
uno dei modelli predefiniti dalla pagina "Capacità". Questi modelli hanno lo scopo di consentire la rapida
attivazione del sistema della piattaforma BI e di ridurre il tempo di distribuzione iniziale.
Sebbene la scelta di un modello di distribuzione appropriato possa essere utile per la configurazione
iniziale e costituisca un punto di partenza, non sostituisce il ridimensionamento e l'ottimizzazione del
sistema, che devono essere eseguite comunque. Per ottimizzare le prestazioni, è necessario
ridimensionare il sistema facendo riferimento all'apposita guida: http://www.sap.com/bisizing.
La scelta di un modello di distribuzione appropriato è importante per diversi motivi:
•
•
•
•
Influisce sulla capacità di gestione delle richieste del sistema. Una distribuzione di dimensioni
maggiori offre una capacità superiore per la gestione di più richieste o di richieste più complesse.
Questo tipo di distribuzione richiede tuttavia più risorse di sistema.
La scelta di una distribuzione di dimensioni maggiori non garantisce prestazioni migliori, in particolare
se non si dispone di sufficienti risorse hardware disponibili.
Il modello di distribuzione scelto deve essere adeguato alle esigenze aziendali e alle risorse hardware
disponibili. La scelta di un modello di distribuzione troppo piccolo per le esigenze aziendali o troppo
grande per le risorse hardware disponibili potrebbe ridurre la capacità e le prestazioni del sistema.
Modelli di distribuzione di dimensioni maggiori forniscono una migliore compartimentazione: si riduce
la probabilità che gli errori di un prodotto influenzino altri prodotti. Scegliere un modello che bilanci
le prestazioni e l'utilizzo delle risorse (RAM). Se ad esempio è disponibile una grande quantità di
RAM, è necessario selezionare il modello di distribuzione più grande consentito dalla RAM in modo
da ottenere una migliore compartimentazione del sistema.
Per selezionare un modello di distribuzione è possibile utilizzare il dispositivo di scorrimento o scegliere
una quantità di RAM nell'elenco a discesa. Quando si modifica l'impostazione, osservare che l'indicatore
"Numero di Adaptive Processing Server:" cambia per mostrare come verrà configurato il sistema
scegliendo quella impostazione.
Nota:
•
97
Il modello di distribuzione scelto influenza solo gli Adaptive Processing Server (APS). Non vengono
invece influenzati gli altri server, ad esempio il CMS o gli Adaptive Job Server.
2013-09-19
Configurazione guidata del sistema
•
•
•
•
RAM richiesta è la quantità minima di RAM richiesta per i server della piattaforma BI. Ad esempio,
un computer con 16 GB di RAM, in cui il sistema operativo utilizza 1 GB di RAM, il server di database
un altro GB e i server della piattaforma BI 10 GB, l'opzione RAM richiesta è uguale a 10 GB, non a
12 GB o 16 GB. Il numero indicato in RAM richiesta è solo un valore rappresentativo. Il sistema
potrebbe richiedere una quantità maggiore di RAM nel caso di carichi pesanti. Per ottenere prestazioni
ottimali del sistema, è necessario eseguirne sempre il ridimensionamento.
Ogni volta che si apre la pagina "Capacità", il modello di distribuzione visualizzato rappresenta lo
stato corrente del sistema, se corrisponde a uno dei modelli di distribuzione predefiniti. Se ad esempio
è stato creato manualmente un Adaptive Processing Server supplementare utilizzando la CMC, lo
stato corrente del sistema non corrisponde ad alcuno dei modelli di distribuzione. Nella pagina
"Capacità" viene pertanto visualizzata la casella di controllo Mantieni configurazione esistente a
indicare che il sistema è stato configurato al di fuori della procedura guidata. In una distribuzione a
più nodi, la casella di controllo Mantieni configurazione esistente viene visualizzata anche se uno
dei nodi contiene un numero di APS non corrispondente a un modello di distribuzione o se il numero
di APS nei vari nodi è diverso. Per utilizzare la procedura guidata per modificare la configurazione
è possibile deselezionare la casella di controllo.
Per semplificare la distribuzione, la configurazione APS selezionata viene applicata a ogni nodo
(purché in tali nodi sia installato un APS). In questo modo, a un numero maggiore di nodi corrisponde
un aumento della capacità del cluster.
I componenti aggiuntivi, ad esempio Data Services o Analysis Application Design Service (AADS),
non sono gestiti dalla procedura guidata. I servizi creati dai componenti aggiuntivi non vengono
spostati in altri APS dalla procedura guidata.
Esempi:
• Se il servizio AADS è ospitato da un APS che ospita altri servizi dell'installazione principale della
piattaforma BI, se si esegue la procedura guidata e si modificano le dimensioni del modello di
distribuzione da piccole a medie, la procedura guidata crea sette nuovi APS in cui sposta tutti i
servizi, ad eccezione di AADS, che rimane nell'APS iniziale.
• Il componente aggiuntivo Data Services crea un APS dedicato. La procedura guidata non modifica
questo APS dedicato e non lo include nel conteggio del numero di APS del sistema.
File DeploymentTemplates.pdf
Per una descrizione dettagliata delle impostazioni configurate dalla procedura guidata per ogni modello
di distribuzione disponibile, fare clic sul collegamento modello di distribuzione nella pagina "Capacità"
per aprire il file DeploymentTemplates.pdf.
Il file DeploymentTemplates.pdf descrive i modelli di distribuzione in dettaglio. Si noti che i modelli
non specificano il numero di utenti consentiti, in quanto tale numero dipende dal carico. È necessario
eseguire il ridimensionamento del sistema per determinare il numero di utenti da supportare e, di
conseguenza, la quantità di RAM necessaria, i requisiti della CPU e così via.
4.4 Specifica dei percorsi delle cartelle di dati
Utilizzare la pagina "Cartelle" per specificare il percorso in cui salvare i file di registro e di dati della
piattaforma BI. È possibile specificare i percorsi delle cartelle o accettare quelli correnti.
98
2013-09-19
Configurazione guidata del sistema
Se la distribuzione della piattaforma BI contiene più nodi, è possibile definire i percorsi delle cartelle
con due opzioni:
•
•
Se si desidera configurare gli stessi percorsi di cartella per tutti i nodi, selezionare l'opzione Tutti i
nodi hanno gli stessi percorsi di cartella.
Se i server del cluster non sono configurati allo stesso modo, è possibile che i percorsi di installazione
o le strutture di directory dei file siano diverse. È possibile selezionare l'opzione I nodi hanno
percorsi di cartella diversi per configurare percorsi di cartella specifici per ogni nodo.
Ogni volta che viene aperta la pagina "Cartelle" della procedura guidata, i nomi delle cartelle vengono
visualizzati come segue:
•
•
•
Se tutti i nodi presentano cartelle con gli stessi valori, ovvero se le cartelle dei file di registro, quelle
dei file di dati e le altre cartelle di tutti i server del cluster sono identiche, è selezionata l'opzione
Tutti i nodi hanno gli stessi percorsi e vengono visualizzati i nomi delle cartelle correnti.
Se tutte le cartelle di un determinato tipo (dei file di registro, dei file di dati, di controllo, dell'archivio
file di input o dell'archivio file di output) sono identiche all'interno di ogni nodo, ma sono diverse tra
i nodi, è selezionata l'opzione I nodi hanno percorsi di cartella diversi e vengono visualizzati i
nomi delle cartelle correnti.
Se tutte le cartelle di un determinato tipo sono identiche all'interno di ogni nodo e diverse tra i nodi,
è selezionata l'opzione I nodi hanno percorsi di cartella diversi ma i nomi delle cartelle sono
vuoti.
Se si modificano i percorsi delle cartelle, la procedura guidata configura il sistema per l'utilizzo delle
nuove cartelle. Ad eccezione della cartelle dei dati di controllo, la procedura guidata non copia o sposta
i contenuti delle cartelle originali nelle nuove cartelle. Se le nuove cartelle non presentano già il contenuto
corretto o si desidera migrare dati presenti nelle cartelle originali, può essere necessario spostare o
copiare tali dati nelle nuove cartelle.
Per le cartelle degli archivi dei file di input e output e le cartelle di dati, se il nuovo percorso di cartella
è vuoto, è necessario copiare manualmente i file dal percorso di cartella precedente o ripristinare i file
da un backup. Per la cartella dei file di registro, copiare i file dalla cartella precedente solo se si desidera
che la nuova cartella contenga i file di registro presenti nel percorso di cartella precedente.
Suggerimento:
Se si intende copiare o ripristinare i file nelle nuove cartelle, eseguire l'operazione prima riavviare i
nodi.
Scenari di esempio
•
•
•
Se si modifica un percorso di cartella, e la cartella originale contiene report, tali report non saranno
disponibili nella piattaforma BI fino a quando non verranno copiati nella nuova cartella e non verranno
riavviati i nodi.
Se la cartella originale contiene report danneggiati o modificati, e si desidera ripristinare un backup
valido, recuperare i report dal backup e inserirli nella nuova cartella anziché copiare il contenuto
dalla cartella originale.
Se i file di dati sono stati originariamente collocati in un disco con lettera di unità X, e quest'ultima
viene cambiata in Y nel sistema operativo, non è necessario copiare o spostare i file di dati: è
sufficiente modificare il percorso di cartella nella piattaforma BI.
Se sono stati modificati manualmente alcuni percorsi di cartella, in modo che alcuni server di un nodo
utilizzassero un gruppo di cartelle, mentre altri server dello stesso nodo ne utilizzassero di diverse,
nella pagina "Cartelle" viene visualizzata la casella di controllo Mantieni configurazione esistente a
99
2013-09-19
Configurazione guidata del sistema
indicare che il sistema è stato configurato al di fuori della procedura guidata. È ad esempio possibile
che due server File Repository Server dello stesso nodo siano configurati per utilizzare percorsi di
cartelle dei file di registro diversi. Per utilizzare la procedura guidata per modificare la configurazione
è possibile deselezionare la casella di controllo.
Per ulteriori informazioni sui tipi di file memorizzati in ogni cartella, fare clic sulle icone ?.
Nota:
Se si modifica uno dei percorsi di cartella seguenti, per fare in modo che le modifiche diventino effettive
è necessario riavviare manualmente tutti i nodi al termine della procedura guidata:
• Archivio file di input
• Archivio file di output
• Cartella di registro
• Cartella dati
4.5 Verifica delle modifiche
Dopo aver completato la scelta delle impostazioni di configurazione, queste vengono visualizzate nella
pagina "Rivedi" in modo che sia possibile verificarle, prima che le modifiche vengano applicate al
sistema della piattaforma BI. Per ogni categoria di impostazioni è possibile fare clic su Dettagli per
visualizzare una descrizione o un elenco dettagliato delle impostazioni e delle modifiche che verranno
applicate.
Se si desidera modificare le impostazioni, è possibile accedere alle singole pagine direttamente dal
menu di spostamento a sinistra della procedura guidata.
Le selezioni effettuate vengono salvate in un file di registro, che può essere scaricato dalla pagina
Completato.
Viene anche generato e salvato un file di risposta. Il file di risposta consente di automatizzare la
configurazione del sistema. È possibile fare clic sul pulsante Scarica per visualizzare il file di risposta
o scaricarlo in un disco locale.
Quando si fa clic su Applica, le impostazioni di configurazione vengono applicate alla distribuzione
della piattaforma BI. Al termine della procedura guidata, viene visualizzata la pagina "Completato", in
cui sono mostrati i passaggi successivi da eseguire manualmente.
Argomenti correlati
• File di registro e file di risposta
4.6 File di registro e file di risposta
100
2013-09-19
Configurazione guidata del sistema
La pagina "Completato" riporta lo stato delle modifiche e consente di scaricare e visualizzare i file di
registro e di risposta di una sessione.
I file di registro e di risposta vengono salvati automaticamente nella cartella Configurazione guidata del
sistema, cui è possibile accedere dalla CMC. Nei nomi dei file è presente l'indicazione data e ora. Il
formato dei nomi è il seguente anno_mese_giorno_ora_minuti_secondi. Per i file di registro
viene utilizzata l'estensione .log, mentre per i file di risposta l'estensione .ini.
È anche possibile fare clic sui pulsanti Scarica per visualizzare i file di registro e di risposta o scaricarli
in un disco locale.
Il file di registro presenta il contenuto seguente:
• Un record di tutte le modifiche apportate nella sessione di configurazione corrente.
• Il percorso in cui viene salvato il file di risposta.
• Un elenco che descrive i passaggi da seguire.
Argomenti correlati
• Utilizzo di un file di risposta
4.6.1 Utilizzo di un file di risposta
Ogni volta che viene completata la procedura guidata, viene salvato un file di risposta che contiene le
selezioni o le risposte a tutte le domande delle pagine della procedura stessa. Il file di risposta può
essere utilizzato per configurare altri cluster presenti nella distribuzione della piattaforma BI senza dover
eseguire la procedura guidata per ognuno e può essere utilizzato in una data successiva se si desidera
impostare il sistema sullo stesso stato di configurazione. L'utilizzo di un file di risposta consente di
automatizzare la distribuzione e di evitare errori dell'operatore.
Per utilizzare un file di risposta, è necessario eseguire uno script che lo impieghi come parametro.
Individuare innanzitutto il file di risposta da utilizzare, quindi salvarlo sul disco. I file di risposta vengono
salvati automaticamente nella cartella Configurazione guidata sistema, cui gli amministratori possono
accedere dalla CMC. Nei nomi dei file è presente l'indicazione data e ora. Il formato del nome è an
no_mese_giorno_ora_minuti_secondi ed è seguito dall'estensione .ini. Dalla CMC è possibile
visualizzare il file di risposta e salvarlo sul disco o utilizzare i comandi di menu Organizza > Invia >
Posizione file.
È anche possibile scaricare il file di risposta per la sessione corrente della procedura guidata dalla
pagina "Rivedi" o "Completato", quindi salvarlo sul disco.
Se si desidera modificare le impostazioni del file di risposta prima di utilizzarlo, è possibile modificarlo
in un editor di testo. Per informazioni dettagliate, vedere il file di risposta di esempio riportato di seguito.
Esecuzione dello script
Una volta in possesso del file di risposta appropriato, utilizzarlo come parametro della riga di comando
per gli script che eseguono la procedura guidata:
101
2013-09-19
Configurazione guidata del sistema
•
•
In Windows, eseguire il file batch SCW.bat.
In Unix, eseguire il file di script scw.sh.
I file batch e di script si trovano nella stessa cartella degli altri script di gestione dei server:
•
•
In Windows: <dirinstall>\SAP BusinessObjects Enterprise XI
4.0\win64_x64\scripts.
In Unix: <dirinstall>/sap_bobj/enterprise_xi40/linux_x64/scripts.
I file batch e di script utilizzano i parametri della riga di comando seguenti:
•
•
•
•
•
-help: visualizza la Guida della riga di comando.
-r: specifica il percorso e il nome del file di risposta.
-cms: specifica il Central Management Server (CMS) cui si desidera accedere. Se questo parametro
viene omesso, come impostazione predefinita del CMS vengono utilizzati il computer locale e la
porta predefinita (6400). Esempio: nome_computer:6500
-username: specifica un account che fornisce diritti amministrativi per la piattaforma BI. Se questo
parametro viene omesso, viene utilizzato l'account Administrator predefinito.
-password: specifica la password per l'account. Se non specificata, si tenta con una password
vuota. Per utilizzare il parametro -password, è necessario utilizzare anche il parametro -username.
Esempi
In Windows: SCW.bat –r c:\folder\filename.ini –cms cmsname:6400 –username "ad
ministrator" –password samplepassword
In Unix: ./scw.sh –r /home/folder/filename.ini –cms cmsname:6400 –username
"administrator" –password samplepassword
File di risposta di esempio
# ********************************************
# ***************** Products *****************
# ********************************************
#
#
#
#
Keep the existing configuration for products.
Valid values = true or false.
"true": the existing product configuration will be preserved.
"false": the product configuration will be modified according to the “Products.” settings below.
Products.KeepExistingConfiguration = true
# The “Products.” settings below will be ignored if Products.KeepExistingConfiguration = true.
#
#
#
#
Auto-start the servers for these products.
Valid values = true or false.
"true": the product's servers and their dependencies are auto-started with BI platform.
"false": the product's servers are not auto-started with BI platform.
# Crystal Reports
Products.crystalreports = true
# Analysis edition for OLAP
Products.olap = true
# Web Intelligence
Products.webintelligence = false
# Dashboards (Xcelsius)
Products.dashboards = false
# Data Federator
Products.datafederator = true
# Lifecycle Manager
Products.LCM = true
102
2013-09-19
Configurazione guidata del sistema
# *******************************************************
# ***************** Deployment Template *****************
# *******************************************************
# Keep the existing configuration for the deployment template.
# Valid values = true or false.
# "true": the existing deployment template configuration will be preserved and the Capacity.DeploymentTemplate
setting below will be ignored.
# "false": the deployment template configuration will be modified according to the Capacity.DeploymentTemplate
setting below.
Capacity.KeepExistingConfiguration = true
# Specify the deployment template for all nodes.
# Valid values = xs, s, m, l, xl.
Capacity.DeploymentTemplate = xs
# *******************************************
# ***************** Folders *****************
# *******************************************
#
#
#
#
Keep the existing configuration for folder locations.
Valid values = true or false.
"true": the existing folder configuration will be preserved.
"false": the folder configuration will be modified according to the "Folders." settings below.
Folders.KeepExistingConfiguration = true
# The “Folders.” settings below will be ignored if Folders.KeepExistingConfiguration = true.
# ------ All nodes use the same folders -----# Use this section when you have one node, or when all nodes have the same folder locations. Otherwise, com
ment it out.
Folders.InputFileStore = <Path>
Folders.OutputFileStore = <Path>
Folders.Log = <Path>
Folders.Data = <Path>
Folders.Auditing = <Path>
# ------ Nodes use different folders -----# Use this section when nodes have different folder locations. Otherwise, comment it out.
#
#
#
#
#
#
------ NodeOne -----Folders.NodeOne.InputFileStore = <Path>
Folders.NodeOne.OutputFileStore = <Path>
Folders.NodeOne.Log = <Path>
Folders.NodeOne.Data = <Path>
Folders.NodeOne.Auditing = <Path>
#
#
#
#
#
#
------ NodeTwo -----Folders.NodeTwo.InputFileStore = <Path>
Folders.NodeTwo.OutputFileStore = <Path>
Folders.NodeTwo.Log = <Path>
Folders.NodeTwo.Data = <Path>
Folders.NodeTwo.Auditing = <Path>
Tutte le impostazioni nel file di risposta devono essere specificate e non possono essere vuote, ad
eccezione dei casi seguenti:
• Nel caso di una distribuzione a più nodi è possibile scegliere di omettere le impostazioni di cartella
per uno o più nodi, in modo da lasciare inalterate le cartelle presenti in tali nodi. Per i nodi specificati
nel file di risposta è invece necessario indicare tutti i percorsi di cartella.
• Se il parametro KeepExistingConfiguration è impostato su true, è possibile omettere le altre
impostazioni di tale pagina. Se ad esempio Products.KeepExistingConfiguration = true,
è possibile omettere le altre impostazioni della pagina "Prodotti" dal file di risposta
In alcuni casi, il file di risposta include prodotti diversi da quelli installati nel cluster di destinazione. In
questi casi, si verificano i comportamenti seguenti:
103
2013-09-19
Configurazione guidata del sistema
•
•
Se il file di risposta non contiene definizioni per i prodotti installati nel cluster di destinazione,
l'operazione non riesce.
Se il file di risposta contiene definizioni per prodotti non presenti nel cluster di destinazione, viene
aggiunto un messaggio di avviso al file di registro e gli altri prodotti vengono configurati correttamente.
Nota:
•
•
•
104
Dopo aver utilizzato un file di risposta per configurare un cluster, è necessario eseguire manualmente
le altre operazioni descritte nella sezione “Next steps” del file di registro.
Per una maggior protezione, è richiesto solo il supporto dell'autenticazione Enterprise (non Windows
AD, LDAP o SAP).
Se si preferisce rimandare il riavvio dei nodi al successivo riavvio pianificato, eseguire lo script subito
prima di un periodo di inattività pianificato del sistema.
2013-09-19
Gestione delle licenze
Gestione delle licenze
5.1 Gestione dei codici di licenza
In questa sezione viene descritto come gestire le chiavi di licenza per la distribuzione della piattaforma
BI.
Argomenti correlati
• Visualizzazione delle informazioni sulle licenze
• Per aggiungere un codice di licenza
• Visualizzazione dell'attività dell'account corrente
5.1.1 Visualizzazione delle informazioni sulle licenze
L'area di gestione "Codici di licenza" della CMC identifica il numero di licenze titolari e per processore
che sono associate a ogni codice.
1. Passare all'area di gestione "Codici di licenza" della CMC.
2. Selezionare un codice di licenza.
I dettagli associati al codice verranno visualizzati nell'area Informazioni sul codice di licenza. Per
acquistare ulteriori codici di licenza, contattare il proprio rappresentante di vendita SAP.
Argomenti correlati
• Per aggiungere un codice di licenza
• Visualizzazione dell'attività dell'account corrente
5.1.2 Per aggiungere un codice di licenza
105
2013-09-19
Gestione delle licenze
se si sta eseguendo l'aggiornamento da una versione di prova del prodotto, eliminare la chiave
Valutazione prima di aggiungere nuovi codici di licenza o codici di attivazione dei prodotti. Dopo avere
aggiunto i nuovi codici di licenza, sarà necessario abilitare nuovamente tutti i server.
Nota:
Se sono stati ricevuti nuovi codici di licenza in seguito a una modifica all'interno dell'organizzazione
nella modalità con cui le licenze della piattaforma BI vengono implementate, è necessario eliminare i
codici di licenza precedenti dal sistema al fine di mantenere la conformità.
1. Passare all'area di gestione Codici di licenza della CMC.
2. Digitare il codice nel campo Aggiungi codice.
3. Fare clic su Aggiungi.
Il codice verrà aggiunto all'elenco.
Argomenti correlati
• Visualizzazione delle informazioni sulle licenze
• Visualizzazione dell'attività dell'account corrente
5.1.3 Visualizzazione dell'attività dell'account corrente
1. Passare all'area di gestione Impostazioni della CMC.
2. Fare clic su Visualizza le metriche di sistema globali.
In questa sezione viene indicato l'utilizzo delle licenze correnti, insieme alle specifiche dei processi
aggiuntivi.
Argomenti correlati
• Per aggiungere un codice di licenza
• Visualizzazione delle informazioni sulle licenze
106
2013-09-19
Gestione di utenti e gruppi
Gestione di utenti e gruppi
6.1 Panoramica della gestione dei server
La gestione degli account include tutte le attività relative alla creazione, alla mappatura, alla modifica
e all'organizzazione delle informazioni su utenti e gruppi. L'area di gestione "Utenti e gruppi" della
Central Management Console (CMC) offre una posizione centrale per eseguire queste attività.
Dopo aver creato gli account utente e i gruppi, è possibile aggiungere oggetti e specificare i diritti di
accesso. Quando accedono, gli utenti possono visualizzare gli oggetti utilizzando BI Launch Pad o
un'applicazione Web personalizzata.
6.1.1 Gestione utenti
Nell'area di gestione "Utenti e gruppi" è possibile specificare tutte le informazioni necessarie affinché
un utente possa accedere alla piattaforma BI. È anche possibile visualizzare i due account utente
predefiniti riepilogati nella tabella “Account utente predefiniti”.
Tabella 6 - 1: Account utente predefiniti
107
Nome account
Descrizione
Amministratore
L'utente appartiene ai gruppi Amministratori e
Tutti. Un amministratore può eseguire tutte le
attività in tutte le applicazioni della piattaforma BI
(ad esempio CMC, CCM, Pubblicazione guidata
e BI Launch Pad).
Guest
Questo utente appartiene al gruppo Tutti. L'account viene abilitato per impostazione predefinita
e non viene assegnata una password dal sistema.
Se si assegna una password, viene interrotto il
Single Sign On a BI Launch Pad.
2013-09-19
Gestione di utenti e gruppi
Nome account
Descrizione
SMAdmin
Account di sola lettura utilizzato da SAP Solution
Manager per accedere ai componenti della piattaforma BI.
Nota:
le migrazioni di oggetti vengono eseguite al meglio da membri del gruppo Amministratori, in particolare
dall'account utente Administrator. La migrazione di un oggetto potrebbe implicare la migrazione anche
di molti oggetti correlati. Un account amministratore delegato potrebbe non ottenere i diritti di protezione
richiesti per tutti gli oggetti.
6.1.2 Gestione gruppi
I gruppi sono insiemi di utenti che condividono gli stessi privilegi di account, quindi è possibile creare
gruppi basati su reparto, ruolo o posizione. I gruppi consentono di modificare i diritti degli utenti in una
posizione specifica (un gruppo) anziché modificare i diritti per ciascun account utente singolarmente.
È inoltre possibile assegnare i diritti dell'oggetto a un gruppo o a più gruppi.
Nell'area "Utenti e gruppi", è possibile creare gruppi che consentono a un certo numero di utenti di
accedere a report o cartelle. Ciò consente di apportare delle modifiche in un punto preciso piuttosto
che modificare individualmente ciascun account utente. È anche possibile visualizzare i diversi account
di gruppo predefiniti riepilogati nella tabella “Account di gruppo predefiniti”.
Per visualizzare i gruppi disponibili nella console CMC, fare clic su Elenco gruppi nel pannello Albero.
In alternativa, è possibile fare clic su Gerarchia gruppi per visualizzare un elenco gerarchico di tutti i
gruppi disponibili.
Tabella 6 - 2: Account di gruppo predefiniti
108
Nome account
Descrizione
Amministratori
I membri di questo gruppo possono eseguire tutte
le attività in tutte le applicazioni della piattaforma
BI (CMC, CCM, Pubblicazione guidata e BI Launch Pad). Per impostazione predefinita, il gruppo
Amministratori contiene solo l'utente Administrator.
Tutti
Ogni utente è un membro del gruppo Tutti.
QaaWS Group Designer
I membri di questo gruppo hanno accesso a
Query come Servizio Web.
2013-09-19
Gestione di utenti e gruppi
Nome account
Descrizione
Utenti di Strumento di conversione dei report
I membri di questo gruppo hanno accesso all'applicazione Strumento di conversione dei report.
Traduttori
I membri di questo gruppo hanno accesso all'applicazione Translation Manager.
Utenti di Universe Designer
Il diritto di accedere alle cartelle Universe Designer e Connessioni viene concesso agli utenti
che appartengono a questo gruppo. Essi possono
verificare chi dispone dei diritti di accesso all'applicazione di progettazione. Aggiungere gli utenti
a questo gruppo a seconda delle esigenze. Per
impostazione predefinita questo gruppo non contiene utenti.
Argomenti correlati
• Funzionamento dei diritti nella piattaforma BI
• Concessione del diritto di accesso a utenti e gruppi
6.1.3 Tipi di autenticazione disponibili
Prima di impostare gli account utente e i gruppi all'interno della piattaforma BI, è opportuno decidere il
tipo di autenticazione che si desidera utilizzare. Nella tabella “Tipi di autenticazione” sono riportate le
opzioni di autenticazione che possono essere disponibili in base agli strumenti di protezione utilizzati
dall'azienda.
Tabella 6 - 3: Tipi di autenticazione
109
Tipo di autenticazione
Descrizione
Enterprise
Utilizzare l'autenticazione Enterprise predefinita
del sistema se si preferisce creare account e
gruppi distinti da utilizzare con la piattaforma BI
oppure se non è stata ancora impostata una gerarchia di utenti e gruppi in un server di directory
LDAP o in un server Windows AD.
2013-09-19
Gestione di utenti e gruppi
110
Tipo di autenticazione
Descrizione
LDAP
Se viene impostato un server di directory LDAP,
è possibile utilizzare con la piattaforma BI gli account utente e i gruppi esistenti in LDAP. Quando
gli account LDAP vengono mappati alla piattaforma BI, gli utenti possono accedere alle applicazioni della piattaforma BI con il nome utente e la
password LDAP di cui dispongono. In questo
modo si evita di creare nuovamente account utente e di gruppo individuali all'interno della piattaforma BI.
Windows AD
È possibile utilizzare gli account utente e i gruppi
Windows AD già esistenti nella piattaforma BI.
Quando gli account AD vengono mappati alla
piattaforma BI, gli utenti possono accedere alle
applicazioni della piattaforma BI con il nome utente e la password AD di cui dispongono. In questo
modo si evita di creare nuovamente account utente e di gruppo individuali all'interno della piattaforma BI.
SAP
È possibile mappare i ruoli SAP esistenti negli
account della piattaforma BI. Dopo avere mappato
i ruoli SAP, gli utenti saranno in grado di accedere
alle applicazioni della piattaforma BI utilizzando
le proprie credenziali SAP. In questo modo si
evita di creare nuovamente account utente e di
gruppo individuali all'interno della piattaforma BI.
Oracle EBS
È possibile mappare i ruoli Oracle EBS esistenti
negli account della piattaforma BI. Dopo avere
mappato i ruoli Oracle EBS, gli utenti saranno in
grado di accedere alle applicazioni della piattaforma BI utilizzando le proprie credenziali Oracle
EBS. In questo modo si evita di creare nuovamente account utente e di gruppo individuali all'interno della piattaforma BI.
Siebel
È possibile mappare i ruoli Siebel esistenti negli
account della piattaforma BI. Dopo avere mappato
i ruoli Siebel, gli utenti saranno in grado di accedere alle applicazioni della piattaforma BI utilizzando le proprie credenziali Siebel. In questo modo
si evita di creare nuovamente account utente e
di gruppo individuali all'interno della piattaforma
BI.
2013-09-19
Gestione di utenti e gruppi
Tipo di autenticazione
Descrizione
PeopleSoft Enterprise
È possibile mappare i ruoli PeopleSoft esistenti
negli account della piattaforma BI. Dopo avere
mappato i ruoli PeopleSoft, gli utenti saranno in
grado di accedere alle applicazioni SAP della
piattaforma BI utilizzando le proprie credenziali
PeopleSoft. In questo modo si evita di creare
nuovamente account utente e di gruppo individuali
all'interno della piattaforma BI.
JD Edwards EnterpriseOne
È possibile mappare i ruoli JD Edwards esistenti
negli account della piattaforma BI. Dopo avere
mappato i ruoli JD Edwards, gli utenti saranno in
grado di accedere alle applicazioni della piattaforma BI utilizzando le proprie credenziali JD Edwards. In questo modo si evita di creare nuovamente account utente e di gruppo individuali
all'interno della piattaforma BI.
6.2 Gestione di account Enterprise e generali
Poiché l'autenticazione Enterprise rappresenta il metodo di autenticazione predefinito della piattaforma
BI, viene abilitata automaticamente alla prima installazione del sistema. Quando vengono aggiunti e
gestiti utenti e gruppi, la piattaforma conserva all'interno del database le informazioni ad essi correlate.
Nota:
Quando un utente si disconnette dalla sessione Web nella piattaforma BI accedendo a una pagina non
della piattaforma oppure chiudendo il browser, la sessione Enterprise non viene disconnessa e la
licenza viene mantenuta. La sessione Enterprise verrà terminata dopo circa 24 ore. Per terminare la
sessione Enterprise dell'utente e liberare la licenza per altri, l'utente deve disconnettersi dalla piattaforma.
6.2.1 Per creare un account utente
Quando si crea un nuovo utente vengono specificate le proprietà dell'utente e selezionato il gruppo o
i gruppi di cui l'utente sarà membro.
1. Passare all'area di gestione "Utenti e gruppi" della CMC.
2. Scegliere Gestisci > Nuovo > Nuovo utente.
Viene visualizzata la finestra di dialogo "Nuovo utente".
111
2013-09-19
Gestione di utenti e gruppi
3. Per creare un utente Enterprise:
a. Nell'elenco Tipo di autenticazione selezionare Aziendale.
b. Digitare il nome account, il nome completo, l'indirizzo di posta elettronica e le informazioni
descrittive.
Suggerimento:
Utilizzare l'area riservata alle descrizioni per includere informazioni aggiuntive sull'utente o
sull'account.
c. Specificare le informazioni sulla password e le impostazioni.
4. Per creare un utente che eseguirà l'accesso utilizzando un tipo di autenticazione differente,
selezionare l'opzione appropriata nell'elenco Tipo di autenticazione e digitare il nome dell'account.
5. Eseguire una delle azioni seguenti per designare l'account utente (in base al contratto di licenza
della piattaforma BI):
• Selezionare Utente simultaneo se questo utente ha sottoscritto un contratto di licenza che
definisce il numero di utenti a cui è consentito l'accesso simultaneo.
• Selezionare Utente designato se l'utente ha sottoscritto un contratto di licenza che associa uno
specifico utente a una licenza. Le licenze degli utenti designati risultano utili per chi richiede
l'accesso alla piattaforma BI indipendentemente dagli altri utenti al momento connessi.
6. Scegliere Crea e chiudi.
L'utente viene aggiunto al sistema e automaticamente al gruppo Tutti. Per l'utente vengono creati
automaticamente una casella di posta in arrivo e un alias Enterprise.
Ora è possibile aggiungere l'utente a un gruppo o specificare i diritti di cui dispone.
Argomenti correlati
• Funzionamento dei diritti nella piattaforma BI
6.2.2 Per modificare un account utente
Utilizzare la seguente procedura per modificare le proprietà di un utente o la sua appartenenza a un
gruppo.
Nota:
l'utente sarà coinvolto nella modifica se risulta collegato nel momento in cui questa viene effettuata.
1. Accedere all'area di gestione "Utenti e gruppi" della console CMC.
2. Selezionare l'utente di cui si desidera modificare le proprietà.
3. Fare clic su Gestisci > Proprietà.
Viene visualizzata la finestra di dialogo "Proprietà" dell'utente.
4. Modificare le proprietà dell'utente.
112
2013-09-19
Gestione di utenti e gruppi
Oltre a tutte le opzioni disponibili quando l'account è stato creato per la prima volta, ora è possibile
disattivare l'account selezionando la casella di controllo Account disattivato.
Nota:
Tutte le modifiche apportate all'account utente non verranno visualizzate fino al successivo accesso.
5. Fare clic su Salva e chiudi.
Argomenti correlati
• Per creare un nuovo alias per un utente esistente
6.2.3 Per eliminare un account utente
Utilizzare la seguente procedura per eliminare un account utente. L'utente potrebbe ricevere un
messaggio di errore se risulta collegato nel momento in cui l'account viene eliminato. Eliminando un
account utente vengono eliminati anche la cartella Preferiti, le categorie personali e la casella di posta
dell'utente.
Se si ritiene che l'utente in futuro potrebbe nuovamente richiedere l'accesso all'account, anziché
eliminarlo selezionare la casella di controllo Account disattivato nella finestra di dialogo "Proprietà"
dell'utente selezionato.
Nota:
l'eliminazione di un account utente non impedisce necessariamente all'utente di accedere di nuovo alla
piattaforma BI. Se l'account utente esiste anche in un sistema di terze parti e appartiene a un gruppo
di terze parti mappato alla piattaforma BI, l'utente può comunque riuscire ad accedere.
1. Passare all’area di gestione "Utenti o Gruppi" della console CMC.
2. Selezionare l'utente da eliminare.
3. Scegliere Gestisci > Elimina.
Viene visualizzata la finestra di dialogo di conferma dell’eliminazione.
4. Fare clic su OK.
L’account utente viene eliminato.
Argomenti correlati
• Per modificare un account utente
• Per eliminare un account utente
• Per disattivare un alias
113
2013-09-19
Gestione di utenti e gruppi
6.2.4 Per creare un nuovo gruppo
1. Accedere all'area di gestione "Utenti e gruppi" della console CMC.
2. Scegliere Gestisci > Nuovo > Nuovo gruppo.
Verrà visualizzata la finestra di dialogo "Crea nuovo gruppo utente".
3. Immettere il nome del gruppo e la descrizione.
4. Fare clic su OK.
Dopo aver creato un nuovo gruppo è possibile aggiungere utenti, aggiungere sottogruppi o specificare
l'appartenenza al gruppo; in quest'ultimo caso il nuovo gruppo è in realtà un sottogruppo. Poiché i
sottogruppi forniscono livelli aggiuntivi di organizzazione, si rivelano utili quando vengono impostati i
diritti degli oggetti per il controllo dell'accesso utente al contenuto della piattaforma BI.
6.2.5 Per modificare le proprietà di un gruppo
È possibile modificare le proprietà di un gruppo apportando modifiche a una qualsiasi delle impostazioni.
Nota:
Gli utenti che appartengono al gruppo saranno interessati dalla modifica al successivo accesso.
1. Nell'area di gestione "Utenti e gruppi" della console CMC, selezionare il gruppo.
2. Fare clic su Gestisci > Proprietà.
Viene visualizzata la finestra di dialogo "Proprietà".
3. Modificare le proprietà per il gruppo.
Fare clic sui collegamenti dall'elenco di spostamento per accedere alle diverse finestre di dialogo
e modificare le diverse proprietà.
• Se si desidera modificare il titolo o la descrizione per il gruppo, fare clic su Proprietà.
• Se si desidera modificare i diritti dei principali sul gruppo, fare clic su Protezione utente.
• Se si desidera modificare i valori di profilo per i membri del gruppo, fare clic su Valori di profilo.
• Se si desidera aggiungere il gruppo o un sottogruppo a un altro gruppo, fare clic su Membro di.
4. Fare clic su Salva.
6.2.6 Per visualizzare i membri del gruppo
È possibile utilizzare questa procedura per visualizzare gli utenti appartenenti a uno specifico gruppo.
114
2013-09-19
Gestione di utenti e gruppi
1. Accedere all'area di gestione "Utenti e gruppi" della console CMC.
2. Espandere Gerarchia gruppi nel pannello Albero.
3. Selezionare il gruppo nel pannello Albero.
Nota:
se nel gruppo è presente un numero considerevole di utenti oppure se il gruppo è mappato a una
directory di terze parti, l'aggiornamento dell'elenco potrebbe richiedere alcuni minuti.
Viene visualizzato l'elenco degli utenti appartenenti al gruppo.
6.2.7 Per aggiungere i sottogruppi
È possibile aggiungere un gruppo a un altro gruppo. In questo caso, il gruppo aggiunto diventa un
sottogruppo.
Nota:
l'aggiunta di un sottogruppo è simile alla definizione dell'appartenenza al gruppo.
1. Nell'area di gestione "Utenti e gruppi" della console CMC, selezionare il gruppo che si desidera
aggiungere come sottogruppo a un altro gruppo.
2. Scegliere Azioni > Unisci gruppo.
Verrà visualizzata la finestra di dialogo "Unisci gruppo".
3. Spostare il gruppo a cui si desidera aggiungere il primo gruppo dall'elenco Gruppi disponibili
all'elenco Gruppi di destinazione.
4. Fare clic su OK.
Argomenti correlati
• Per specificare l'appartenenza al gruppo
6.2.8 Per specificare l'appartenenza al gruppo
È possibile trasformare un gruppo in un membro di un altro gruppo. Il gruppo che diviene membro viene
chiamato sottogruppo. Il gruppo cui viene aggiunto il sottogruppo è il gruppo principale. Un sottogruppo
eredita i diritti del gruppo principale.
1. Nell'area di gestione "Utenti e gruppi" della console CMC, fare clic sul gruppo da aggiungere a un
altro gruppo.
2. Scegliere Azioni > Membro di.
Verrà visualizzata la finestra di dialogo "Membro di".
3. Fare clic su Unisci gruppo.
115
2013-09-19
Gestione di utenti e gruppi
Verrà visualizzata la finestra di dialogo "Unisci gruppo".
4. Spostare il gruppo a cui si desidera aggiungere il primo gruppo dall'elenco Gruppi disponibili
all'elenco Gruppi di destinazione.
Tutti i diritti associati al gruppo principale saranno ereditati dal nuovo gruppo appena creato.
5. Fare clic su OK.
Viene nuovamente visualizzata la finestra di dialogo "Membro di" e il gruppo principale viene
visualizzato nell'elenco dei gruppi principali.
6.2.9 Per eliminare un gruppo
Quando un gruppo non risulta più necessario, è possibile eliminarlo. Non è possibile eliminare i gruppi
predefiniti Amministratori e Tutti.
Nota:
•
•
Gli utenti che appartengono al gruppo eliminato saranno interessati dalla modifica al successivo
accesso.
Gli utenti che appartengono al gruppo eliminato perderanno i diritti ereditati dal gruppo.
Per eliminare un gruppo di autenticazione di terze parti, ad esempio il gruppo utenti Windows AD,
utilizzare l'area di gestione "Autenticazione " nella CMC.
1. Accedere all'area di gestione "Utenti e gruppi" della console CMC.
2. Selezionare il gruppo da eliminare.
3. Scegliere Gestisci > Elimina.
Viene visualizzata la finestra di dialogo di conferma dell’eliminazione.
4. Fare clic su OK.
Il gruppo viene eliminato.
6.2.10 Aggiunta in blocco di utenti o gruppi di utenti
Per aggiungere utenti o gruppi di utenti in massa alla CMC è possibile utilizzare un file CSV
(comma-separated values). In un file CSV con formato corretto, le virgole separano i dati in una riga,
come illustrato nell'esempio seguente:
Add,MyGroup,MyUser1,MyFullName,Password1,[email protected],ProfileName,ProfileValue
Al processo di aggiunta in blocco si applicano le condizioni seguenti:
• Tutte le righe del file CSV che contengono un errore vengono escluse dal processo di importazione.
• Gli account utente vengono inizialmente disabilitati dopo l'importazione.
116
2013-09-19
Gestione di utenti e gruppi
•
•
È possibile utilizzare password vuote quando si creano nuovi utenti. È invece necessario utilizzare
una password valida per l'autenticazione di Enterprise per tutti i successivi aggiornamenti agli utenti
esistenti.
Quando si aggiunge una credenzialeDB a un account, le credenziali del database vengono abilitate
nel profilo dell'utente.
1. Nell'area di gestione Utenti e gruppi della CMC, selezionare Gestisci > Importa > Utente/Grup
po/CredenzialeDB.
Viene visualizzata la finestra di dialogo "Importa utente/gruppo/credenzialeDB".
2. Fare clic su Sfoglia, selezionare un file CSV, quindi fare clic su Verifica.
Il file viene elaborato. Se i dati del file presentano un formato corretto, il pulsante Importa diventa
attivo. Se il formato dei dati non è corretto, vengono visualizzate informazioni sull'errore, che deve
essere risolto prima che la CMC possa verificare il file per l'importazione.
3. Fare clic su Importa.
Gli utenti o i gruppi di utenti vengono importati nella CMC.
Per verificare gli utenti o i gruppi di utenti aggiunti, selezionare Gestisci > Importa > Cronologia
nell'area di gestione Utenti e gruppi.
6.2.11 Per abilitare l'account Guest
Per impostazione predefinita, l'account Guest è disabilitato, per garantire che nessun utente possa
utilizzarlo per accedere alla piattaforma BI. Questa impostazione predefinita disabilita anche la
funzionalità Single Sign On anonimo della piattaforma BI e pertanto gli utenti non saranno in grado di
accedere a BI Launch Pad senza aver prima fornito un nome utente e una password validi.
Eseguire l'attività seguente se si desidera abilitare l'account Guest in modo che gli utenti non richiedano
ai propri account di accedere a BI Launch Pad.
1. Passare all'area di gestione Utenti e gruppi della CMC.
2. Fare clic su Elenco utenti nel pannello di spostamento.
3. Selezionare Guest.
4. Fare clic su Gestisci > Proprietà.
Viene visualizzata la finestra di dialogo "Proprietà".
5. Deselezionare la casella di controllo Account disattivato.
6. Fare clic su Salva e chiudi.
6.2.12 Aggiunta di utenti ai gruppi
117
2013-09-19
Gestione di utenti e gruppi
È possibile aggiungere utenti ai gruppi nei seguenti modi:
•
•
Selezionare il gruppo, quindi fare clic su Azioni > Aggiungi membri al gruppo.
Selezionare l'utente, quindi fare clic su Azioni > Membro di.
•
Selezionare l'utente, quindi fare clic su Azioni > Unisci gruppo.
Le procedure che seguono descrivono il modo in cui gli utenti vengono aggiunti ai gruppi adottando
questi metodi.
Argomenti correlati
• Per specificare l'appartenenza al gruppo
6.2.12.1 Per aggiungere un utente a uno o più gruppi
1. Accedere all'area di gestione "Utenti e gruppi" della console CMC.
2. Selezionare l'utente che si desidera aggiungere a un gruppo.
3. Scegliere Azioni > Unisci gruppo.
Nota:
tutti gli utenti della piattaforma BI del sistema fanno parte del gruppo Tutti.
Verrà visualizzata la finestra di dialogo "Unisci gruppo".
4. Spostare il gruppo a cui si desidera aggiungere l'utente dall'elenco Gruppi disponibili all'elenco
Gruppi di destinazione.
Suggerimento:
Utilizzare MAIUSC + clic o CTRL + clic per selezionare più gruppi.
5. Fare clic su OK.
6.2.12.2 Per aggiungere utenti a un gruppo
1. Nell'area di gestione "Utenti e gruppi" della console CMC, selezionare il gruppo.
2. Scegliere Azioni > Aggiungi membri al gruppo.
Viene visualizzata la finestra di dialogo "Aggiungi".
3. Fare clic su Elenco utenti.
L'elenco Utenti/gruppi disponibili viene aggiornato e vengono visualizzati tutti gli account utente
del sistema.
118
2013-09-19
Gestione di utenti e gruppi
4. Spostare l'utente che si desidera aggiungere al gruppo dall'elenco Gruppi/utenti disponibili all'elenco
Utenti/gruppi selezionati.
Suggerimento:
•
•
•
Per selezionare più utenti, utilizzare la combinazione MAIUSC + clic o CTRL + clic.
Per cercare un utente specifico, utilizzare il campo di ricerca.
Se sul sistema sono presenti molti utenti, fare clic sui pulsanti Precedente e Successivo per
spostarsi all'interno dell'elenco di utenti.
5. Fare clic su OK.
6.2.13 Modifica delle impostazioni password
In CMC, è possibile modificare le impostazioni della password relative a un utente specifico o a tutti gli
utenti del sistema. Le varie limitazioni elencate di seguito sono valide solo per gli account Enterprise;
in altre parole, non si applicano ad account mappati a un database utente esterno (LDAP o Windows
AD). In genere, tuttavia, il sistema esterno consente di inserire limitazioni simili per gli account esterni.
6.2.13.1 Per modificare le impostazioni della password utente
1. Passare all’area di gestione "Utenti e gruppi" della CMC.
2. Selezionare l'utente di cui si desidera modificare le impostazioni della password.
3. Fare clic su Gestisci > Proprietà.
Viene visualizzata la finestra di dialogo "Proprietà".
4. Selezionare o deselezionare la casella di controllo associata alle impostazioni password che si
desidera modificare.
Le opzioni disponibili sono:
•
•
•
Nessuna scadenza password
Modifica obbligatoria password all’accesso successivo
Modifica password non consentita
5. Fare clic su Salva e chiudi.
6.2.13.2 Per modificare le impostazioni generali della password
1. Passare all’area di gestione "Autenticazione" della CMC.
119
2013-09-19
Gestione di utenti e gruppi
2. Fare doppio clic su Enterprise.
Verrà visualizzata la finestra di dialogo "Enterprise".
3. Selezionare la casella di controllo per ciascuna impostazione della password da usare e specificare
un valore se richiesto.
La seguente tabella identifica i valori minimo e massimo per ogni impostazione che è possibile
configurare.
Tabella 6 - 4: Impostazioni password
Impostazione password
Minimo
Massimo consigliato
Attiva password con maiuscole e minuscole
N/D
N/D
Devono essere contenuti almeno N caratteri
0 caratteri
64 caratteri
È necessario modificare la
password ogni N giorni
1 giorno
100 giorni
Impossibile riutilizzare le N
password più recenti
1 password
100 password
È necessario attendere N
minuti per modificare la password
0 minuti
100 minuti
Disattiva account dopo N tentativi di accesso non riusciti
1 non riuscito
100 non riusciti
Reimposta il conteggio degli
accessi non riusciti dopo N
minuti
1 minuto
100 minuti
Riattiva account dopo N minuti
0 minuti
100 minuti
4. Fare clic su Aggiorna.
120
2013-09-19
Gestione di utenti e gruppi
Nota:
gli account utente inattivi non verranno disattivati automaticamente.
6.2.14 Concessione del diritto di accesso a utenti e gruppi
È possibile concedere a utenti e gruppi il diritto di accesso amministrativo ad altri utenti e gruppi. I diritti
amministrativi includono: visualizzazione, modifica ed eliminazione di oggetti, nonché visualizzazione,
eliminazione e sospensione di istanze di oggetti. Ad esempio, per la risoluzione dei problemi e la
manutenzione del sistema, può essere opportuno concedere al reparto IT l'accesso per la modifica e
l'eliminazione di oggetti.
Argomenti correlati
• Per assegnare principali a un elenco di controllo di accesso per un oggetto
6.2.15 Controllo dell'accesso alle caselle di posta in entrata dell'utente
Quando si aggiunge un utente, il sistema crea automaticamente una casella di posta in entrata per
l'utente inserito. La casella di posta in entrata ha lo stesso nome dell'utente. Per impostazione predefinita,
solo l'utente e l'amministratore dispongono dei diritti di accesso alla casella di posta dell'utente.
Argomenti correlati
• Impostazione di una pianificazione per un oggetto programma
• Gestione delle impostazioni di protezione per gli oggetti nella CMC
6.2.16 Configurazione delle opzioni di BI Launch Pad
Gli amministratori possono configurare il modo in cui gli utenti accedono alle applicazioni BI Launch
Pad. Configurando le proprietà nel file BOE.war, è possibile specificare le informazioni disponibili nella
schermata di accesso dell'utente. È inoltre possibile utilizzare la console CMC per impostare le preferenze
di BI Launch Pad per gruppi specifici.
121
2013-09-19
Gestione di utenti e gruppi
6.2.16.1 Configurazione della schermata di accesso di BI Launch Pad
Per impostazione predefinita, la schermata di accesso di BI Launch Pad richiede l'immissione del nome
utente e della password. È possibile configurarla in modo che vengano richiesti anche il nome CMS e
il tipo di autenticazione. Per modificare questa impostazione, è necessario modificare le proprietà di BI
Launch Pad per il file BOE.war.
6.2.16.1.1 Configurazione della schermata di accesso di BI Lunch Pad
Per modificare le impostazioni predefinite di BI Launch Pad, è necessario impostare le proprietà
personalizzate di BI Launch Pad per il file BOE.war. Questo file viene distribuito sul computer che ospita
il server di applicazioni Web.
1. Accedere alla seguente directory nell'installazione della piattaforma BI:
<DIRINSTALL>\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom\
2. Creare un nuovo file utilizzando un editor di testo.
3. Salvare il file con questo nome:
BIlaunchpad.properties
4. Per includere le opzioni di autenticazione nella schermata di accesso di BI Launch Pad, aggiungere
la riga seguente:
authentication.visible=true
5. Per modificare l'autenticazione predefinita, aggiungere la riga seguente:
authentication.default=<authentication>
Sostituire <authentication> con una delle opzioni seguenti:
Tipo di autenticazione
Valore <authentication>
Enterprise
SecEnterprise
LDAP
secLDAP
Windows AD
secWinAD
SAP
secSAPR3
6. Per richiedere agli utenti il nome del CMS nella schermata di accesso di BI Launch Pad, aggiungere
la riga seguente:
cms.visible=true
7. Salvare e chiudere il file.
8. Riavviare il server di applicazioni Web.
122
2013-09-19
Gestione di utenti e gruppi
Utilizzare WDeploy per ridistribuire il file BOE.war sul server di applicazioni Web. Per ulteriori informazioni
sull'utilizzo di WDeploy, consultare il Manuale della distribuzione in rete di applicazioni Web della
piattaforma SAP BusinessObjects Business Intelligence
6.2.16.2 Impostazione delle preferenze di BI Launch Pad per i gruppi di utenti
Gli amministratori possono specificare i valori predefiniti per le preferenze di BI Launch Pad, da applicare
a tutti gli utenti di un gruppo di utenti.
Nota:
Quando gli utenti impostano le proprie preferenze, le impostazioni definite dall'amministratore non
vengono applicate alla visualizzazione di un utente di BI Launch Pad. Gli utenti possono passare dalle
proprie impostazioni delle preferenze a quelle definite dall'amministratore in qualsiasi momento.
Per impostazione predefinita, non vengono specificate preferenze di BI Launch Pad per i gruppi di
utenti. Gli amministratori possono specificare i valori predefiniti per le preferenze seguenti:
• Scheda iniziale
• Posizione in cui vengono memorizzati i documenti
• Cartelle
• Categorie
• Numero di oggetti per pagina
• Colonne visualizzate nella scheda Documento
• Come visualizzare i documenti in BI Launch Pad, in una scheda o in una nuova finestra
6.2.16.2.1 Per impostare le preferenze di BI Launch Pad per un gruppo di utenti
1. Passare all'area di gestione "Utenti e gruppi" della CMC.
2. Selezionare il gruppo in Elenco gruppi.
3. Fare clic su Azioni > Preferenze di BI Launch Pad
Viene visualizzata la finestra di dialogo "Preferenze di BI Launch Pad".
4. Deselezionare Nessuna preferenza definita.
5. Per impostare la visualizzazione iniziale di un utente:
• Per visualizzare la scheda iniziale al primo accesso dell'utente, fare clic su Scheda iniziale e
scegliere una delle opzioni seguenti:
123
2013-09-19
Gestione di utenti e gruppi
Opzione
Descrizione
Scheda iniziale predefinita
Visualizza la scheda iniziale predefinita della piattaforma BI.
Seleziona scheda iniziale
Visualizza un sito Web specifico come scheda iniziale.
Fare clic su Sfoglia scheda iniziale. Nella finestra "Selezionare
una scheda iniziale personalizzata" selezionare un oggetto repository e fare clic su Apri.
Nota:
è possibile selezionare solo un oggetto già aggiunto al repository.
•
Per visualizzare la scheda Documenti al primo accesso dell'utente, fare clic su Documenti, quindi
specificare il cassetto e il nodo che verranno aperti per impostazione predefinita. È possibile
selezionare una delle opzioni seguenti:
Cassetto
Opzioni nodo
Documenti
Scegliere una delle opzioni seguenti da visualizzare nella scheda Documenti:
• Preferiti
• Categorie personali
• Posta in arrivo
Cartelle
Scegliere una delle opzioni seguenti:
• Cartelle pubbliche: visualizza le cartelle pubbliche nella scheda Documenti
• Seleziona cartella pubblica
Fare clic su Sfoglia cartella per selezionare una cartella pubblica specifica
da visualizzare nella scheda Documenti.
Categorie
Scegliere una delle opzioni seguenti:
• Categorie aziendali: visualizza le categorie aziendali nella scheda Documenti
• Seleziona categoria aziendale
Fare clic su Sfoglia cartella per selezionare una categoria aziendale specifica da visualizzare nella scheda Documenti.
Se, ad esempio, si desidera che il cassetto Documenti venga aperto nella Posta in arrivo BI
dell'utente al suo primo accesso, fare clic su Documenti e quindi su Posta in arrivo.
6. In "Scegliere le colonne da visualizzare nella scheda Documenti" selezionare le informazioni
riepilogative da visualizzare per ogni oggetto nel pannello Elenco dell'utente:
• Tipo
124
2013-09-19
Gestione di utenti e gruppi
•
•
•
•
•
•
•
•
Ultima esecuzione
Istanze
Descrizione
Creato da
Creato il
Posizione (categorie)
Ricevuto il (Posta in arrivo)
Da (Posta in arrivo)
7. In "Imposta posizione di visualizzazione documento" scegliere la modalità di visualizzazione
desiderata per i documenti.
Gli utenti possono aprire i documenti per la visualizzazione in nuove schede all'interno di BI Launch
Pad o in nuove finestre del browser Web.
8. Immettere un numero nel campo Impostare il numero massimo di elementi per pagina per
specificare il numero massimo di oggetti che si desidera mostrare in ogni pagina quando si
visualizzano elenchi di oggetti.
9. Fare clic su Salva e chiudi.
Le preferenze specificate verranno utilizzate come preferenze predefinite per gli utenti del gruppo
selezionato al passaggio 2. Gli utenti potranno tuttavia creare le proprie preferenze per BI Launch Pad,
se dispongono del diritto per l'impostazione delle preferenze. Se non si desidera che gli utenti modifichino
le preferenze, non concedere loro il diritto per la relativa impostazione.
6.3 Gestione degli alias
Se un utente dispone di più account nella piattaforma BI, è possibile collegarli utilizzando la funzione
di assegnazione di alias. Questa opzione è utile quando un utente dispone di un account di terze parti
mappato su Enterprise e di un account Enterprise.
Tramite l'assegnazione di un alias l'utente può connettersi utilizzando un nome utente e una password
di terze parti, oppure un nome utente e una password Enterprise. In questo modo un alias consente a
un utente di accedere tramite più di un tipo di autenticazione.
Nella console CMC le informazioni relative agli alias vengono visualizzate nella parte inferiore della
finestra di dialogo "Proprietà" di un utente. Un utente può avere qualsiasi combinazione di alias
Enterprise, LDAP o Windows AD.
6.3.1 Per creare un utente e aggiungere un alias di terze parti
Quando si crea un utente e si seleziona un tipo di autenticazione diverso da Enterprise, il sistema crea
il nuovo utente nella piattaforma BI e genera un alias di terze parti per l'utente.
125
2013-09-19
Gestione di utenti e gruppi
Nota:
affinché il sistema crei l'alias di terze parti è necessario che vengano soddisfatti i seguenti criteri:
•
Lo strumento di autenticazione deve essere attivato nella CMC.
•
Il formato del nome account deve corrispondere al formato richiesto per il tipo di autenticazione.
•
L'account utente deve esistere nello strumento di autenticazione di terze parti e deve appartenere
a un gruppo già mappato alla piattaforma BI.
1. Passare all'area di gestione "Utenti e gruppi" della CMC.
2. Scegliere Gestisci > Nuovo > Nuovo utente.
Viene visualizzata la finestra di dialogo "Nuovo utente".
3. Selezionare il tipo di autenticazione per l'utente, ad esempio Windows AD.
4. Digitare il nome account di terze parti per l'utente, ad esempio bsmith.
5. Selezionare il tipo di connessione per l'utente.
6. Scegliere Crea e chiudi.
L'utente viene aggiunto alla piattaforma BI e riceve un alias per il tipo di autenticazione selezionato,
ad esempio secWindowsAD:ENTERPRISE:bsmith. Se necessario, è possibile assegnare e
riassegnare gli alias agli utenti.
6.3.2 Per creare un nuovo alias per un utente esistente
È possibile creare alias per gli utenti della piattaforma BI esistenti. Questo può essere un alias Enterprise,
oppure un alias per uno strumento di autenticazione di terze parti.
Nota:
affinché il sistema crei l'alias di terze parti è necessario che vengano soddisfatti i seguenti criteri:
•
Lo strumento di autenticazione deve essere attivato nella CMC.
•
Il formato del nome account deve corrispondere al formato richiesto per il tipo di autenticazione.
•
L'account utente deve esistere nello strumento di autenticazione di terze parti e deve appartenere
a un gruppo mappato alla piattaforma BI.
1. Passare all’area di gestione "Utenti o Gruppi" della console CMC.
2. Selezionare l'utente a cui si desidera aggiungere un alias.
3. Fare clic su Gestisci > Proprietà.
Viene visualizzata la finestra di dialogo "Proprietà".
4. Fare clic su Nuovo alias.
5. Selezionare il tipo di autenticazione.
6. Immettere il nome account per l'utente.
7. Fare clic su Aggiorna.
126
2013-09-19
Gestione di utenti e gruppi
Viene creato un alias per l'utente. Quando si visualizza l'utente nella CMC, vengono mostrati almeno
due alias: uno è quello assegnato all'utente in precedenza, l'altro è quello appena creato.
8. Fare clic su Salva e chiudi per uscire dalla finestra di dialogo "Proprietà".
6.3.3 Per assegnare un alias da un altro utente
L'assegnazione di un alias a un utente è il trasferimento di un alias di terze parti da un utente a quello
correntemente visualizzato. Non è possibile assegnare o riassegnare gli alias Enterprise.
Nota:
se un utente dispone di un solo alias, ma questo viene assegnato a un altro utente, il sistema elimina
l'account utente e la cartella Preferiti, le categorie personali e la casella di posta in arrivo associati a
tale account.
1. Passare all’area di gestione "Utenti o Gruppi" della console CMC.
2. Selezionare l'utente a cui si desidera assegnare un alias.
3. Fare clic su Gestisci > Proprietà.
Viene visualizzata la finestra di dialogo "Proprietà".
4. Fare clic su Assegna alias.
5. Immettere l'account utente che presenta l'alias che si desidera assegnare e fare clic su Trova.
6. Spostare l'alias che si desidera assegnare dall'elenco Alias disponibili all'elenco Alias da
aggiungere a nomeutente.
Dove nomeutente rappresenta il nome dell'utente a cui si assegna un alias.
Suggerimento:
Per selezionare più alias, utilizzare la combinazione MAIUSC + clic o CTRL + clic.
7. Scegliere OK.
6.3.4 Eliminazione di un alias
Quando si elimina un alias, esso viene rimosso dal sistema. Se un utente dispone di un solo alias, ma
questo viene eliminato, il sistema elimina automaticamente l'account utente, la cartella Preferiti, le
categorie personali e la casella di posta in arrivo associati a tale account.
Nota:
l'eliminazione di un alias dell'utente non impedisce necessariamente all'utente di accedere di nuovo
alla piattaforma BI. Se l'account utente esiste ancora nel sistema di terze parti e appartiene a un gruppo
mappato alla piattaforma BI, quest'ultima consente all'utente di effettuare la connessione. Il sistema
crea un nuovo utente o assegna l'alias a un utente esistente a seconda dell'opzione di aggiornamento
selezionata per lo strumento di autenticazione nell'area di gestione "Autenticazione" della console CMC.
127
2013-09-19
Gestione di utenti e gruppi
1. Passare all’area di gestione "Utenti o Gruppi" della console CMC.
2. Selezionare l'utente di cui si desidera eliminare l'alias.
3. Fare clic su Gestisci > Proprietà.
Viene visualizzata la finestra di dialogo "Proprietà".
4. Fare clic sul pulsante Elimina alias accanto all'alias da eliminare.
5. Se viene richiesta una conferma, fare clic su OK.
L’alias viene eliminato.
6. Fare clic su Salva e chiudi per uscire dalla finestra di dialogo "Proprietà".
6.3.5 Per disattivare un alias
È possibile impedire a un utente di accedere alla piattaforma BI utilizzando un particolare metodo di
autenticazione che prevede la disattivazione dell'alias utente ad esso associato. Per evitare che un
utente possa accedere alla piattaforma BI, disattivare tutti gli alias corrispondenti.
Nota:
l'eliminazione di un utente dal sistema non impedisce necessariamente all'utente di accedere di nuovo
alla piattaforma BI. Se l'account utente esiste ancora nel sistema di terze parti e se appartiene a un
gruppo mappato alla piattaforma BI, il sistema consentirà comunque all'utente di effettuare l'accesso.
Affinché un utente non possa più utilizzare uno degli alias che gli sono stati assegnati per accedere
alla piattaforma BI, è opportuno disattivarlo.
1. Passare all’area di gestione "Utenti o Gruppi" della console CMC.
2. Selezionare l'utente di cui si desidera disattivare l'alias.
3. Fare clic su Gestisci > Proprietà.
Viene visualizzata la finestra di dialogo "Proprietà".
4. Deselezionare la casella di controllo Attivato per l'alias che si desidera disattivare.
Ripetere questo passaggio per tutti gli alias che si desidera disattivare.
5. Fare clic su Salva e chiudi.
L'utente non può più accedere utilizzando il tipo di autenticazione appena disattivato.
Argomenti correlati
• Eliminazione di un alias
128
2013-09-19
Impostazione dei diritti
Impostazione dei diritti
7.1 Funzionamento dei diritti nella piattaforma BI
I diritti costituiscono le unità di base per il controllo dell'accesso degli utenti a oggetti, utenti, applicazioni,
server e altre funzionalità nella piattaforma BI. I diritti svolgono un ruolo importante nella protezione del
sistema mediante la definizione delle singole azioni che gli utenti possono eseguire sugli oggetti. Oltre
a consentire il controllo dell'accesso ai contenuti della piattaforma BI, i diritti consentono di delegare la
gestione di utenti e gruppi a diversi reparti e di garantire al personale IT l'accesso amministrativo a
server e gruppi di server.
È importante notare che i diritti vengono impostati su oggetti quali report e cartelle anziché sui “principali”
(utenti e gruppi) che effettuano l'accesso. Ad esempio, per fornire a un gestore l'accesso a una particolare
cartella, nell'area "Cartelle" aggiungere tale gestore all'“elenco di controllo degli accessi” (elenco dei
principali che possono accedere a un oggetto) per la cartella. Non è possibile fornire al gestore l'accesso
configurando le impostazioni dei diritti del gestore nell'area "Utenti e gruppi". Le impostazioni dei diritti
per il gestore nell'area "Utenti e gruppi" vengono utilizzate per concedere ad altri principali (ad esempio
amministratori delegati) l'accesso al gestore come a un oggetto nel sistema. In questo modo gli stessi
principali sono oggetti per altri che dispongono di maggiori diritti di gestione.
Ciascun diritto su un oggetto può essere concesso, negato o non specificato. Il modello di protezione
della piattaforma BI è progettato in modo tale che, se un diritto viene lasciato non specificato, viene
negato. Inoltre, se le impostazioni hanno come risultato la concessione e la negazione di un diritto a
un utente o un gruppo, il diritto viene negato. Questa progettazione “basata sul rifiuto” consente di
garantire che gli utenti o i gruppi non acquisiscano automaticamente diritti non concessi in modo esplicito.
Esiste un'importante eccezione a questa regola. Se un diritto viene impostato esplicitamente su un
oggetto secondario in contraddizione con i diritti ereditati dall'oggetto principale, il diritto impostato
sull'oggetto secondario ha la priorità sui diritti ereditati. Questa eccezione si applica agli utenti che sono
anche membri di gruppi. Se a un utente viene esplicitamente concesso un diritto negato al gruppo di
tale utente, il diritto impostato sull'utente ha la priorità sui diritti ereditati.
Argomenti correlati
• Priorità di diritti
7.1.1 Livelli di accesso
129
2013-09-19
Impostazione dei diritti
I “livelli di accesso” sono gruppi di diritti che gli utenti utilizzano con frequenza. Consentono agli
amministratori di impostare i livelli di protezione comuni in modo rapido e uniforme, evitando di impostare
i singoli diritti uno ad uno.
La piattaforma BI prevede vari livelli di accesso predefiniti. Questi livelli di accesso predefiniti si basano
su un modello di diritti crescenti, a partire da Visualizza fino a Controllo completo. Ogni livello di
accesso accresce i diritti concessi nel livello precedente.
È tuttavia possibile creare livelli di accesso personalizzato e ciò consente di ridurre notevolmente i costi
amministrativi e di manutenzione associati alla protezione. Considerare una situazione in cui un
amministratore debba gestire due gruppi, responsabili vendite e dipendenti vendite. Entrambi i gruppi
devono accedere a cinque report nel sistema della piattaforma BI, ma i responsabili vendite richiedono
più diritti dei dipendenti vendite. I livelli di accesso predefiniti non soddisfano le esigenze dei due gruppi.
Anziché aggiungere gruppi a ogni report come principali e modificarne i diritti in cinque posizioni diverse,
l'amministratore può creare due nuovi livelli di accesso Responsabili vendite e Dipendenti vendite.
L'amministratore, quindi, aggiunge entrambi i gruppi come principali ai report e assegna loro i rispettivi
livelli di accesso. Quando è necessario modificare i diritti, l'amministratore può accedere e modificare
i livelli di accesso. Poiché i livelli di accesso si applicano a entrambi i gruppi per tutti e cinque i report,
i diritti di questi gruppi sui report vengono aggiornati rapidamente.
Argomenti correlati
• Utilizzo di livelli di accesso
7.1.2 Impostazioni dei diritti avanzati
Per fornire il controllo completo sulla protezione degli oggetti, la console CMC consente di impostare
“diritti avanzati”. Questi diritti avanzati forniscono maggiore flessibilità poiché consentono di definire la
protezione per gli oggetti a un livello granulare.
Utilizzare diritti avanzati, ad esempio, se è necessario personalizzare i diritti di un principale su un
particolare oggetto o insieme di oggetti. Ancora più importante, i diritti avanzati possono essere utilizzati
per negare in modo esplicito a utenti e gruppi eventuali diritti che non sarà possibile modificare quando,
in futuro, si apporteranno modifiche all’appartenenza ai gruppi o ai livelli di protezione delle cartelle.
Nella tabella seguente vengono riepilogate le opzioni disponibili quando si impostano diritti avanzati.
Tabella 7 - 1: Opzioni diritti
Icona
130
Opzione diritti
Descrizione
Concesso
Il diritto è concesso a un principale.
Negato
Il diritto è negato a un principale.
2013-09-19
Impostazione dei diritti
Icona
Opzione diritti
Descrizione
Non specificato
Il diritto non è specificato per un principale. Per impostazione predefinita, i diritti impostati su Non specificato
sono negati.
Applica a oggetto
Il diritto è applicato all'oggetto. Questa opzione diventa
disponibile quando si fa clic su Concesso o Negato.
Applica a oggetto secondario
Il diritto è applicato agli oggetti secondari. Questa opzione diventa disponibile quando si fa clic su Concesso
o Negato.
Argomenti correlati
• Diritti specifici del tipo
7.1.3 Ereditarietà
I diritti su un oggetto vengono impostati per un principale in modo tale da controllare l'accesso all'oggetto.
Tuttavia, è poco pratico impostare il valore esplicito di ogni diritto possibile su ogni oggetto per ogni
principale. Si consideri un sistema con 100 diritti, 1.000 utenti e 10.000 oggetti: per impostare
esplicitamente i diritti su ciascun oggetto il CMS deve archiviare miliardi di diritti in memoria e, più
importante, è necessario che un amministratore imposti ciascun diritto manualmente.
I criteri di ereditarietà risolvono questi problemi. Grazie all'ereditarietà, i diritti di cui gli utenti dispongono
per gli oggetti del sistema provengono da una combinazione delle singole appartenenze a gruppi e
sottgruppi diversi e da oggetti che hanno ereditato diritti da cartelle principali e sottocartelle. Gli utenti
possono ereditare diritti in quanto membri di un gruppo, i sottogruppi ereditano diritti dai gruppi principali,
infine utenti e gruppi possono ereditare diritti dalle cartelle principali.
Per impostazione predefinita, gli utenti o i gruppi che dispongono dell’accesso a una cartella ereditano
gli stessi diritti per tutti gli oggetti pubblicati successivamente nella cartella. Di conseguenza, la migliore
strategia consiste prima di tutto nell’impostare i diritti appropriati per utenti e gruppi a livello di cartella,
quindi pubblicare gli oggetti in quella cartella.
La piattaforma BI riconosce due tipi di ereditarietà: ereditarietà di gruppo ed ereditarietà di cartella.
7.1.3.1 Ereditarietà di gruppo
131
2013-09-19
Impostazione dei diritti
L’ereditarietà di gruppo consente ai principali di ereditare diritti in virtù dell’appartenenza a un gruppo.
L’ereditarietà di gruppo si dimostra particolarmente utile quando si organizzano tutti gli utenti in gruppi
che coincidono con le convenzioni di protezione correnti dell’organizzazione.
Nell'“esempio di ereditarietà di gruppo 1”, è illustrato il funzionamento dell'ereditarietà di gruppo. Il
Gruppo Rosso è un sottogruppo del Gruppo Blu, quindi eredita i diritti del Gruppo Blu. In questo caso,
il diritto 1 viene ereditato come concesso e gli altri diritti come non specificati. Ogni membro del Gruppo
Rosso eredita questi diritti. Inoltre, eventuali altri diritti impostati per il sottogruppo vengono ereditati
dai membri. In questo esempio l'utente verde è un membro del gruppo rosso, quindi eredita il diritto 1
come concesso, i diritti 2, 3, 4 e 6 come non specificati e il diritto 5 come negato.
Figura 7 - 1: Ereditarietà di gruppo - Esempio 1
Se si abilita l’ereditarietà di gruppo per un utente che appartiene a più di un gruppo, quando il sistema
verifica le credenziali prende in considerazione i diritti di tutti i gruppi principali. All’utente sono negati
tutti i diritti negati in modo esplicito a un gruppo principale, oltre ai diritti definiti come non specificati;
in questo modo, all’utente sono concessi solo i diritti concessi in uno o più gruppi (in modo esplicito o
tramite i livelli di accesso) e mai negati in modo esplicito.
Nell'“esempio di ereditarietà di gruppo 2”, l'utente verde è membro di due gruppi non correlati. Dal
gruppo blu eredita i diritti 1 e 5 come concessi e il resto come non specificati, tuttavia, poiché l'utente
verde appartiene anche al gruppo rosso e tale gruppo ha negato in modo esplicito il diritto 5, l'ereditarietà
dal gruppo blu del diritto 5 per l'utente verde viene ignorata.
Figura 7 - 2: Ereditarietà di gruppo - Esempio 2
Argomenti correlati
• Priorità di diritti
132
2013-09-19
Impostazione dei diritti
7.1.3.2 Ereditarietà di cartella
L’ereditarietà di cartella consente ai principali di ereditare i diritti loro concessi su una cartella principale
dell’oggetto. Tale schema di ereditarietà si rivela particolarmente efficace quando si organizza il contenuto
della piattaforma BI in una gerarchia di cartelle che riflette le convenzioni di protezione correnti
dell’organizzazione. Si supponga, ad esempio, di creare una cartella di nome Report vendite e di fornire
al gruppo Vendite l’accesso Visualizza su richiesta per la cartella. Per impostazione predefinita, gli
utenti che dispongono di diritti sulla cartella Report Vendite ereditano gli stessi diritti per i report pubblicati
successivamente in questa cartella. Di conseguenza, il gruppo Vendite disporrà dell’accesso Visualizza
su richiesta a tutti i report e sarà sufficiente impostare i diritti dell’oggetto una sola volta a livello di
cartella.
In “Esempio di ereditarietà di cartella”, sono stati impostati diritti su una cartella per il gruppo rosso. I
diritti 1 e 5 sono stati concessi, mentre gli altri sono rimasti non specificati. Con l'ereditarietà di cartella
abilitata, i membri del Gruppo Rosso dispongono a livello di oggetto di diritti identici a quelli disponibili
a livello di cartella. I diritti 1 e 5 vengono ereditati come concessi e tutti gli altri rimangono non specificati.
Figura 7 - 3: Esempio di ereditarietà di cartella
Argomenti correlati
• Priorità di diritti
7.1.3.3 Priorità di diritti
133
2013-09-19
Impostazione dei diritti
Secondo lo schema di “priorità dei diritti”, i diritti impostati sugli oggetti secondari hanno la priorità sui
diritti impostati sugli oggetti principali. L'override dei dirittii si applica nelle seguenti circostanze:
•
•
In generale, i diritti impostati sugli oggetti secondari hanno la priorità sui diritti corrispondenti impostati
sugli oggetti principali.
In generale, i diritti impostati sui gruppi secondari o sui membri di gruppi hanno la priorità sui diritti
corrispondenti impostati sui gruppi.
Non è necessario disabilitare l'eredità per impostare diritti personalizzati su un oggetto. L'oggetto
secondario eredita le impostazioni dei diritti dell'oggetto principale ad eccezione dei diritti esplicitamente
impostati sull'oggetto secondario. Inoltre, qualsiasi modifica apportata alle impostazioni dei diritti
sull'oggetto principale viene applicata all'oggetto secondario
L'esempio relativo “allo schema di override dei diritti 1” illustra il meccanismo di override dei diritti per
gli oggetti principali e secondari. All'utente blu viene negato il diritto di modifica del contenuto di una
cartella; l'impostazione dei diritti è ereditata dalla sottocartella. Tuttavia, un amministratore concede
all'utente blu i diritti di modifica di un documento nella sottocartella. Il diritto di modifica che l'utente
blu riceve per il documento ha la priorità sui diritti ereditati derivanti dalla cartella e dalla sottocartella.
Figura 7 - 4: Esempio di override dei diritti 1
L'esempio relativo “allo schema di override dei diritti 2” illustra il meccanismo di override dei diritti per
membri e gruppi. Al gruppo blu è negato il diritto di modifica di una cartella e il sottogruppo blu eredita
questa impostazione dei diritti. Tuttavia, un amministratore concede all'utente blu, membro del gruppo
blu e del sottogruppo blu, diritti di modifica sulla cartella. I diritti di modifica che l'utente blu riceve sulla
cartella hanno la priorità sui diritti ereditati provenienti dal gruppo blu e dal sottogruppo blu.
134
2013-09-19
Impostazione dei diritti
Figura 7 - 5: Esempio di override dei diritti 2
Lo “schema di priorità complessa dei diritti” illustra una situazione in cui gli effetti della priorità di diritti
sono meno ovvii. L'utente viola è membro dei sottogruppi 1A e 2A, contenuti rispettivamente nei gruppi
1 e 2. I gruppi 1 e 2 hanno entrambi diritti di modifica sulla cartella. 1A eredita i diritti di modifica dal
gruppo 1, ma un amministratore nega i diritti di modifica a 2A. Le impostazioni dei diritti su 2A sono
prioritari rispetto alle impostazioni dei diritti del gruppo 2. L'utente viola, pertanto, eredita impostazioni
di diritti contradditori da 1A e 2A. 1A e 2A non hanno relazioni principale-secondario, pertanto l'override
dei diritti non viene applicato; ciò significa che le impostazioni dei diritti di un sottogruppo non hanno
la priorità su quelle di un altro poiché sono di pari stato. In conclusione, all'utente viola vengono negati
i diritti di modifica a causa del modello di diritti “basati sul rifiuto” nella piattaforma BI.
Figura 7 - 6: Priorità complessa dei diritti
L'override dei diritti consente di apportare variazioni minime alle impostazioni dei diritti di un oggetto
secondario senza ignorare tutte le impostazioni dei diritti ereditate. Si consideri una situazione in cui
un responsabile delle vendite deve visualizzare report riservati nella cartella Riservato. Il responsabile
delle vendite fa parte del gruppo Vendite e come tale non ha accesso alla cartella e ai suoi contenuti.
L'amministratore concede al responsabile i diritti di visualizzazione sulla cartella Riservato e continua
a negare l'accesso al resto del gruppo Vendite. In questo caso, i diritti di visualizzazione concessi al
responsabile delle vendite hanno la priorità sull'accesso negato che il responsabile eredita per il fatto
di appartenere al gruppo Vendite.
7.1.3.4 Ambito dei diritti
135
2013-09-19
Impostazione dei diritti
Con “ambito dei diritti” si intende la possibilità di controllare l'estensione dell'eredità dei diritti. Per definire
l'ambito di un diritto, decidere se il diritto si applica all'oggetto, all'oggetto secondario o a entrambi. Per
impostazione predefinita, l'ambito di un diritto si estende sia agli oggetti sia agli oggetti secondari.
L'ambito dei diritti può essere utilizzato per proteggere il contenuto personale in percorsi condivisi.
Considerare una situazione in cui il reparto finanziario ha condiviso la cartella Richieste di indennizzo
che contiene sottocartelle Richieste di indennizzo personali per ogni dipendente. I dipendenti devono
poter visualizzare la cartella Richieste di indennizzo e potervi aggiungere oggetti ma devono anche
poter proteggere il contenuto delle loro sottocartelle Richieste di indennizzo personali. L'amministratore
concede a tutti i dipendenti i diritti di visualizzazione e aggiunta sulla cartella Richieste di indennizzo
e limita l'ambito di questi diritti alla sola cartella Richieste di indennizzo. In questo modo i diritti di visua
lizzazione e aggiunta non si applicano agli oggetti secondari nella cartella Richieste di indennizzo.
L'amministratore concede quindi ai dipendenti i diritti di visualizzazione e aggiunta sulle rispettive
sottocartelle Richieste di indennizzo personali.
L'ambito dei diritti può anche limitare i diritti effettivi di cui dispone un amministratore con delega. È
possibile ad esempio che un amministratore con delega disponga dei diritti di modifica in modo
sicuro i diritti degli utenti sugli oggetti e dei diritti di modifica per una cartella, ma l'ambito di questi
diritti è limitato alla cartella e non è applicabile ai relativi oggetti secondari. L'amministratore con delega
non può concedere questi diritti a un altro utente per uno degli oggetti secondari della cartella.
7.1.4 Diritti specifici del tipo
I “diritti specifici del tipo” riguardano unicamente tipi di oggetto specifici, ad esempio report Crystal,
cartelle o livelli di accesso. I diritti specifici del tipo sono:
•
Diritti generali per ogni tipo di oggetto
Questi diritti sono identici ai diritti globali generali (ad esempio diritto di aggiunta, eliminazione o
modifica di un oggetto), ma è possibile impostarli su tipi di oggetto specifici in modo che abbiano la
priorità sulle impostazioni dei diritti globali.
•
Diritti specifici per il tipo di oggetto
Questi diritti sono disponibili solo per tipi di oggetto specifici. Ad esempio, il diritto di esportazione
dei dati di un report è presente per i report Crystal, ma non per i documenti Word.
Il diagramma “Esempio di diritti specifici del tipo” illustra il funzionamento dei diritti specifici del tipo. Il
diritto 3 rappresenta il diritto di modifica di un oggetto. Al gruppo blu vengono negati i diritti di modifica
per la cartella di livello superiore, mentre vengono concessi i diritti di modifica per i report Crystal nella
cartella e relativa sottocartella. Questi diritti di modifica sono specifici per i report Crystal e sostituiscono
le impostazioni dei diritti a livello globale generale. Di conseguenza, i membri del gruppo blu dispongono
dei diritti di modifica per i report Crystal ma non per il file XLF nella sottocartella.
136
2013-09-19
Impostazione dei diritti
Figura 7 - 7: Esempio di diritti specifici del tipo
I diritti specifici del tipo sono utili poiché consentono di limitare i diritti dei principali in base al tipo di
oggetto. Si consideri una situazione in cui un amministratore desidera che i dipendenti siano in grado
di aggiungere oggetti a una cartella, ma non creare sottocartelle. L'amministratore concede i diritti di
aggiunta al livello globale generale per la cartella, quindi nega i diritti di aggiunta per il tipo di oggetto
cartella.
I diritti si suddividono nei seguenti insiemi in base ai tipi di oggetto a cui si applicano:
•
Generale
Questi diritti riguardano tutti gli oggetti.
•
Contenuto
Questi diritti sono suddivisi in base a determinati tipi di oggetto di contenuto. Esempi di tipi di oggetto
contenuto sono i report Crystal e i file PDF di Adobe Acrobat.
•
Applicazione
Questi diritti sono suddivisi in base all'applicazione della piattaforma BI interessata. Gli esempi di
applicazione includono la console CMC e BI Launch Pad.
•
Sistema
Questi diritti sono suddivisi in base al componente di sistema di base interessato. Tra gli esempi di
componenti di sistema di base sono inclusi Calendari, Eventi e Utenti e Gruppi.
I diritti specifici del tipo si trovano negli insiemi Contenuto, Applicazione e Sistema. In ogni insieme,
sono ulteriormente suddivisi in categorie basate sul tipo di oggetto.
7.1.5 Determinazione dei diritti effettivi
137
2013-09-19
Impostazione dei diritti
È opportuno considerare i seguenti aspetti quando si impostano diritti su un oggetto:
•
•
Ciascun livello di accesso concede alcuni diritti, ne nega altri e non specifica gli altri diritti. Quando
a un utente vengono concessi numerosi livelli di accesso, per impostazione predefinita il sistema
aggrega i diritti effettivi e nega tutti i diritti non specificati.
Quando vengono assegnati più livelli di accesso a un principale su un oggetto, il principale dispone
della combinazione dei diritti di ciascun livello di accesso. All'utente in “Livelli di accesso multipli”
vengono assegnati due livelli di accesso. Un livello di accesso concede all'utente i diritti 3 e 4, mentre
l'altro livello di accesso concede solo il diritto 3. I diritti effettivi per l'utente sono 3 e 4.
Figura 7 - 8: Livelli di accesso multipli
•
I diritti avanzati possono essere combinati con livelli di accesso per personalizzare le impostazioni
dei diritti per un principale su un oggetto. Ad esempio, se un diritto avanzato e un livello di accesso
vengono entrambi assegnati in modo esplicito a un principale su un oggetto e il diritto avanzato è
in contrasto con un diritto nel livello di accesso, il diritto avanzato eseguirà l'override del diritto nel
livello di accesso.
I diritti avanzati possono avere la precedenza sulle relative controparti identiche nei livelli di accesso
solo quando sono impostati per lo stesso oggetto e per lo stesso principale. Ad esempio, un diritto
di aggiunta avanzato impostato al livello globale generale può avere la precedenza sul diritto di
aggiunta generale in un livello di accesso; non può avere la precedenza su un diritto di aggiunta
specifico di un tipo in un livello di accesso.
Tuttavia, i diritti avanzati non eseguono sempre l'override dei livelli di accesso. Ad esempio, a un
principale viene negato un diritto Modifica su un oggetto principale. Sull'oggetto secondario, al
principale viene assegnato un livello di accesso che concede il diritto Modifica. Per concludere, il
principale dispone di diritti Modifica sull'oggetto secondario poiché i diritti impostati sull'oggetto
secondario eseguono l'override dei diritti impostati sull'oggetto principale.
•
L'override dei diritti rende possibile l'override dei diritti impostati su un oggetto secondario sui diritti
ereditati dall'oggetto principale.
7.2 Gestione delle impostazioni di protezione per gli oggetti nella CMC
È possibile gestire le impostazioni di protezione per la maggior parte degli oggetti nella CMC con le
opzioni di protezione del menu Gestisci. Queste opzioni consentono di assegnare principali all'elenco
di controllo dell'accesso per un oggetto, visualizzare i diritti di un principale e modificare i diritti di un
principale per un oggetto.
138
2013-09-19
Impostazione dei diritti
I dettagli specifici della gestione della protezione variano in base alle esigenze di protezione e al tipo
di oggetto per cui si impostano i diritti. In generale, tuttavia, i workflow per i seguenti task sono molto
simili:
•
•
•
Visualizzazione dei diritti di un principale su un oggetto.
Assegnazione dei principali all'elenco di controllo degli accessi per un oggetto e specifica dei diritti
di tali principali.
Impostazione dei diritti su una cartella di livello superiore nella piattaforma BI.
7.2.1 Per visualizzare i diritti per un principale su un oggetto
In generale, seguire questo workflow per visualizzare i diritti di un principale per un oggetto.
1. Selezionare l'oggetto per cui si desidera visualizzare le impostazioni di protezione.
2. Fare clic su Gestisci > Protezione utente.
Viene visualizzata la finestra di dialogo "Protezione utente" che riporta l'elenco di controllo degli
accessi per l'oggetto.
3. Selezionare un principale dall'elenco di controllo degli accessi e fare clic su Protezione vista.
L'"Explorer autorizzazioni" avvia e visualizza un elenco dei diritti effettivi del principale sull'oggetto.
Inoltre l'"Explorer autorizzazioni" consente di eseguire le seguenti operazioni.
•
•
Spostarsi su un altro principale di cui si desidera visualizzare i diritti.
Filtrare i diritti visualizzati in base ai seguenti criteri:
•
•
•
•
•
•
•
diritti assegnati
diritti concessi
diritti non assegnati
da livello di accesso
tipo di oggetto
nome del diritto
Ordinare l'elenco dei diritti visualizzati in ordine crescente o decrescente in base ai seguenti
criteri:
•
•
•
•
insieme
tipo
nome diritto
stato diritto (concesso, negato o non specificato)
È possibile fare clic su uno dei collegamenti nella colonna "Origine" per visualizzare l'origine dei
diritti ereditati.
139
2013-09-19
Impostazione dei diritti
7.2.2 Per assegnare principali a un elenco di controllo di accesso per un oggetto
Un elenco di controllo degli accessi specifica gli utenti a cui sono concessi o negati diritti su un oggetto.
In generale, si segue questo workflow per assegnare un principale a un elenco di controllo degli accessi
e specificare i diritti di un principale su un oggetto.
1. Selezionare l'oggetto a cui aggiungere un principale.
2. Fare clic su Gestisci > Protezione utente.
Viene visualizzata la finestra di dialogo "Protezione utente" che riporta l'elenco di controllo degli
accessi.
3. Fare clic su Aggiungi principali.
Viene visualizzata la finestra di dialogo "Aggiungi principali".
4. Spostare gli utenti e i gruppi da aggiungere come principali dall'elenco Utenti/gruppi disponibili
all'elenco Utenti/gruppi selezionati.
5. Fare clic su Aggiungi e assegna protezione.
6. Selezionare i livelli di accesso che si desidera concedere al principale.
7. Scegliere se attivare o disattivare l'eredità di cartelle o gruppi.
Se necessario, è anche possibile modificare i diritti a livello granulare per ignorare alcuni diritti in un
livello di accesso.
Argomenti correlati
• Per modificare la protezione per un principale su un oggetto
7.2.3 Per modificare la protezione per un principale su un oggetto
In generale, è consigliabile utilizzare i livelli di accesso per assegnare diritti a un principale. È tuttavia
possibile ignorare alcuni diritti granulari in un livello di accesso. I diritti avanzati consentono di
personalizzare i diritti per un principale in aggiunta ai livelli di accesso di cui il principale già dispone.
In generale, seguire questo workflow per assegnare diritti avanzati a un principale su un oggetto.
1. Assegnare il principale all'elenco ACL per l'oggetto.
2. Dopo avere aggiunto il principale, accedere a Gestisci > Protezione utente per visualizzare l'elenco
ACL per l'oggetto.
3. Selezionare il principale dall'elenco di controllo degli accessi e fare clic su Assegna protezione.
Viene visualizzata la finestra di dialogo "Assegna protezione".
4. Fare clic sulla scheda Avanzate.
5. Fare clic su Aggiungi/Rimuovi diritti.
140
2013-09-19
Impostazione dei diritti
6. Modificare i diritti per il principale.
Tutti i diritti disponibili vengono riepilogati nell'appendice dei diritti.
Argomenti correlati
• Per assegnare principali a un elenco di controllo di accesso per un oggetto
7.2.4 Impostazione dei diritti su una cartella di livello superiore nella piattaforma
BI
In genere, per impostare i diritti su una cartella di livello superiore nella piattaforma BI, si segue la
procedura descritta di seguito.
Nota:
Per questa versione, i principali richiedono diritti di visualizzazione in una cartella per spostarsi all'interno
della cartella e visualizzarne gli oggetti secondari. Ciò significa che i principali richiedono diritti di visua
lizzazione per la cartella di livello superiore per visualizzare gli oggetti nelle cartelle. Per limitare i diritti
di visualizzazione per un principale, è possibile concedere a un principale i diritti di visualizzazione
in una cartella specifica e impostare l'ambito dei diritti da applicare unicamente a quella cartella.
1. Passare all'area CMC che contiene la cartella di livello superiore per cui si desidera impostare i
diritti.
2. Fare clic su Gestisci > Protezione di livello superiore > Tutti Oggetti.
Oggetti rappresenta il contenuto della cartella di livello superiore. Se viene richiesta una conferma,
fare clic su OK.
Viene visualizzata la finestra di dialogo "Protezione utente" contenente l'elenco di controllo degli
accessi per la cartella di livello superiore.
3. Assegnare il principale all'elenco di controllo degli accessi per la cartella di livello superiore.
4. Se necessario, assegnare diritti avanzati al principale.
Argomenti correlati
• Per assegnare principali a un elenco di controllo di accesso per un oggetto
• Per modificare la protezione per un principale su un oggetto
7.2.5 Controllo impostazioni di protezione per un principale
In alcuni casi, può essere necessario sapere a quali oggetti un principale può accedere o meno. Per
ottenere queste informazioni è possibile utilizzare una query protezione. Le query protezione consentono
141
2013-09-19
Impostazione dei diritti
di determinare gli oggetti sui quali un principale dispone di diritti e di gestire i diritti degli utenti. Per ogni
query protezione, occorre fornire le seguenti informazioni:
•
Principale query
Specificare l'utente o il gruppo per cui si desidera eseguire la query. È possibile specificare un
principale per ogni gruppo di protezione.
•
Autorizzazione query
Specificare i diritti per cui si desidera eseguire la query, lo stato di questi diritti e il tipo di oggetto su
cui sono impostati. Ad esempio, è possibile eseguire una query protezione per tutti i report che un
principale può aggiornare o per tutti i report che un principale non può esportare.
•
Contesto della query
Specificare le aree CMC in cui si desidera effettuare la ricerca tramite la query protezione. Per ogni
area, è possibile scegliere se includere oggetti secondari nella query protezione. Una query protezione
può avere un massimo di quattro aree.
Quando si esegue una query protezione, i risultati vengono visualizzati nell'area "Risultati query" del
riquadro Albero in Query protezione. Se si desidera ridefinire una query protezione, è possibile eseguire
una seconda query all'interno dei risultati della prima query.
Le query protezione sono utili poiché consentono di visualizzare gli oggetti su cui un principale ha diritti
e forniscono le posizioni di tali oggetti per consentire di modificare questi diritti. Si consideri una situazione
in cui un dipendente del reparto vendite venga promosso a responsabile vendite. Il responsabile vendite
necessita di diritti di pianificazione per i report Crystal per i quali in precedenza disponeva solo di
diritti di visualizzazione e tali report si trovano in cartelle diverse. In questo caso, l'amministratore
esegue una query protezione per il diritto del responsabile vendite di visualizzare report Crystal in tutte
le cartelle e include oggetti secondari nella query. Dopo l'esecuzione della query protezione,
l'amministratore può visualizzare tutti i report Crystal per i quali il responsabile vendite dispone di diritti
di visualizzazione nell'area "Risultati query". Poiché nel riquadro Dettagli viene visualizzato il percorso
di ogni report Crystal, l'amministratore può cercare ciascun report e modificare i diritti del responsabile
vendite su di esso.
7.2.5.1 Per eseguire una query protezione
1. Nell'area "Utenti e gruppi", nel riquadro Dettagli, selezionare l'utente o il gruppo per il quale si desidera
eseguire una query di protezione.
2. Scegliere Gestisci > Strumenti > Crea query di protezione.
142
2013-09-19
Impostazione dei diritti
Verrà visualizzata la finestra di dialogo "Crea query di protezione".
3. Accertarsi che il principale nell'area Principale query sia corretto.
Se si decide di eseguire una query protezione per un principale diverso, è possibile fare clic su
Sfoglia per scegliere un altro principale. Nella finestra di dialogo "Cerca principale query", espandere
Elenco utenti o Elenco gruppi per cercare il principale oppure per eseguire la ricerca del principale
per nome. Al termine, fare clic su OK per tornare alla finestra di dialogo "Crea query di protezione".
4. Nell'area "Autorizzazione query" specificare i diritti e lo stato di ogni diritto per il quale si desidera
eseguire la query.
• Se si desidera eseguire una query per diritti specifici di cui dispone il principale per gli oggetti,
fare clic su Sfoglia, impostare lo stato di ogni diritto per cui si desidera eseguire la query di
protezione, quindi scegliere OK.
Suggerimento:
È possibile eliminare diritti specifici dalla query facendo clic sul pulsante di eliminazione accanto
al diritto oppure eliminare tutti i diritti dalla query facendo clic sul pulsante di eliminazione nella
riga dell'intestazione.
•
Se si desidera eseguire una query di protezione generale, selezionare la casella di controllo Non
eseguire la query in base alle autorizzazioni.
Quando si esegue questa operazione, la piattaforma BI esegue una query di protezione generale
per tutti gli oggetti con il principale nei relativi elenchi ACL, indipendentemente dalle autorizzazioni
di cui dispone il principale sugli oggetti.
5. Nell'area "Contesto della query", specificare le aree della CMC in cui si desidera eseguire la query.
a. Selezionare una casella di controllo accanto a un elenco.
b. Nell'elenco, selezionare un'area della CMC in cui si desidera eseguire la query.
143
2013-09-19
Impostazione dei diritti
Se si desidera eseguire una query in una posizione più specifica all'interno di un'area (ad esempio
una cartella specifica in Cartelle), fare clic su Sfoglia per aprire la finestra di dialogo "Sfoglia per
contesto della query". Nel riquadro dei dettagli selezionare la cartella in cui eseguire la query e
fare clic su OK. Quando si torna alla finestra di dialogo Query protezione, la cartella specificata
viene visualizzata nella casella sotto l'elenco.
c. Selezionare Oggetto secondario query.
d. Ripetere i passaggi precedenti per ciascuna area della CMC in cui si desidera eseguire una
query.
Nota:
È possibile eseguire query in un massimo di quattro aree.
6. Fare clic su OK.
La query protezione viene eseguita e viene visualizzata l'area "Risultati query".
7. Per visualizzare i risultati della query, espandere Query protezione nel riquadro Albero e fare clic
sul risultato di una query.
Suggerimento:
I risultati della query vengono elencati in base ai nomi dei principali.
I risultati della query vengono visualizzati nel riquadro Dettagli.
L'area "Risultati query" conserva tutti i risultati delle query di protezione di una sessione utente fino alla
disconnessione dell'utente. Per eseguire nuovamente la query ma con nuove specifiche, fare clic su
Azioni > Modifica query. È anche possibile eseguire nuovamente esattamente la stessa query
selezionandola e facendo clic su Azioni > Riesegui query. Per conservare i risultati delle query di
protezione, fare clic su Azioni > Esporta per esplorare i risultati delle query di protezione come file
CSV.
7.3 Utilizzo di livelli di accesso
I livelli di accesso consentono di eseguire le seguenti operazioni:
•
Copiare un livello di accesso esistente, apportare modifiche alla copia, rinominarla e salvarla come
un nuovo livello di accesso.
•
Creare, rinominare ed eliminare i livelli di accesso.
•
Modificare i diritti in un livello di accesso.
•
Analizzare la relazione tra livelli di accesso e altri oggetti nel sistema.
•
Replicare e gestire i livelli di accesso tra i siti.
•
Utilizzare uno dei livelli di accesso predefiniti nella piattaforma BI per impostare in modo rapido e
uniforme i diritti per molti principali.
La tabella seguente riepiloga i diritti contenuti in ogni livello di accesso.
144
2013-09-19
Impostazione dei diritti
Tabella 7 - 2: Livelli di accesso predefiniti
Livello di accesso
Descrizione
Visualizza
Se impostato a livello di cartella,
un principale potrà visualizzare
la cartella, gli oggetti all'interno
della cartella e le istanze generate di ciascun oggetto. Se impostato a livello di oggetto, un principale potrà visualizzare l'oggetto, la relativa cronologia e le istanze generate.
Diritti previsti
•
•
Visualizza oggetti
Visualizzare istanze documento
Pianificazione
Un principale può generare istanze pianificando l'esecuzione di
un oggetto in base a un'origine
dati specifica o con cadenza regolare. Il principale può visualizzare, eliminare e interrompere
la pianificazione delle istanze di
cui dispone. Può inoltre eseguire la pianificazione in diversi
formati e destinazioni, impostare
parametri e informazioni di accesso, selezionare i server per
l’elaborazione di lavori, aggiungere contenuti alla cartella e
copiare l’oggetto o la cartella.
Diritti del livello di accesso di
visualizzazione, oltre a:
• Pianifica il documento da
eseguire
• Definisci gruppi di server per
elaborare i processi
• Copia gli oggetti in un'altra
cartella
• Pianifica per destinazioni
• Stampa i dati del report
• Esporta i dati del report
• Modifica oggetti posseduti
dall'utente
• Elimina istanze di proprietà
dell'utente
• Interrompere e riprendere istanze documento di proprietà
dell'utente
Visualizza su richiesta
Un principale può aggiornare i
dati su richiesta in base a
un'origine dati.
Diritti del livello di accesso di
pianificazione, oltre a:
• Aggiorna i dati del report
Un principale dispone del controllo amministrativo completo
dell'oggetto.
Tutti i diritti disponibili, compresi:
• Aggiungi oggetti alla cartella
• Modifica oggetti
• Modificare i diritti che gli utenti hanno sugli oggetti
• Elimina oggetti
• Elimina istanze
Controllo completo
La tabella seguente riepiloga i diritti richiesti per eseguire determinati task sui livelli di accesso.
145
2013-09-19
Impostazione dei diritti
Task sul livello di accesso
Diritti richiesti
Creare un livello di accesso
•
Diritto di aggiunta sulla cartella principale dei livelli di
accesso
Diritti granulari di visualizzazione in un
livello di accesso
•
Diritto di visualizzazione sul livello di accesso
Assegnazione di un livello di accesso a •
un principale su un oggetto
•
•
Diritto di visualizzazione sul livello di accesso
Il diritto Utilizza il livello di accesso per l'assegnazione
della protezione sul livello di accesso
Il diritto Modifica dei diritti sull'oggetto o il diritto Modificare in modo sicuro i diritti degli utenti sugli oggetti
sull'oggetto e sul principale
Nota:
Gli utenti che dispongono del diritto Modificare in modo sicuro i diritti degli utenti sugli oggetti e desiderano assegnare un livello di accesso a un principale devono disporre
dello stesso livello di accesso.
Modificare un livello di accesso
•
Diritti di visualizzazione e modifica sul livello di accesso
Eliminare un livello di accesso
•
Diritti di visualizzazione ed eliminazione sul livello di
accesso
Duplicare un livello di accesso
•
•
•
Diritto di visualizzazione sul livello di accesso
Diritto di copia sul livello di accesso
Diritto di aggiunta sulla cartella principale dei livelli di
accesso
7.3.1 Scelta tra i livelli di accesso Visualizza e Visualizza su richiesta
Quando si creano report sul Web, la decisione circa l’uso di dati dinamici o salvati è una delle più
importanti da prendere. Qualsiasi sia la scelta, tuttavia, la piattaforma BI visualizzerà la prima pagina
con estrema rapidità, in modo che sia possibile vedere il report mentre il resto dei dati è in fase di
elaborazione. In questa sezione viene illustrata la differenza tra due livelli di accesso predefiniti che è
possibile utilizzare per questa scelta.
Livello di accesso Visualizza su richiesta
La creazione di report su richiesta garantisce agli utenti accesso in tempo reale ai dati dinamici,
direttamente dal server del database. Utilizzare dati dinamici per tenere gli utenti sempre aggiornati sui
dati in costante modifica, in modo che possano accedere ad informazioni estremamente precise. Ad
esempio, se i responsabili di un grande centro di distribuzione hanno l’esigenza di tenere costantemente
146
2013-09-19
Impostazione dei diritti
traccia delle merci in magazzino spedite, la creazione di report dinamica è la soluzione ideale per fornire
loro le informazioni di cui hanno bisogno.
Prima di fornire dati dinamici per tutti i report, si deve comunque decidere se si desidera o meno che
tutti gli utenti accedano al server del database in modo costante. Se i dati non sono in rapida e continua
crescita, tutte le richieste al database concernenti i dati in questione non fanno altro che aumentare il
traffico di rete e consumare risorse del server. In casi di questo genere, è preferibile pianificare i report
su base periodica, in modo che gli utenti possano sempre visualizzare dati recenti (istanze dei report)
senza dover accedere al server del database.
Gli utenti richiedono l'accesso Visualizza su richiesta per aggiornare i report rispetto al database.
Livello di accesso Visualizza
Per ridurre il traffico di rete e il numero di accessi al server del database è possibile pianificare
l'esecuzione dei report a orari specificati. Dopo aver eseguito il report, gli utenti possono visualizzare
l'istanza corrispondente in base alle esigenze specifiche, senza effettuare ulteriori accessi al database.
Le istanze dei report sono utili per gestire dati che non vengono continuamente aggiornati. Quando gli
utenti passano da un’istanza di report all’altra ed eseguono un’analisi dettagliata per ottenere dettagli
su colonne o grafici, non accedono direttamente al server del database, bensì ai dati salvati. Di
conseguenza, i report con dati salvati non solo riducono al minimo il trasferimento di dati in rete, ma
alleggeriscono anche il carico di lavoro del server del database.
Se il database delle vendite viene ad esempio aggiornato una volta al giorno, è possibile impostare la
medesima pianificazione per l'esecuzione del report. I rappresentanti di vendita avranno quindi sempre
a disposizione dati sulle vendite aggiornati, ma non dovranno accedere al database ogni volta che
aprono un report.
Gli utenti richiedono solo l'accesso Visualizza per visualizzare le istanze di report.
7.3.2 Per copiare un livello di accesso esistente
Questa procedura è consigliata per creare un livello di accesso leggermente diverso da uno dei livelli
di accesso esistenti.
1. Passare all'area "Livelli di accesso".
2. Nel pannello Dettagli, selezionare un livello di accesso.
Suggerimento:
Selezionare un livello di accesso che contenga diritti analoghi a quelli desiderati per il nuovo livello
di accesso.
3. Scegliere Organizza > Copia.
Nel pannello Dettagli viene visualizzata una copia del livello di accesso selezionato.
147
2013-09-19
Impostazione dei diritti
7.3.3 Per creare un nuovo livello di accesso
Questa procedura è consigliata per creare un livello di accesso notevolmente diverso da uno dei livelli
di accesso esistenti.
1. Passare all'area "Livelli di accesso".
2. Scegliere Gestisci > Nuovo > Crea livello di accesso.
Viene visualizzata la finestra di dialogo "Crea un nuovo livello di accesso".
3. Immettere un titolo e una descrizione per il nuovo livello di accesso, quindi fare clic su OK.
Si torna all'area "Livelli di accesso" e un nuovo livello di accesso viene visualizzato nel pannello
Dettagli.
7.3.4 Per rinominare un livello di accesso
1. Nell'area "Livelli di accesso", nel pannello Dettagli, selezionare il livello di accesso che si desidera
rinominare.
2. Fare clic su Gestisci > Proprietà.
Viene visualizzata la finestra di dialogo "Proprietà".
3. Nel campo Titolo, immettere un nuovo nome per il livello di accesso, quindi fare clic su Salva e
chiudi.
Si torna all'area "Livelli di accesso".
7.3.5 Per eliminare un livello di accesso
1. Nell'area "Livelli di accesso", nel pannello Dettagli, selezionare il livello di accesso che si desidera
eliminare.
2. Scegliere Gestisci > Elimina livello di accesso.
Nota:
Non è possibile eliminare i livelli di accesso predefiniti.
Viene visualizzata una finestra di dialogo con le informazioni sugli oggetti su cui questo livello di
accesso ha effetto. Se non si desidera eliminare il livello di accesso, fare clic su Annulla per uscire
dalla finestra di dialogo.
3. Fare clic su Elimina.
148
2013-09-19
Impostazione dei diritti
Il livello di accesso viene eliminato e si torna all'area "Livelli di accesso".
7.3.6 Per modificare i diritti in un livello di accesso
Per impostare diritti per un livello di accesso, è necessario innanzitutto impostare diritti globali generali
che si applicano a tutti gli oggetti indipendentemente dal tipo, quindi specificare quando si desidera
sovrascrivere le impostazioni generali in base al tipo di oggetto specifico.
1. Nell'area Livelli di accesso, nel pannello Dettagli, selezionare il livello di accesso per cui si desidera
modificare i diritti.
2. Scegliere Azioni > Diritti inclusi.
Viene visualizzata la finestra di dialogo Diritti inclusi che visualizza un elenco dei diritti effettivi.
3. Fare clic su Aggiungi/Rimuovi diritti.
La finestra di dialogo Diritti inclusi visualizza gli insiemi di diritti per il livello di accesso nell'elenco
di spostamento. La sezione Diritti globali generali è espansa per impostazione predefinita.
4. Impostare i diritti globali generali.
Ogni diritto può presentare lo stato Concesso, Negato o Non specificato. È possibile scegliere
se applicare tale diritto solo all'oggetto, solo agli oggetti secondari o a entrambi.
5. Per impostare diritti di tipo specifico per il livello di accesso, nell'elenco di spostamento, fare clic
sull'insieme dei diritti, quindi fare clic sul sottoinsieme relativo al tipo di oggetto per cui si desidera
impostare i diritti.
6. Al termine, fare clic su OK.
Si torna all'elenco dei diritti effettivi.
149
2013-09-19
Impostazione dei diritti
Argomenti correlati
• Gestione delle impostazioni di protezione per gli oggetti nella CMC
• Diritti specifici del tipo
7.3.7 Analisi e relazione tra livelli di accesso e oggetti
Prima di modificare o eliminare un livello di accesso, è importante verificare che qualsiasi modifica
apportata a tale livello non abbia un impatto negativo sugli oggetti in CMC. A tal fine è possibile eseguire
una query di relazione sul livello di accesso.
Le query di relazione sono utili per la gestione dei diritti poiché consentono di visualizzare tutti gli oggetti
interessati da un livello di accesso da un'unica posizione. Si consideri una situazione in cui una società
ristrutturi la propria organizzazione e unisca due reparti, Reparto A e Reparto B, nel Reparto C.
L'amministratore decide di eliminare i livelli di accesso per il Reparto A e per il Reparto B poiché tali
reparti non esistono più. L'amministratore esegue query di relazione per entrambi i livelli di accesso
prima di eliminarli. Nell'area "Risultati query", l'amministratore può visualizzare gli oggetti che saranno
interessati dall'eliminazione dei livelli di accesso eseguita dall'amministratore. Nel pannello Dettagli,
inoltre, l'amministratore può vedere la posizione degli oggetti in CMC in modo da poter modificare gli
oggetti prima di eliminare i livelli di accesso.
Nota:
•
•
Per visualizzare l'elenco di oggetti interessati, è necessario disporre di diritti di visualizzazione su
tali oggetti.
I risultati delle query di relazione per un livello di accesso restituiscono oggetti a cui il livello di
accesso è stato assegnato in modo esplicito. Se un oggetto utilizza un livello di accesso in base
alle impostazioni di eredità, quell'oggetto non compare nei risultati delle query.
7.3.8 Gestione dei livelli di accesso tra i siti
I livelli di accesso sono oggetti che è possibile replicare da un sito di origine a più siti di destinazione.
È possibile scegliere di replicare i livelli di accesso se figurano nell'elenco di controllo degli accessi
dell'oggetto di replica. Se ad esempio a un principale viene concesso il livello di accesso A per il report
Crystal e quest'ultimo viene replicato tra più siti, viene anche replicato il livello di accesso A.
Nota:
Se nel sito di destinazione esiste un livello di accesso con lo stesso nome, la replica del livello di accesso
non verrà eseguita. Prima della replica, l'amministratore del sito di destinazione, o l'utente stesso, dovrà
rinominare uno dei livelli di accesso.
Dopo avere replicato un livello di accesso tra i siti, tenere presenti le considerazioni sull'amministrazione.
150
2013-09-19
Impostazione dei diritti
Modifica dei livelli di accesso replicati nel sito di origine
Se un livello di accesso replicato viene modificato nel sito di origine, il livello di accesso nel sito di
destinazione verrà aggiornato all'esecuzione successiva pianificata della replica. Negli scenari di replica
bilaterale, se si modifica un livello di accesso replicato nel sito di destinazione, verrà modificato anche
quello del sito di origine.
Nota:
Assicurarsi che le modifiche a un livello di accesso in un sito non influiscano negativamente sugli oggetti
di altri siti. Consultare gli amministratori del sito e consigliare loro di eseguire query di relazioni per il
livello di accesso replicato prima di apportare modifiche.
Modifica dei livelli di accesso replicati nel sito di destinazione
Nota:
È applicabile unicamente alla replica unilaterale.
Qualsiasi modifica ai livelli di accesso replicati apportata in un sito di destinazione non viene riflessa
nel sito di origine. Ad esempio, l'amministratore del sito di destinazione può concedere il diritto di
pianificare report Crystal nel livello di accesso replicato, anche se questo diritto è stato negato nel sito
di origine. Di conseguenza, anche se i nomi dei livelli di accesso e degli oggetti replicati rimangono
invariati, i diritti effettivi dei principali sugli oggetti potrebbero variare da sito di destinazione a sito di
destinazione.
Se il livello di accesso replicato varia tra sito di origine e sito di destinazione, la differenza nei diritti
effettivi verrà rilevata alla successiva esecuzione del processo di replica. È possibile fare in modo che
il livello di accesso del sito di origine abbia la precedenza sul livello di accesso del sito di destinazione
o che il livello di accesso del sito di destinazione rimanga intatto. Tuttavia, se non si fa in modo che il
livello di accesso del sito di origine abbia la precedenza sul livello di accesso del sito di destinazione,
qualsiasi oggetto in attesa di replica che utilizza quel livello di accesso non verrà replicato.
Per impedire agli utenti di modificare i livelli di accesso replicati nel sito di destinazione, è possibile
aggiungere utenti del sito di destinazione al livello di accesso come principali e concedere a tali utenti
solo i diritti di visualizzazione. Ciò significa che gli utenti del sito di destinazione possono visualizzare
il livello di accesso, ma non possono modificare i relativi diritti o assegnarlo ad altri utenti.
Argomenti correlati
• Federation
• Analisi e relazione tra livelli di accesso e oggetti
7.4 Interruzione dell'ereditarietà
L'ereditarietà consente di gestire le impostazioni di protezione senza impostare diritti per ogni singolo
oggetto. Tuttavia, in alcuni casi, può non essere opportuno che i diritti vengano ereditati. Ad esempio,
può essere necessario personalizzare i diritti per ogni oggetto. È possibile disabilitare l'ereditarietà per
un principale in un elenco di controllo degli accessi di un oggetto Quando si esegue questa operazione,
è possibile scegliere se disabilitare l'ereditarietà del gruppo, della cartella o entrambe.
151
2013-09-19
Impostazione dei diritti
Nota:
Quando viene interrotta, l'ereditarietà è interrotta per tutti i diritti e non è possibile disattivarla per alcuni
diritti e non per altri.
Nel diagramma “Interruzione dell'ereditarietà”, l'ereditarietà di gruppi e cartelle è inizialmente attiva.
L'Utente Rosso eredita i diritti 1 e 5 come concessi, i diritti 2, 3 e 4 come non specificati e il diritto 6
come esplicitamente negato. Tali diritti, impostati a livello di cartella per il gruppo, indicano che l'utente
rosso e tutti gli altri membri del gruppo dispongono dei diritti per gli oggetti della cartella, A e B. Quando
l'ereditarietà viene interrotta a livello di cartella, l'insieme dei diritti dell'utente rosso per gli oggetti presenti
in quella cartella viene annullato finché un amministratore assegna all'utente nuovi diritti.
Figura 7 - 9: Interruzione dell'ereditarietà
7.4.1 Per disabilitare l'eredità
Questa procedura consente di disabilitare l'eredità di gruppo o cartella, o entrambi, per un principale
nell'elenco di controllo degli accessi di un oggetto.
1. Selezionare l'oggetto per il quale si desidera disabilitare l'eredità.
2. Fare clic su Gestisci > Protezione utente.
Verrà visualizzata la finestra di dialogo "Protezione utente".
152
2013-09-19
Impostazione dei diritti
3. Selezionare il principale per il quale disabilitare l'eredità, quindi fare clic su Assegna protezione.
Viene visualizzata la finestra di dialogo "Assegna protezione".
4. Configurare le impostazioni di eredità.
• Per disabilitare l'eredità di gruppo (i diritti che il principale eredita dall'appartenenza al gruppo),
deselezionare la casella di controllo Eredita da gruppo principale.
• Per disabilitare l'eredità di cartella (i diritti che l'oggetto eredita dalla cartella), deselezionare la
casella di controllo Eredita da cartella principale.
5. Fare clic su OK.
7.5 Utilizzo dei diritti per delegare l'amministrazione
Oltre a consentire il controllo dell'accesso a oggetti e impostazioni, i diritti consentono di suddividere
le attività amministrative tra i gruppi funzionali dell'organizzazione. Ad esempio, può essere opportuno
che persone di reparti diversi gestiscano i propri utenti e gruppi. In alternativa, è possibile che un
amministratore si occupi della gestione di alto livello della piattaforma BI, ma che le attività di gestione
dei server siano affidate al personale del reparto IT.
Presupponendo che la struttura del gruppo e quella della cartella siano allineate alla struttura di
protezione dell'amministrazione delegata, è necessario concedere all'amministratore delegato diritti
per tutti i gruppi di utenti ma non diritti completi sugli utenti controllati. Ad esempio, è possibile non
ritenere opportuno che l'amministratore delegato modifichi gli attributi utente o li riassegni a gruppi
diversi.
Nota:
le migrazioni di oggetti vengono eseguite al meglio da membri del gruppo Amministratori, in particolare
dall'account utente Administrator. La migrazione di un oggetto potrebbe implicare la migrazione anche
di molti oggetti correlati. Un account amministratore delegato potrebbe non ottenere i diritti di protezione
richiesti per tutti gli oggetti.
La tabella contenente i “diritti per amministratori delegati” contiene un riepilogo dei diritti necessari agli
amministratori delegati per eseguire azioni comuni.
Tabella 7 - 3: Diritti per amministratori delegati
153
Azione per amministratore autorizzato
Diritti richiesti dall'amministratore delegato
Creazione di nuovi utenti
Diritto di aggiunta nella cartella Utenti di livello
superiore
Creazione di nuovi gruppi
Diritto di aggiunta nella cartella Gruppi utente
di livello superiore
2013-09-19
Impostazione dei diritti
Azione per amministratore autorizzato
Diritti richiesti dall'amministratore delegato
Eliminazione di gruppi controllati nonché di singoli
utenti di tali gruppi
Diritto di eliminazione sui relativi gruppi
Eliminazione solo degli utenti creati dall'amministratore delegato
Diritto di eliminazione proprietario nella cartella
Utenti di livello superiore
Eliminazione solo degli utenti e dei gruppi creati
dall'amministratore delegato
Diritto di eliminazione proprietario nella cartella
Gruppi utente di livello superiore
Modifica solo degli utenti creati dall'amministratore delegato (compresa l'aggiunta di tali utenti
ai gruppi)
Diritto di modifica proprietario e diritti di modifica proprietario in modo sicuro nella cartella
Utenti di livello superiore
Modifica solo dei gruppi creati dall'amministratore
delegato (compresa aggiunta di utenti a quei
gruppi)
Diritto di modifica proprietario e diritti di modifica proprietario in modo sicuro nella cartella
Gruppi utente di livello superiore
Modifica delle password per gli utenti nei relativi
gruppi controllati
Diritto di modifica password sui relativi gruppi
Diritto Password di modifica proprietarionella
cartella Utente di livello superiore o sui gruppi rilevanti
Modifica password solo per i principali creati
dall'amministratore delegato
Modifica nomi utenti, descrizione, altri attributi e
riassegnazione utenti a gruppi diversi
Modifica di nomi utenti, descrizione, altri attributi
e riassegnazione degli utenti ad altri gruppi, ma
solo per gli utenti creati dall'amministratore delegato
154
Nota:
L'impostazione del diritto Password di modifica
proprietario su un gruppo ha effetto su un utente
solo quando si aggiunge l'utente al gruppo rilevante.
Diritto di modifica sui gruppi rilevanti
Diritto di modifica proprietario nella cartella
Utente di livello superiore o sui gruppi rilevanti
Nota:
L'impostazione del diritto di modifica proprietario
sui gruppi rilevanti ha effetto su un utente solo
quando si aggiunge l'utente al relativo gruppo.
2013-09-19
Impostazione dei diritti
7.5.1 Scelta tra le opzioni “Modificare i diritti che gli utenti hanno sugli oggetti”
Quando si imposta l'amministrazione delegata, fornire all'amministratore i diritti sui principali da
controllare. È possibile fornire tutti i diritti (Controllo completo); è tuttavia buona norma utilizzare le
impostazioni Diritti avanzati per conservare il diritto Modifica dei diritti e in alternativa fornire
all'amministratore autorizzato il diritto Modificare in modo sicuro i diritti degli utenti sugli oggetti.
È inoltre possibile fornire all'amministratore il diritto Modificare in modo sicuro le impostazioni di
eredità dei diritti anziché il diritto Modificare le impostazioni di eredità dei diritti. Le differenze tra
questi diritti sono descritte di seguito.
Modificare i diritti che gli utenti hanno sugli oggetti
Questo diritto consente a un utente di modificare qualsiasi diritto per qualsiasi utente su un oggetto.
Ad esempio, se l'utente A dispone dei diritti Visualizzare oggetti e Modificare i diritti che gli utenti
hanno sugli oggetti, potrà modificare i diritti per quell'oggetto in modo da fornire a se stesso o ad altri
utenti il controllo completo dell'oggetto.
Modificare in modo sicuro i diritti degli utenti sugli oggetti
Questo diritto consente a un utente di concedere, negare o reimpostare su non specificato solo i diritti
già concessi. Ad esempio, se l'utente A dispone dei diritti Visualizzare oggetti e Modificare in modo
sicuro i diritti degli utenti sugli oggetti, non potrà assegnare a se stesso ulteriori diritti e potrà
concedere o negare ad altri utenti solo i diritti (Visualizzare oggetti e Modificare in modo sicuro i
diritti). Inoltre, l'utente A potrà modificare per gli utenti solo i diritti su oggetti per i quali dispone del
diritto Modificare in modo sicuro i diritti degli utenti sugli oggetti.
Sono tutte le condizioni che devono esistere per l'utente A per la modifica dei diritti per l'utente B
sull'oggetto O:
•
L'utente A dispone del diritto Modificare in modo sicuro i diritti degli utenti sugli oggetti
sull'oggetto O.
•
Ogni diritto o livello di accesso che l'utente A modifica per l'utente B è concesso ad A.
•
L'utente A dispone del diritto Modificare in modo sicuro i diritti degli utenti sugli oggetti sull'utente
B.
•
Se viene assegnato un livello di accesso, l'utente A dispone del diritto Assegnare livello di accesso
sul livello di accesso che cambia per l'utente B.
L'ambito dei diritti può limitare ulteriormente i diritti effettivi che un amministratore autorizzato può
assegnare. È possibile ad esempio che un amministratore con delega disponga dei diritti di modifica
in modo sicuro i diritti degli utenti sugli oggetti e dei diritti di modifica per una cartella, ma l'ambito
di questi diritti è limitato alla cartella e non è applicabile ai relativi oggetti secondari. L'amministratore
autorizzato può concedere il diritto di modifica per la cartella (ma non per i relativi oggetti secondari)
e solo con un ambito di “applicazione agli oggetti”. D'altro canto, se l'amministratore autorizzato dispone
del diritto di modifica per una cartella con ambito di “applicazione agli oggetti secondari”, può concedere
ad altri principali il diritto di modifica con entrambi gli ambiti per gli oggetti secondari della cartella, ma
155
2013-09-19
Impostazione dei diritti
per la cartella può concedere unicamente il diritto di modifica con ambito di “applicazione agli oggetti
secondari”.
Inoltre, l'amministratore autorizzato non potrà modificare i diritti per quei gruppi per altri principali per
cui non dispone del diritto Modificare in modo sicuro i diritti degli utenti sugli oggetti. È utile, ad esempio,
se due sono gli amministratori autorizzati responsabili di concedere diritti a diversi gruppi di utenti per
la stessa cartella, ma non si desidera che uno sia in grado di negare l'accesso ai gruppi controllati
dall'altro amministratore. Il diritto Modificare in modo sicuro i diritti degli utenti sugli oggetti garantisce
questa limitazione, poiché gli amministratori delegati in genere non dispongono del diritto Modificare
in modo sicuro i diritti degli utenti sugli oggetti gli uni per gli altri.
Modificare in modo sicuro le impostazioni di eredità dei diritti
Questo diritto consente all'amministratore delegato di modificare le impostazioni di eredità per altri
principali sugli oggetti a cui ha accesso. Per modificare in modo corretto le impostazioni di eredità di
altri principali, un amministratore autorizzato deve disporre di questo diritto sull'oggetto e sugli account
utente per i principali.
7.5.2 Diritti del proprietario
I diritti del proprietario sono validi solo per il proprietario dell'oggetto di cui vengono verificati i diritti.
Nella piattaforma BI il proprietario di un oggetto è il principale che ha creato l'oggetto; se il principale
viene eliminato dal sistema, la proprietà torna all'amministratore.
I diritti di proprietario sono utili per la gestione della protezione basata su proprietario. Ad esempio, è
possibile creare una cartella o una gerarchia di cartelle in cui diversi utenti possono creare e visualizzare
documenti, ma possono modificare o eliminare solo i propri documenti. Inoltre, i diritti del proprietario
consentono agli utenti di modificare le proprie istanze di report ma non quelle create da altri. Nel caso
del livello di accesso Pianificazione, gli utenti hanno la possibilità di modificare, eliminare, sospendere
e ripianificare solo le proprie istanze.
I diritti del proprietario hanno funzioni analoghe ai corrispondenti diritti regolari. Tuttavia, i diritti proprietario
sono efficaci solo se al principale sono stati concessi i diritti proprietario, ma quelli ordinari sono stati
negati o non specificati.
7.6 Riepilogo delle indicazioni per l'amministrazione dei diritti
Per l'amministrazione dei diritti, tenere presenti le seguenti considerazioni:
•
156
Utilizzare i livelli di accesso ove possibile. Gli insiemi predefiniti di diritti semplificano l'amministrazione
raggruppando i diritti associati alle esigenze comuni degli utenti.
2013-09-19
Impostazione dei diritti
157
•
Impostare i diritti e i livelli di accesso per le cartelle di livello superiore. L'abilitazione dell'ereditarietà
consentirà di trasferire i diritti attraverso il sistema con un intervento minimo da parte
dell'amministrazione.
•
Se possibile, evitare di rompere l'eredità. Questo consente di ridurre la quantità di tempo necessaria
per proteggere il contenuto aggiunto alla piattaforma BI.
•
Impostare i diritti appropriati per utenti e gruppi a livello di cartella, quindi pubblicare gli oggetti in
quella cartella. Per impostazione predefinita, gli utenti o i gruppi che dispongono dell’accesso a una
cartella ereditano gli stessi diritti per tutti gli oggetti pubblicati successivamente nella cartella.
•
Organizzare gli utenti in gruppi, assegnare livelli di accesso e diritti all'intero gruppo e assegnare
livelli di accesso e diritti a membri specifici.
•
Creare singoli account Administrator per ogni amministratore del sistema e aggiungerli al gruppo
Administrators per definire meglio la responsabilità per le modifiche di sistema.
•
Per impostazione predefinita, al gruppo Tutti vengono concessi diritti molto limitati alle cartelle di
livello superiore nella piattaforma BI. Dopo l'installazione, è consigliabile rivedere i diritti dei membri
del gruppo Tutti e assegnare la protezione di conseguenza.
2013-09-19
Impostazione dei diritti
158
2013-09-19
Protezione della piattaforma BI
Protezione della piattaforma BI
8.1 Panoramica della protezione
In questa sezione sono illustrati in modo dettagliato i metodi tramite cui la piattaforma BI affronta la
protezione dei dati aziendali, fornendo allo stesso tempo ad amministratori e architetti di sistema risposte
alle domande relative alla protezione.
L'architettura della piattaforma BI affronta i numerosi problemi di protezione delle aziende e delle
organizzazioni moderne. La versione corrente supporta funzionalità come distribuzione della protezione,
Single Sign On, protezione dell'accesso alle risorse, diritti granulari dell'oggetto e autenticazione di
terze parti per la protezione contro gli accessi non autorizzati.
Poiché la piattaforma BI fornisce la struttura per un numero crescente di componenti della famiglia
Enterprise di prodotti SAP BusinessObjects, in questa sezione vengono descritte in dettaglio le funzioni
di protezione e le relative funzionalità per dimostrare come questa struttura rafforzi e gestisca la
protezione. Per questo motivo, in questa sezione non sono riportati i dettagli veri e propri delle procedure
ma le informazioni concettuali e i collegamenti alle procedure chiave.
Dopo una breve introduzione ai concetti relativi alla protezione per il sistema, verranno forniti alcuni
dettagli per gli argomenti seguenti:
• Come utilizzare la crittografia e le modalità di protezione dell'elaborazione dei dati per proteggere i
dati.
• Come impostare Secure Sockets Layer per le distribuzioni della piattaforma BI.
• Linee guida per impostare e gestire i firewall per la piattaforma BI.
• Configurazione dei server reverse proxy.
8.2 Pianificazione del ripristino d'emergenza
Occorre adottare alcune misure per proteggere l'investimento dell'azienda nella piattaforma BI,
assicurando la massima continuità delle attività in caso di situazioni di emergenza. Questa sezione
fornisce le indicazioni necessarie per elaborare un piano di ripristino di emergenza per la propria
organizzazione.
Indicazioni generali
•
159
Eseguire regolarmente un backup del sistema e inviare copie del backup ad altri uffici, se necessario.
2013-09-19
Protezione della piattaforma BI
•
•
Archiviare in modo sicuro tutti i supporti del software.
Archiviare in modo sicuro tutta la documentazione relativa alle licenze.
Indicazioni specifiche
Tre risorse del sistema richiedono un'attenzione particolare in termini di ripristino da situazioni di
emergenza:
•
•
•
Contenuto nei File Repository Server: è incluso il contenuto proprietario, ad esempio i report. Eseguire
regolarmente un backup dei contenuti: in caso di problemi irreversibili, non esiste un modo per
rigenerare i contenuti se non è stato eseguito un backup regolare.
Il database di sistema utilizzato dal server CMS: questa risorsa contiene tutti i metadati essenziali
per la distribuzione, ad esempio i dati degli utenti, i report e altre informazioni riservate importanti
per l'organizzazione.
File della chiave delle informazioni del database (.dbinfo): contiene la chiave principale per il database
di sistema. Se per qualche motivo la chiave non è disponibile, non sarà possibile accedere al
database di sistema. Dopo aver distribuito la piattaforma BI, si consiglia vivamente di memorizzare
la password per questa risorsa in un luogo sicuro e noto. Senza la password non sarà possibile
rigenerare il file e si perderà quindi l'accesso al database di sistema.
8.3 Raccomandazioni generali per la protezione della distribuzione
Di seguito sono riportate le linee guida per la protezione delle distribuzioni della piattaforma BI.
•
•
Utilizzare i firewall per proteggere le comunicazioni tra il server CMS e altri componenti del sistema.
Se possibile, nascondere sempre il CMS dietro al firewall. Come minimo, assicurarsi che il database
di sistema sia protetto dietro il firewall.
Aggiungere ulteriore crittografia ai File Repository Server. Una volta avviato il sistema, il contenuto
proprietario verrà memorizzato in questi server. Aggiungere ulteriore crittografia attraverso il sistema
operativo o uno strumento di terze parti.
Nota:
La piattaforma BI non supporta SFTP. Se è necessario utilizzare la funzionalità SFTP, fare riferimento
alla nota SAP 1556571 o prendere in considerazione l'utilizzo della soluzione di un partner SAP.
•
•
•
•
•
160
Distribuire un server reverse proxy davanti ai server di applicazioni Web per nasconderli dietro un
singolo indirizzo IP. Questa configurazione instrada tutto il traffico Internet indirizzato a server di
applicazioni Web privati attraverso il server reverse proxy, nascondendo quindi gli indirizzi IP privati.
Applicare con rigore i criteri relativi alle password aziendali. Assicurarsi che le password utente
vengano periodicamente modificate.
Se si è deciso di installare il database di sistema e il server di applicazioni Web forniti con la
piattaforma BI, è necessario consultare la relativa documentazione per verificare che i componenti
vengano distribuiti con configurazioni di protezione adeguate.
Utilizzare il protocollo Secure Sockets Layer (SSL) per tutte le comunicazioni di rete tra client e
server nella distribuzione.
Assicurarsi che la directory e le sottodirectory di installazione della piattaforma siano protette. In tali
directory,infatti, durante il funzionamento del sistema potrebbero essere salvati dati temporanei
sensibili.
2013-09-19
Protezione della piattaforma BI
•
L'accesso alla console CMC (Central Management Console) dovrebbe essere limitato al solo accesso
locale. Per informazioni sulle opzioni di distribuzione per la console CMC, consultare il Manuale
della distribuzione in rete di applicazioni Web della piattaforma SAP BusinessObjects Business
Intelligence.
Argomenti correlati
• Configurazione del protocollo SSL
• Limitazioni relative alle password
• Configurazione della protezione per server di terze parti in bundle
8.4 Configurazione della protezione per server di terze parti in bundle
Se si decide di installare componenti server di terze parti forniti in bundle con la piattaforma BI, è
consigliabile accedere e consultare la documentazione relativa ai componenti in bundle riportati di
seguito.
•
•
Sybase SQL Anywhere: per informazioni dettagliate sulla protezione di questo database di sistema,
consultare http://infocenter.sybase.com/help/index.jsp?topic=/com.sybase.help.sqlanyw
here.12.0.0/dbadmin/da-part-securing.html.
Apache Tomcat: per informazioni dettagliate sulla protezione di questo server di applicazioni Web,
consultare http://tomcat.apache.org/.
8.5 Relazione di trust attiva
In un ambiente di rete, una relazione di trust tra due domini è in genere una connessione che consente
a un dominio di riconoscere gli utenti che sono stati autenticati dall'altro dominio. Pur conservando la
protezione, la relazione di trust consente agli utenti di accedere alle risorse in più domini senza dovere
fornire ripetutamente le loro credenziali.
All'interno dell'ambiente della piattaforma BI, la relazione di trust attiva funziona in modo simile per
fornire a ciascun utente l'accesso alle risorse in tutto il sistema. Un volta che l'utente è stato autenticato
e gli è stata concessa una sessione attiva, tutti gli altri componenti della piattaforma BI possono elaborare
le richieste e le operazioni dell'utente senza richiedere le credenziali. In questo modo, la relazione di
trust attiva fornisce la base per la protezione distribuita della piattaforma BI.
8.5.1 Token di accesso
161
2013-09-19
Protezione della piattaforma BI
Un token di accesso è una stringa codificata che definisce i propri attributi di utilizzo e contiene
informazioni sulla sessione dell'utente. Gli attributi di utilizzo di un token di accesso sono specificati
quando viene generato il token di accesso. Questi attributi consentono di inserire limitazioni sul token
di accesso per ridurre la possibilità di utilizzo del token da parte di utenti non autorizzati. Gli attributi
correnti del token di accesso sono i seguenti:
•
Numero di minuti
Questo attributo limita la durata del token di accesso.
•
Numero di accessi
Questo attributo limita il numero di utilizzi del token di accesso per accedere alla piattaforma BI.
Entrambi gli attributi ostacolano l'accesso non autorizzato alla piattaforma BI con token di accesso
recuperati da utenti autorizzati.
Nota:
la memorizzazione di un token di accesso in un cookie è un potenziale rischio per la protezione se la
rete tra il browser e il server Web o delle applicazioni non è protetto, ad esempio se la connessione
avviene su una rete pubblica senza utilizzare SSL o l'autenticazione affidabile. È buona norma utilizzare
SSL (Secure Sockets Layer) per ridurre i rischi per la protezione tra il browser e il server Web o delle
applicazioni.
Dopo avere disabilitato il cookie di accesso e il timeout del browser o del server Web, viene visualizzata
la schermata di accesso. Quando il cookie viene abilitato e si verifica il timeout del server o del browser,
l'utente viene riconnesso al sistema. Poiché le informazioni sullo stato sono legate alla sessione Web,
tuttavia, lo stato dell'utente viene perso. Ad esempio, se l'utente aveva espanso l'albero di spostamento
e selezionato un elemento, l'albero viene reimpostato.
Per la piattaforma BI, l'impostazione predefinita consiste nell'abilitazione dei token di accesso nel client
Web. Tuttavia, è possibile disabilitare tali token per BI Launch Pad. Se i token di accesso vengono
disabilitati nel client, la sessione utente sarà limitata dal timeout del server o browser Web. Allo scadere
della sessione, all'utente verrà nuovamente richiesto l'accesso alla piattaforma BI.
8.5.2 Meccanismo dei ticket per la distribuzione della protezione
Per i sistemi Enterprise dedicati che servono un grande numero di utenti è necessaria in genere una
forma di distribuzione della protezione. Un sistema Enterprise potrebbe richiedere una protezione
distribuita per supportare funzionalità quali il trasferimento dell'attendibilità (la possibilità di consentire
a un altro componente di agire per conto dell'utente).
La piattaforma BI affronta il problema della distribuzione della protezione implementando un meccanismo
di ticket simile al meccanismo di ticket Kerberos. Il CMS concede ticket che autorizzano i componenti
a eseguire azioni per un particolare utente. Nella piattaforma BI, per ticket si intende il token di accesso.
Questo token è il più utilizzato sul Web. Quando gli utenti vengono autenticati per la prima volta dalla
piattaforma BI, ricevono i token di accesso dal server CMS. Il browser dell'utente memorizza tale token
162
2013-09-19
Protezione della piattaforma BI
nella cache. Quando l'utente esegue una nuova richiesta, altri componenti della piattaforma BI possono
leggere il token di accesso dal browser dell'utente.
8.6 Sessioni e registrazione delle sessioni
In generale, una sessione è una connessione client-server che consente lo scambio di informazioni tra
due computer. Lo stato di una sessione è rappresentato da una serie di dati che descrive gli attributi
della sessione, la sua configurazione o il suo contenuto. Quando si stabilisce una connessione tra client
e server sul Web, la natura del protocollo HTTP limita la durata di ciascuna sessione a una pagina
singola di informazioni; in questo modo, il browser memorizza lo stato di ciascuna sessione solo per il
periodo di visualizzazione di ogni singola pagina Web. Quando ci si sposta da una pagina Web a
un'altra, lo stato della prima sessione viene annullato e sostituito con lo stato della sessione successiva.
Di conseguenza, i siti Web e le applicazioni Web devono memorizzare lo stato di una sessione se si
desidera riutilizzarne le informazioni in un'altra.
La piattaforma BI impiega due metodi comuni per memorizzare lo stato di una sessione:
•
Cookie: un cookie è un piccolo file di testo in cui è archiviato lo stato della sessione sul lato client.
Il browser Web dell'utente memorizza nella cache il cookie per un utilizzo successivo. Il token di
accesso della piattaforma BI è un esempio di questo metodo.
•
Variabili di sessione: una variabile di sessione è una parte di memoria in cui è archiviato lo stato
della sessione sul lato server. Quando la piattaforma BI concede a un utente un'identità attiva sul
sistema, informazioni come quelle relative al tipo di autenticazione dell'utente vengono memorizzate
in una variabile di sessione. Per la durata della sessione, il sistema non dovrà richiedere all'utente
le informazioni né dovrà ripetere eventuali operazioni necessarie per il completamento della richiesta
successiva.
Per le distribuzioni Java, la sessione viene utilizzata per gestire le richieste .jsp, per le distribuzioni
.NET, la sessione viene utilizzata per gestire le richieste .aspx.
Nota:
In teoria, il sistema conserva la variabile di sessione mentre l'utente esegue attività sul sistema; inoltre,
per garantire la protezione e ridurre al minimo l'utilizzo delle risorse, il sistema dovrebbe distruggere la
variabile di sessione appena l'utente ha terminato le proprie operazioni sul sistema. Tuttavia, poiché
l'interazione tra un browser e un server Web può essere senza stato, individuare il momento dell'uscita
dell'utente dal sistema può essere difficile se quest'ultimo non si disconnette in modo esplicito. Per
risolvere questo problema, la piattaforma BI implementa la registrazione delle sessioni.
8.6.1 Registrazione delle sessioni CMS
163
2013-09-19
Protezione della piattaforma BI
Il CMS implementa un algoritmo di registrazione semplice. Quando un utente accede al sistema, gli
viene concessa una sessione CMS, che il CMS conserva fino alla disconnessione o al rilascio della
variabile di sessione del server di applicazioni Web.
La sessione del server di applicazioni Web è progettata per comunicare periodicamente al CMS di
essere ancora attiva, in modo tale che la sessione CMS venga conservata fino alla chiusura della
sessione del server. Se la sessione del server di applicazioni Web non riesce a comunicare con il CMS
per un periodo di dieci minuti, il CMS chiude la sessione CMS. Questa condizione è utile negli scenari
in cui i componenti lato client vengono chiusi in modo anomalo.
8.7 Protezione dell'ambiente
Per protezione dell'ambiente si intende la protezione dell'ambiente generale di comunicazione tra
componenti client e server. Anche se Internet e i sistemi basati sul Web sono sempre più popolari,
grazie alla loro flessibilità e alla gamma delle loro funzionalità, essi operano in un ambiente che può
essere difficile proteggere. Durante la distribuzione della piattaforma BI, la protezione dell'ambiente
viene suddivisa tra due aree di comunicazione: da browser a server Web e da server Web a piattaforma
BI.
8.7.1 Da browser a server Web
Quando tra il browser e il server Web vengono trasmessi dati sensibili, è di solito necessario un certo
grado di protezione. Le misure di protezione più importanti coinvolgono di solito due attività generali:
•
Assicurare la protezione della comunicazione di dati.
•
Assicurare che solo gli utenti autorizzati possano recuperare informazioni dal server Web.
Nota:
Queste attività sono in genere gestite dai server Web tramite vari meccanismi di protezione, come il
protocollo SSL (Secure Sockets Layer) e altri meccanismi simili. È buona norma utilizzare SSL per
ridurre i rischi per la protezione tra il browser e il server Web o delle applicazioni.
Le comunicazioni tra il browser e il server Web devono essere protette in modo indipendente dalla
piattaforma BI. Per ulteriori dettagli sulla protezione delle connessioni client, consultare la
documentazione del server Web.
8.7.2 Comunicazione tra il server Web e la piattaforma BI
164
2013-09-19
Protezione della piattaforma BI
Per proteggere l'area di comunicazione tra il server Web e il resto della rete Intranet aziendale, compresa
la piattaforma BI, vengono di norma utilizzati i firewall. La piattaforma supporta firewall che utilizzano
filtri IP o la tecnologia NAT (Network Address Translation) statica. Tra gli ambienti supportati possono
essere inclusi più firewall, server Web o i server delle applicazioni.
8.8 Controllo delle modifiche alla configurazione della protezione
La piattaforma BI non controllerà le eventuali modifiche apportate alle configurazioni della protezione
predefinite per gli elementi seguenti:
• File delle proprietà delle applicazioni Web (BOE, servizi Web)
• TrustedPrincipal.conf
• Personalizzazione eseguita su BI Launch Pad e OpenDocument
In generale, non verranno controllate tutte le modifiche alla configurazione della protezione apportate
esternamente alla console CMC, incluse le eventuali modifiche eseguite tramite CCM (Central
Configuration Manager). Le modifiche salvate tramite CMC possono essere controllate.
8.9 Controllo dell'attività sul Web
La piattaforma BI assicura la possibilità di registrare le attività sul Web all'interno del sistema e di
controllarne i dettagli. Il server di applicazioni Web consente di selezionare gli attributi Web da registrare,
ad esempio l'ora, la data, l'indirizzo IP, il numero di porta e così via. I dati di controllo vengono registrati
su disco e archiviati in file csv, in modo da poter creare report dai dati o importarli in altre applicazioni.
8.9.1 Protezione contro tentativi di accesso non autorizzati
A prescindere dal livello di protezione di un sistema, è sempre presente almeno una posizione più
vulnerabile agli attacchi: la posizione da cui gli utenti si connettono al sistema. È quasi impossibile
proteggere completamente questo punto, in quanto indovinare un nome utente e una password rimane
un sistema praticabile per penetrare nel sistema.
La piattaforma BI implementa diverse tecniche per ridurre la probabilità che un utente non autorizzato
ottenga accesso al sistema. Le varie limitazioni elencate di seguito sono valide solo per gli account
Enterprise; in altre parole, non si applicano ad account mappati a un database utente esterno (LDAP
o Windows AD). In genere, tuttavia, il sistema esterno consente di inserire limitazioni simili per gli
account esterni.
165
2013-09-19
Protezione della piattaforma BI
8.9.2 Limitazioni relative alle password
Le limitazioni relative alle password assicurano che gli utenti che eseguono l'autenticazione Enterprise
predefinita creino password relativamente complesse. È possibile selezionare le seguenti opzioni:
•
Attiva password con maiuscole e minuscole
Questa opzione garantisce che le password contengano almeno due delle seguenti classi di caratteri:
lettere maiuscole, lettere minuscole, numeri o simboli di punteggiatura.
•
La password deve contenere almeno N caratteri
Inserendo un minimo di complessità per le password è possibile ridurre le possibilità dell'utente di
indovinare una password valida.
8.9.3 Limitazioni relative all'accesso
Le limitazioni relative all'accesso servono principalmente per evitare attacchi tramite dizionario (un
metodo che consente a un utente non autorizzato di ottenere un nome utente valido e di tentare di
scoprire la password corrispondente tramite le parole contenute in un dizionario). La velocità
dell'hardware attuale consente a programmi dannosi di ottenere milioni di password al minuto. Per
impedire attacchi tramite dizionario, la piattaforma BI dispone di un meccanismo interno che determina
un ritardo (0,5 - 1 secondo) tra i tentativi di accesso. La piattaforma prevede inoltre diverse opzioni
personalizzabili da utilizzare per ridurre il rischio di attacchi di questo tipo:
•
Disattiva account dopo N tentativi di accesso
•
Reimposta conteggio tentativi di accesso non riusciti dopo N minuti
•
Riabilita account dopo N minuti
8.9.4 Limitazioni per l'utente
Le limitazioni per l'utente assicurano che gli utenti che eseguono l'autenticazione Enterprise predefinita
creino le nuove password con una frequenza appropriata. È possibile selezionare le seguenti opzioni:
166
•
La password deve essere modificata ogni N giorni
•
Impossibile riutilizzare le N password più recenti
•
Attendi N minuti per modificare la password
2013-09-19
Protezione della piattaforma BI
Queste opzioni possono essere utilizzate in molti modi. In primo luogo, eventuali utenti non autorizzati
che tentassero un attacco tramite dizionario dovranno ricominciare ogni volta che le password sono
modificate. Inoltre, poiché le modifiche delle password sono basate sul periodo del primo accesso di
ciascun utente, l'utente non autorizzato non potrà determinare in modo agevole il momento in cui una
password particolare verrà modificata. Inoltre, anche nel caso in cui un utente non autorizzato riuscisse
a indovinare o ottenere in altro modo le credenziali di un altro utente,queste risulteranno valide solo
per un tempo limitato.
8.9.5 Limitazioni all'account Guest
La piattaforma BI supporta il Single Sign On anonimo per l'account Guest. In questo modo, quando gli
utenti si connettono alla piattaforma BI senza specificare un nome utente e una password, il sistema
consente l'accesso automatico con l'account Guest. Se si assegna una password protetta all'account
Guest o si disabilita completamente l'account Guest, si disabilita anche questo comportamento
predefinito.
8.10 Estensioni di elaborazione
La piattaforma BI consente di proteggere ulteriormente l'ambiente di creazione dei report tramite l'utilizzo
di estensioni di elaborazione personalizzate. Un'estensione di elaborazione è una libreria di dati collegata
in modo dinamico che applica la logica aziendale a richieste particolari di visualizzazione o pianificazione
nella piattaforma BI prima che queste siano elaborate dal sistema.
Tramite il supporto per le estensioni di elaborazione, l'SDK per l'amministrazione della piattaforma BI
espone un "handle" che consente agli sviluppatori di intercettare la richiesta. Gli sviluppatori possono
quindi aggiungere formule di selezione alla richiesta prima che il report sia elaborato.
Un esempio tipico è costituito da un'estensione di elaborazione di un report in cui sia rafforzata la
protezione a livello di riga. Questo tipo di protezione consente di limitare l'accesso ai dati per le righe
di una o più tabelle di database. Lo sviluppatore crea una libreria caricata dinamicamente che intercetta
le richieste di visualizzazione o pianificazione relative a un report prima che tali richieste siano elaborate
da Job Server, Processing Server o Report Application Server. Il codice inserito dallo sviluppatore
individua per prima cosa l'utente proprietario del lavoro di elaborazione, quindi ricerca i privilegi di
accesso ai dati dell'utente in un sistema di terze parti. Il codice genera quindi una formula di selezione
record e la aggiunge al report per limitare i dati restituiti dal database. In questo caso, l'estensione di
elaborazione funge da metodo per incorporare la protezione personalizzata a livello di riga nell'ambiente
della piattaforma BI.
Abilitando le estensioni di elaborazione è possibile configurare i componenti server della piattaforma
BI appropriati per caricare dinamicamente le estensioni di elaborazione in fase di esecuzione. All'interno
dell'SDK è presente un'API documentata in modo completo che gli sviluppatori possono utilizzare per
167
2013-09-19
Protezione della piattaforma BI
creare estensioni di elaborazione. Per ulteriori informazioni, consultare la documentazione per gli
sviluppatori disponibile nel supporto del prodotto.
8.11 Panoramica della protezione dei dati della piattaforma BI
Gli amministratori dei sistemi della piattaforma BI gestiscono il modo in cui i dati sensibili vengono
protetti mediante:
•
•
Un'impostazione di protezione a livello di cluster che determina quali applicazioni e quali client
possono accedere al server CMS. Questa impostazione viene gestita attraverso Central Configuration
Manager.
Un sistema di crittografia a due chiavi che controlla sia l'accesso al repository CMS sia le chiavi
utilizzate per crittografare/decrittare gli oggetti all'interno del repository. L'accesso al repository CMS
viene impostato tramite Central Configuration Manager, mentre la console CMC utilizza un'area di
gestione dedicata per le chiavi di crittografia.
Queste funzionalità consentono agli amministratori di impostare le distribuzioni della piattaforma BI su
particolari livelli di conformità con la protezione dei dati e di gestire le chiavi di crittografia per crittografare
i dati nel repository CMS.
8.11.1 Modalità di protezione dell'elaborazione dei dati
La piattaforma BI può operare in due modalità di protezione dell'elaborazione dei dati:
•
•
La modalità di protezione dell'elaborazione dei dati predefinita. In alcune istanze, i sistemi eseguiti
in questa modalità utilizzano chiavi di crittografia hardcoded e non seguono uno standard specifico.
La modalità predefinita consente la compatibilità retroattiva con le versioni precedenti degli strumenti
client e delle applicazioni della piattaforma BI.
Una modalità di protezione dei dati il cui scopo è assicurare la conformità con le linee guida stabilite
dallo standard FIPS (Federal Information Processing Standard), in particolare FIPS 140-2. In questa
modalità, gli algoritmi e i moduli di crittografia conformi a FIPS vengono utilizzati per proteggere i
dati sensibili. Quando la piattaforma viene eseguita in modalità conforme a FIPS, tutti gli strumenti
client e le applicazioni non conformi alle linee guida FIPS vengono automaticamente disabilitati. Le
applicazioni e gli strumenti client della piattaforma sono conformi allo standard FIPS 140-2. Le
applicazioni e i client più datati non funzioneranno se la piattaforma BI viene eseguita in modalità
conforme a FIPS.
La modalità di elaborazione dei dati è trasparente per gli utenti del sistema. In entrambe le modalità di
protezione dell'elaborazione dei dati, i dati più importanti vengono crittografati e decrittati in background
da un modulo di crittografia interno.
Si consiglia di utilizzare la modalità conforme a FIPS nelle seguenti circostanze:
•
168
La distribuzione della piattaforma BI non deve necessariamente utilizzare o interagire con strumenti
client o applicazioni precedenti della piattaforma BI.
2013-09-19
Protezione della piattaforma BI
•
•
Gli standard dell'organizzazione relativi all'elaborazione dei dati vietano l'utilizzo delle chiavi di
crittografia hardcoded.
L'organizzazione deve proteggere i dati sensibili in base alle norme dello standard FIPS 140-2.
La modalità di protezione dell'elaborazione dei dati è impostata tramite Central Configuration Manager
su entrambe le piattaforme Windows e UNIX. Ogni nodo di un ambiente in cluster deve essere impostato
nello stesso modo.
8.11.1.1 Attivazione della modalità conforme a FIPS in Windows
Per impostazione predefinita, la modalità conforme a FIPS viene disattivata dopo l'installazione della
piattaforma BI. È tuttavia possibile attivare la conformità FIPS per tutti i nodi della distribuzione.
1. Per avviare CCM, fare clic su Programmi > SAP Business Intelligence > Piattaforma SAP
BusinessObjects BI 4 > Central Configuration Manager.
2. In CCM fare clic con il pulsante destro del mouse su Server Intelligence Agent (SIA) e scegliere
Arresta.
Avvertenza:
Non procedere con il passaggio 3 fino a quando lo stato SIA non è contrassegnato come Interrotto.
3. Fare clic con il pulsante destro del mouse sul SIA e scegliere Proprietà.
La finestra di dialogo "Proprietà" viene visualizzata con la scheda Proprietà.
4. Aggiungere -fips al campo Comando e fare clic su Applica.
5. Fare clic su OK per chiudere la finestra di dialogo "Proprietà".
6. Riavviare il SIA.
L'agente SIA ora funziona in modalità conforme a FIPS.
L'impostazione conforme a FIPS deve essere attivata per tutti i SIA della distribuzione della piattaforma
BI.
8.11.1.2 Attivazione della modalità conforme a FIPS in UNIX
È necessario arrestare tutti i nodi della distribuzione della piattaforma BI prima di tentare la procedura
seguente.
Per impostazione predefinita, la modalità conforme a FIPS viene disattivata dopo l'installazione della
piattaforma BI. Utilizzare le istruzioni riportate di seguito per attivare l'impostazione conforme a FIPS
per tutti i nodi della distribuzione.
1. Dalla directory DIRINSTALL/sap_bobj aprire il file ccm.config per la modifica.
2. Aggiungere -fips al parametro del comando di avvio del nodo.
169
2013-09-19
Protezione della piattaforma BI
Il parametro del comando di avvio del nodo viene visualizzato nel formato: NOMENODOLAUNCH. Ad
esempio per un nodo denominato “SAP”, il parametro del comando di avvio è SAPLAUNCH.
3. Salvare le modifiche e uscire.
4. Riavviare il nodo.
Il nodo ora funziona in modalità conforme a FIPS.
L'impostazione conforme a FIPS deve essere attivata per tutti i nodi della distribuzione della piattaforma
BI.
8.11.1.3 Disattivazione della modalità conforme a FIPS in Windows
Tutti i server della distribuzione della piattaforma BI devono essere interrotti prima di tentare la procedura
seguente.
Se la distribuzione viene eseguita in modalità conforme a FIPS, utilizzare le istruzioni che seguono per
disattivare l'impostazione.
1. In CCM, fare clic con il pulsante destro del mouse su Server Intelligence Agent (SIA) e scegliere
Arresta.
Avvertenza:
non passare alla fase 2 prima che lo stato del nodo venga contrassegnato come "Interrotto".
2. Fare clic con il pulsante destro del mouse su SIA e scegliere Proprietà.
Viene visualizzata la finestra di dialogo "Proprietà", con la scheda Proprietà visualizzata.
3. Rimuovere -fips dal campo "Comando" e fare clic su Applica.
4. Fare clic su OK per chiudere la finestra di dialogo "Proprietà".
5. Riavviare il SIA.
8.12 Crittografia nella piattaforma BI
Dati sensibili
Lo scopo della crittografia della piattaforma BI è proteggere i dati più importanti archiviati nel repository
CMS. Tali dati includono le credenziali utente, le informazioni relative alla connettività delle origini dati
e qualsiasi altro tipo di oggetto in cui sono memorizzate delle password. I dati vengono crittografati per
garantire la privacy e la protezione da eventuali danni, nonché per la gestione del controllo dell'accesso.
Tutte le risorse di crittografia necessarie, compresi il modulo di crittografia e le librerie RSA, vengono
installate per impostazione predefinita in ogni distribuzione della piattaforma BI.
La piattaforma BI utilizza un sistema di crittografia a due chiavi.
170
2013-09-19
Protezione della piattaforma BI
Chiavi di crittografia
La crittografia e la decrittazione dei dati sensibili vengono gestite in background tramite l'SDK, che
interagisce con il modulo di crittografia interno. Gli amministratori del sistema gestiscono la protezione
dei dati tramite chiavi di crittografia simmetriche senza crittografare o decrittare direttamente i blocchi
di dati specifici.
Nella piattaforma BI, per crittografare/decrittare i dati sensibili vengono utilizzate chiavi di crittografia
simmetriche. La console CMC dispone di un'area di gestione dedicata per le chiavi di crittografia.
Utilizzare le "chiavi di crittografia" per visualizzare, generare, disattivare, revocare ed eliminare le chiavi.
Il sistema assicura che qualsiasi chiave richiesta per decrittare i dati sensibili non possa essere eliminata.
Chiavi cluster
Le chiavi cluster sono chiavi di wrapping delle chiavi simmetriche che proteggono le chiavi di crittografia
archiviate nel repository CMS. Utilizzando gli algoritmi delle chiavi simmetriche, le chiavi cluster
mantengono un livello di controllo dell'accesso al repository CMS. A ogni nodo nella piattaforma BI
viene assegnata una chiave cluster durante il processo di installazione. Gli amministratori del sistema
possono utilizzare CCM per reimpostare la chiave cluster.
8.12.1 Utilizzo delle chiavi cluster
Durante la configurazione dell'installazione per la piattaforma BI, viene creata una chiave cluster di otto
caratteri per l'agente SIA (Server Intelligence Agent). Tale chiave viene utilizzata per crittografare tutte
le chiavi di crittografia nel repository CMS. Senza la chiave cluster corretta non è possibile accedere
al server CMS.
La chiave cluster viene archiviata in formato crittografato in un file dbinfo. Per il nome del file dbinfo
si segue questa convenzione: _boe_<nome_sia>.dbinfo, in cui <nome_sia> è il nome di Server
Intelligence Agent per il cluster.
In Windows il file è archiviato nella directory seguente: <DIRINSTALLAZ>\SAP BusinessObjects
Enterprise XI 4.0\win64_x64.
Nei sistemi Unix il file viene archiviato nella directory della piattaforma in <DIRINSTAL
LAZ>/sap_bobj/enterprise_xi40/:
171
2013-09-19
Protezione della piattaforma BI
Piattaforma Unix
Directory della piattaforma
AIX
<DIRINSTALL>/sap_bobj/enterprise_xi40/aix_rs6000_64
/
Solaris
<DIRINSTALL>/sap_bobj/enterprise_xi40/solaris_spar
cv9/
Linux
<DIRINSTALL>/sap_bobj/enterprise_xi40/linux_x64/
Nota:
La chiave cluster per un determinato nodo non può essere recuperata dal file dbinfo. Si consiglia agli
amministratori del sistema di adottare con estrema precisione e attenzione le misure necessarie per
proteggere le chiavi cluster.
Solo gli utenti con privilegi amministrativi possono reimpostare le chiavi cluster. Se richiesto, utilizzare
CCM per reimpostare la chiave cluster per ogni nodo della distribuzione. Le nuove chiavi cluster vengono
automaticamente utilizzate per il wrapping delle chiavi di crittografia presenti nel repository CMS.
8.12.1.1 Reimpostazione della chiave cluster in Windows
Prima di reimpostare la chiave cluster per il nodo, assicurarsi che tutti i server gestiti dall'agente SIA
risultino interrotti.
1. Per avviare CCM, passare a Programmi > SAP Business Intelligence > Piattaforma SAP
BusinessObjects BI 4 > Central Configuration Manager.
2. In CCM fare clic con il pulsante destro del mouse su Server Intelligence Agent (SIA) e scegliere
Arresta.
Avvertenza:
Non procedere con il passaggio 3 fino a quando lo stato SIA non è contrassegnato come Interrotto.
3. Fare clic con il pulsante destro del mouse su Server Intelligence Agent (SIA) e scegliere Proprietà.
Viene visualizzata la finestra di dialogo "Proprietà".
4. Fare clic sulla scheda Configurazione.
5. Fare clic su Modifica in "Configurazione chiave cluster CMS".
Viene visualizzato un messaggio di avviso.
6. Fare clic su Sì per continuare.
Viene visualizzata la finestra di dialogo "Modifica chiave cluster".
7. Immettere la stessa chiave di otto caratteri nei campi Nuova chiave cluster e Conferma nuova
chiave cluster.
172
2013-09-19
Protezione della piattaforma BI
Nota:
in Windows, le chiavi cluster devono contenere una combinazione di caratteri maiuscoli e minuscoli.
In alternativa, gli utenti possono anche generare una chiave casuale, che risulta necessaria per la
conformità a FIPS.
8. Fare clic su OK per inviare la nuova chiave cluster al sistema.
Viene visualizzato un messaggio che conferma che la chiave cluster è stata reimpostata
correttamente.
9. Riavviare il SIA.
In un cluster a più nodi, è necessario reimpostare le chiavi cluster per tutti gli agenti SIA della distribuzione
della piattaforma BI sulla nuova chiave.
8.12.1.2 Reimpostazione della chiave cluster in UNIX
Prima di reimpostare la chiave cluster per un nodo, assicurarsi che tutti i server gestiti dal nodo siano
stati interrotti.
1. Passare alla directory <DIRINSTALLAZ>/sap_bobj.
2. Digitare ./cmsdbsetup.sh e premere Invio.
Verrà visualizzata la schermata "Informazioni sul database CMS".
3. Digitare il nome del nodo e premere Invio.
4. Digitare 2 per modificare la chiave cluster.
Viene visualizzato un messaggio di avviso.
5. Selezionare Sì per continuare.
6. Digitare nel campo visualizzato una nuova chiave cluster di otto caratteri e premere Invio.
Nota:
Sulle piattaforme UNIX, una chiave cluster valida contiene qualsiasi combinazione di otto caratteri
senza restrizioni.
7. Immettere nuovamente la nuova chiave cluster nel campo visualizzato e premere Invio.
Viene visualizzato un messaggio che indica che la chiave cluster è stata correttamente reimpostata.
8. Riavviare il nodo.
È necessario reimpostare tutti i nodi nella distribuzione della piattaforma BI per utilizzare la stessa
chiave cluster.
173
2013-09-19
Protezione della piattaforma BI
8.12.2 Responsabili crittografia
Per gestire le chiavi di crittografia nella console CMC è necessario essere membri del gruppo
Responsabili crittografia. L'account Administrator predefinito creato per la piattaforma BI è anche
membro del gruppo Responsabili crittografia. Utilizzare questo account per aggiungere utenti al gruppo
Responsabili crittografia secondo le esigenze. Si consiglia di limitare il numero di utenti a cui viene
concessa l'appartenenza al gruppo.
Nota:
quando gli utenti vengono aggiunti al gruppo Amministratori, non ereditano i diritti richiesti per eseguire
attività di gestione per le chiavi di crittografia.
8.12.2.1 Aggiunta di un utente al gruppo Responsabili crittografia
Per aggiungere un account utente al gruppo Responsabili crittografia, è necessario che l'account esista
nella piattaforma BI.
Nota:
Per poter aggiungere un utente al gruppo Responsabili crittografia, è necessario essere membro sia
del gruppo Amministratori sia del gruppo Responsabili crittografia.
1. Nell'area di gestione "Utenti e gruppi" della console CMC, selezionare il gruppo Responsabili
crittografia .
2. Scegliere Azioni > Aggiungi membri al gruppo.
Viene visualizzata la finestra di dialogo "Aggiungi".
3. Fare clic su Elenco utenti.
L'elenco Utenti o gruppi disponibili viene aggiornato e vengono visualizzati tutti gli account utente
del sistema.
4. Spostare l'account utente che si desidera aggiungere al gruppo Responsabili crittografia dall'elenco
Utenti o gruppi disponibili all'elenco Utenti o gruppi selezionati.
Suggerimento:
per cercare un utente specifico, utilizzare il campo di ricerca.
5. Fare clic su OK.
Come membro del gruppo Responsabili crittografia, l'account appena aggiunto potrà accedere all'area
di gestione "Chiavi di crittografia" della console CMC.
174
2013-09-19
Protezione della piattaforma BI
8.12.2.2 Visualizzazione delle chiavi di crittografia in CMC
L'applicazione CMC contiene un'area di gestione dedicata per le chiavi di crittografia utilizzate dal
sistema della piattaforma BI. L'accesso a tale area è riservato ai membri del gruppo Responsabili
crittografia.
1. Per avviare la CMC, fare clic su Programmi > SAP Business Intelligence > Piattaforma SAP
BusinessObjects BI 4 > Central Management Console della piattaforma SAP BusinessObjects
BI.
Viene visualizzata la home page della CMC.
2. Fare clic sulla scheda Chiavi di crittografia.
Viene visualizzata l'area di gestione "Chiavi di crittografia".
3. Fare doppio clic sulla chiave di crittografia per cui si richiedono ulteriori dettagli.
Argomenti correlati
• Visualizzazione di oggetti associati a una chiave di crittografia
8.12.3 Gestione delle chiavi di crittografia in CMC
I responsabili della crittografia utilizzano l'area di gestione "Chiavi di crittografia" per esaminare, generare,
disattivare, revocare ed eliminare le chiavi utilizzate per proteggere i dati sensibili archiviati nel repository
CMS.
Tutte le chiavi di crittografia attualmente definite nel sistema vengono elencate nell'area di gestione
"Chiavi di crittografia". Le informazioni di base per ogni chiave vengono fornite sotto le intestazioni
descritte nella tabella seguente:
Intestazione
Descrizione
Titolo
Nome che identifica la chiave di crittografia
Stato
Stato corrente della chiave
Ultima modifica stato Indicatore di data e ora relativo all'ultima modifica associata alla chiave di crittografia
Oggetti
Numero di oggetti associati alla chiave
Argomenti correlati
• Stato delle chiavi di crittografia
175
2013-09-19
Protezione della piattaforma BI
• Creazione di una nuova chiave di crittografia
• Eliminazione di una chiave di crittografia dal sistema
• Revoca di una chiave di crittografia
• Visualizzazione di oggetti associati a una chiave di crittografia
• Contrassegno delle chiavi di crittografia come compromesse
8.12.3.1 Stato delle chiavi di crittografia
Nella tabella che segue vengono indicate tutte le opzioni possibili dello stato delle chiavi di crittografia
nella piattaforma BI:
176
Stato
Descrizione
Active
È possibile designare come "Attiva" solo una chiave di crittografia del
sistema. Tale chiave viene utilizzata per la crittografia dei dati sensibili
che verranno archiviati nel database CMS. La chiave viene utilizzata
anche per la decrittazione di tutti gli oggetti che appaiono nell'Elenco
degli oggetti. Una volta creata una nuova chiave di crittografia, lo stato
"Attiva" diventa "Disattivato". Una chiave attiva non può essere eliminata
dal sistema.
Disattivata
Una chiave "disattivata" non può più essere utilizzata per la crittografia
dei dati. Può comunque essere utilizzata per decrittare tutti gli oggetti
che appaiono nell'elenco di oggetti. Non è possibile riattivare una chiave
se è stata disattivata. Una chiave contrassegnata come "disattivata" non
può essere eliminata dal sistema. Per eliminare una chiave, è necessario
prima contrassegnarla come "revocata".
Compromesso
Una chiave di crittografia che si ritiene non protetta può essere contrassegnata come compromessa. Contrassegnando una chiave di questo
tipo, in un secondo tempo sarà possibile crittografare di nuovo gli oggetti
di dati ancora associati alla chiave. Una volta contrassegnata una chiave
come compromessa, sarà necessario revocarla per poterla eliminare dal
sistema..
Revocato
Quando una chiave di crittografia viene revocata, viene avviato un processo in cui tutti gli oggetti attualmente associati alla chiave vengono
nuovamente crittografati con la chiave di crittografia "Attiva" corrente.
Una volta revocata, una chiave può essere eliminata dal sistema senza
problemi. Il meccanismo di revoca assicura che i dati presenti nel database CMS possano essere decrittati. Non è possibile riattivare in alcun
modo una chiave revocata.
2013-09-19
Protezione della piattaforma BI
Stato
Descrizione
Disattivato: nuova crittogra- Indica che la chiave di crittografia è in fase di revoca. Al termine del
fia in corso
processo, la chiave verrà contrassegnata con "Revocato".
Disattivato: nuova crittogra- Indica che il processo di revoca di una chiave di crittografia è stato sosfia sospesa
peso. Ciò normalmente accade se il processo viene esplicitamente sospeso o se un oggetto dati associato alla chiave non è disponibile.
Revocato-Compromesso
Si assegna a una chiave il flag Revocato-Compromesso se la chiave è
stata contrassegnata come compromessa e tutti i dati in precedenza
associati ad essa sono stati crittografati con un'altra chiave. Quando una
chiave "disattivata" viene contrassegnata come compromessa, è possibile
non intraprendere alcuna azione o revocare la chiave. Una volta revocata,
la chiave compromessa può essere eliminata.
8.12.3.2 Visualizzazione di oggetti associati a una chiave di crittografia
1. Selezionare la chiave nell'area di gestione "Chiavi di crittografia" della console CMC.
2. Fare clic su Gestisci > Proprietà.
Viene visualizzata la finestra di dialogo "Proprietà" della chiave di crittografia.
3. Fare clic su "Elenco di oggetti" nel riquadro di spostamento a sinistra nella finestra di dialogo
"Proprietà".
Tutti gli oggetti associati alla chiave di crittografia sono elencati a destra nel riquadro di spostamento.
Suggerimento:
utilizzare le funzioni di ricerca per cercare un oggetto specifico.
8.12.3.3 Creazione di una nuova chiave di crittografia
Avvertenza:
Quando si crea una nuova chiave di crittografia, il sistema disattiva automaticamente la chiave
attualmente "attiva". Una volta disattivata, una chiave non può più essere ripristinata come chiave
"attiva".
1. Nell'area di gestione "Chiavi di crittografia" della console CMC, fare clic su Gestisci > Nuovo >
Chiave di crittografia.
Viene visualizzata la finestra di dialogo "Crea nuova chiave di crittografia".
2. Fare clic su Continua per creare la nuova chiave di crittografia.
177
2013-09-19
Protezione della piattaforma BI
3. Digitare il nome e una descrizione della nuova chiave di crittografia, quindi fare clic su OK per salvare
le informazioni.
La nuova chiave viene indicata come unica chiave attiva nell'area di gestione "Chiavi di crittografia".
La chiave "attiva" precedente è ora contrassegnata come "disattivata".
Tutti i nuovi dati sensibili generati e archiviati nel database CMS vengono crittografati con la nuova
chiave di crittografia. È possibile revocare la chiave precedente e crittografare nuovamente gli oggetti
dati utilizzando la nuova chiave attiva.
8.12.3.4 Contrassegno delle chiavi di crittografia come compromesse
È possibile contrassegnare una chiave di crittografia come compromessa se per qualche motivo la
chiave non viene più considerata sicura. L'operazione è utile ai fini del rilevamento dei dati ed è possibile
procedere all'identificazione degli oggetti dati associati alla chiave. Una chiave di crittografia deve
essere disattivata per poter essere contrassegnata come compromessa.
Nota:
è inoltre possibile contrassegnare una chiave come compromessa dopo la revoca.
1. Passare all'area di gestione "Chiavi di crittografia" della CMC.
2. Selezionare la chiave di crittografia da contrassegnare come compromessa.
3. Fare clic su Azioni > Contrassegna come compromessa.
Viene visualizzata la finestra di dialogo "Contrassegna come compromessa".
4. Fare clic su Continua.
5. Selezionare una delle opzioni seguenti dalla finestra di dialogo "Contrassegna come compromessa":
• Sì: avvia il processo per crittografare nuovamente tutti gli oggetti dati associati alla chiave
compromessa.
• No: la finestra di dialogo "Contrassegna come compromessa" viene chiusa e la chiave di
crittografia viene contrassegnata come "compromessa" nell'area di gestione "Chiavi di crittografia".
Nota:
se si seleziona No, i dati sensibili continueranno a essere associati alla chiave compromessa.
La chiave compromessa verrà utilizzata dal sistema per decrittare gli oggetti associati.
Argomenti correlati
• Revoca di una chiave di crittografia
• Stato delle chiavi di crittografia
• Visualizzazione di oggetti associati a una chiave di crittografia
178
2013-09-19
Protezione della piattaforma BI
8.12.3.5 Revoca di una chiave di crittografia
Una chiave di crittografia disattivata può comunque essere utilizzata dagli oggetti dati associati alla
stessa. Per interrompere l'associazione tra gli oggetti crittografati e la chiave disattivata, è necessario
revocare la chiave.
1. Selezionare la chiave da revocare dall'elenco di chiavi dell'area di gestione "Chiavi di crittografia ".
2. Fare clic su Azioni > Revoca.
Viene visualizzata la finestra di dialogo "Revoca".
3. Fare clic su OK.
Viene avviato un processo per crittografare tutti gli oggetti della chiave in base alla chiave attiva
corrente. Se la chiave è associata a molti oggetti dati, verrà contrassegnata come "Disattivato: nuova
crittografia in corso" finché il processo di crittografia non viene completato.
Una volta revocata, la chiave di crittografia può essere rimossa dal sistema senza alcun problema,
poiché non vi sono oggetti dati sensibili che richiedono la chiave per la decrittazione.
8.12.3.6 Eliminazione di una chiave di crittografia dal sistema
Prima di eliminare una chiave di crittografia dalla piattaforma BI, è necessario verificare che nessun
oggetto dati presente nel sistema la richieda. Tale restrizione assicura che tutti i dati sensibili archiviati
nel repository CMS possano sempre essere decrittati.
Dopo avere revocato correttamente una chiave di crittografia, utilizzare le istruzioni seguenti per eliminare
la chiave dal sistema.
1. Passare all'area di gestione "Chiavi di crittografia" della CMC.
2. Selezionare la chiave di crittografia da eliminare.
3. Scegliere Gestisci > Elimina.
Viene visualizzata la finestra di dialogo "Elimina".
4. Fare clic su Elimina per rimuovere la chiave di crittografia dal sistema.
La chiave eliminata non è più visualizzata nell'area di gestione "Chiavi di crittografia" della CMC.
Nota:
Una volta eliminata dal sistema, la chiave di crittografia non può più essere ripristinata.
Argomenti correlati
• Revoca di una chiave di crittografia
• Stato delle chiavi di crittografia
179
2013-09-19
Protezione della piattaforma BI
8.13 Configurazione dei server per SSL
È possibile utilizzare il protocollo Secure Sockets Layer (SSL) per tutte le comunicazioni di rete tra
client e server presenti nella distribuzione della piattaforma BI.
Per impostare SSL per tutte le comunicazioni server è necessario procedere come segue:
•
•
•
•
Distribuire la piattaforma BI con il protocollo SSL abilitato.
Creare file di chiavi e certificati per ogni computer della distribuzione.
Configurare la posizione di questi file nel Central Configuration Manager (CCM) e nel server delle
applicazioni Web.
In alternativa, configurare SSL per i certificati che vengono gestiti da un'autorità di certificazione.
Nota:
Se si utilizzano thick client, ad esempio Crystal Reports, e si prevede di utilizzarli per la connessione
al CMS, sarà anche necessario configurare tali client per SSL. In caso contrario, si riceverà un messaggio
di errore se si tenta di connettersi a un CMS configurato per SSL da un thick client con una configurazione
diversa.
8.13.1 Creazione di file di chiavi e certificati
Per impostare il protocollo SSL per la comunicazione del server, utilizzare lo strumento da riga di
comando SSLC per creare un file di chiavi e un file di certificato per ciascun computer della distribuzione.
Nota:
•
•
•
è necessario creare certificati e chiavi per tutti i computer nella distribuzione in rete, inclusi quelli su
cui sono installati componenti "thick client" come, ad esempio, Crystal Reports. Per i computer client
utilizzare lo strumento da riga di comando sslconfig per eseguire la configurazione.
per ottenere la massima protezione, tutte le chiave private devono essere protette e non possono
essere trasferite utilizzando canali di comunicazione non protetti.
I certificati creati per le versioni precedenti della piattaforma BI non funzioneranno per la piattaforma
SAP BusinessObjects Business Intelligence 4.0. Sarà necessario ricreare tali certificati.
8.13.1.1 Per creare file di chiavi e certificati per un computer
1. Eseguire lo strumento da riga di comando sslc.
180
2013-09-19
Protezione della piattaforma BI
Lo strumento SSLC viene installato con il software della piattaforma BI. Ad esempio, in Windows
viene installato per impostazione predefinita in <DIRINSTALLAZ>\SAP BusinessObjects
Enterprise XI 4.0\win64_x64.)
2. Immettere il comando seguente:
sslc req -config sslc.cnf -new -out cacert.req
Questo comando crea due file, una richiesta di certificazione di un'autorità di certificazione (ca
cert.req) e una chiave privata (privkey.pem).
3. Per decrittografare la chiave privata, immettere il seguente comando:
sslc rsa -in privkey.pem -out cakey.pem
Questo comando crea la chiave decrittografata cakey.pem.
4. Per firmare il certificato CA, immettere il seguente comando:
sslc x509 -in cacert.req -out cacert.pem -req -signkey cakey.pem -days
365
Questo comando crea un certificato a firma automatica, cacert.pem, che scade dopo 365 giorni.
Scegliere il numero di giorni adatto alle esigenze di protezione specifiche.
5. Utilizzando un editor di testo, aprire il file sslc.cnf, disponibile nella stessa cartella dello strumento
da riga di comando SSLC.
Nota:
È necessario utilizzare un editor di testo per Windows in quanto Windows Explorer potrebbe non
riconoscere e visualizzare correttamente i file con estensione .cnf.
6. Eseguire le operazioni seguenti, in base alle impostazioni del file sslc.cnf:
a. Posizionare i file cakey.pem e cacert.pem nelle directory specificate dalle opzioni certifi
cate e private_key del file sslc.cnf. Per impostazione predefinita, le impostazioni nel file
sslc.cnf sono:
certificate = $dir/cacert.pem
private_key = $dir/private/cakey.pem
b. Creare il file con il nome specificato dall'impostazione database del file sslc.cnf.
Nota:
Per impostazione predefinita, il file si chiama $dir/index.txt e deve essere vuoto.
c. Creare il file con il nome specificato dall'impostazione seriale del file sslc.cnf.
Tale file deve fornire un numero di serie con una stringa di ottetti (in formato esadecimale).
Nota:
per accertarsi di poter creare e firmare più certificati, scegliere un numero esadecimale alto con
un numero pari di cifre, ad esempio 11111111111111111111111111111111.
d. Creare la directory specificata dall'impostazione new_certs_dir del file sslc.cnf.
7. Per creare una richiesta di certificato e una chiave privata, immettere il seguente comando:
sslc req -config sslc.cnf -new -out servercert.req
I file dei certificati e delle chiavi che sono stati generati si trovano nella cartella di lavoro corrente.
181
2013-09-19
Protezione della piattaforma BI
8. Per decrittografare la chiave nel file privkey.pem, immettere il seguente comando:
sslc rsa -in privkey.pem -out server.key
9. Per firmare il certificato con il certificato CA, immettere il seguente comando:
sslc ca -config sslc.cnf -days 365 -out servercert.pem -in servercert.req
Questo comando crea il file servercert.pem, che contiene il certificato firmato.
10. Utilizzare i comandi seguenti per convertire i certificati in certificati DER codificati:
sslc x509 -in cacert.pem -out cacert.der -outform DER
sslc x509 -in servercert.pem -out servercert.der -outform DER
Nota:
È necessario generare il certificato CA (cacert.der) e la relativa chiave privata (cakey.pem) una
sola volta per ciascuna distribuzione. Tutti i computer nella stessa distribuzione condividono gli
stessi certificati CA. Tutti gli altri certificati devono essere firmati tramite la chiave privata di un
qualsiasi certificato CA.
11. Creare un file di testo (passphrase.txt) per memorizzare la password lunga di testo normale
utilizzata per decrittare la chiave privata generata.
12. Archiviare i seguenti file di chiavi e certificati in un luogo sicuro (nella stessa directory) accessibile
dai computer della distribuzione della piattaforma BI:
• Il file del certificato attendibile (cacert.der)
•
Il file del certificato del server generato (servercert.der)
•
Il file della chiave del server (server.key)
•
Il file della passphrase (passphrase.txt)
Questa posizione sarà utilizzata per configurare il protocollo SSL per il CCM e il server delle
applicazioni Web.
8.13.2 Impostazione di SSL quando il certificato viene gestito da un'autorità di
certificazione
Quando si imposta SSL per le comunicazioni con i server, attenersi alla procedura che segue se il
certificato è gestito da un'autorità di certificazione.
1. Esportare il certificato desiderato con la chiave privata nel formato PKCS #12 (.PFX).
Il file verrà utilizzato come certificato per l'autorità di certificazione.
2. Utilizzando OpenSSL, eseguire i comandi seguenti:
a. Esportare il file della chiave privata dal file .pfx:
openssl pkcs12 -in filename.pfx -nocerts -out privkey.pem
182
2013-09-19
Protezione della piattaforma BI
b. Esportare il file di certificato dal file .pfx:
openssl pkcs12 -in filename.pfx -clcerts -nokeys -out cacert.pem
c. Rimuovere la passphrase dalla chiave privata:
openssl rsa -in privkey.pem -out cakey.pem
3. Impostare alcuni file richiesti:
• Copiare il file cakey.pem in C:\SSL\private\cakey.pem.
• Copiare il file cacert.pem in C:\SSL\cacert.pem.
• Creare un file di testo vuoto (un file di indice di database) denominato index.txt nella cartella
C:\SSL.
• Creare un altro file di testo: C:\SSL\serial.
• Aprire il file C:\SSL\serial in un editor di testo, digitare il valore seguente e salvare il file:
11111111111111111111
4. In un editor di testo aprire il file C:\Programmi (x86)\SAP BusinessObjects\SAP
BusinessObjects Enterprise XI 4.0\win32_x86\sslc.cnf.
Scegliere una delle opzioni seguenti:
• Modificare il valore della variabile policy in policy_anything. Questa modifica consente di
creare un certificato server che non presenta le stesse policy del certificato dell'autorità di
certificazione.
• In alternativa, mantenere inalterato il valore della variabile policy come policy_match. Questo
forzerà la presenza nel certificato server delle stesse policy del certificato dell'autorità di
certificazione. In questo caso, potrebbe essere necessario modificare le proprietà req_distin
guished_name nel modo appropriato.
5. Creare una richiesta di certificato e una chiave privata.
In un prompt dei comandi eseguire il comando seguente:
sslc req -config sslc.cnf -new -out servercert.req
Nota:
•
•
•
•
Per passphrase PEM, digitare una password con almeno quattro caratteri.
Per Common Name, digitare il nome di dominio completo del computer sul quale sono in
esecuzione i server della piattaforma BI.
Il file servercert.req viene creato in C:\Programmi (x86)\SAP BusinessObjects\SAP
BusinessObjects Enterprise XI 4.0\win32_x86.
I file .rnd e privkey.pem vengono modificati.
6. Decrittografare la chiave privata.
sslc rsa -in privkey.pem -out server.key
7. Firmare il certificato.
sslc ca -config sslc.cnf -days 365 -out servercert.pem -in servercert.req
Nota:
•
183
Il file servercert.pem viene creato in C:\Programmi (x86)\SAP BusinessObjects\SAP
BusinessObjects Enterprise XI 4.0\win32_x86.
2013-09-19
Protezione della piattaforma BI
•
•
•
Il file 11111111111111111111.pem viene creato in C:\SSL\newcerts.
Viene creato un backup del file serial, denominato serial.old.
Il valore di serial viene incremento da 11111111111111111111 a 11111111111111111112.
8. Convertire i certificati utilizzando la codifica DER.
Eseguire i comandi seguenti:
sslc x509 -in cacert.pem -out cacert.der -outform DER
sslc x509 -in servercert.pem -out servercert.der -outform DER
Nota:
•
•
Il file servercert.der viene creato in C:\Programmi (x86)\SAP BusinessObjects\SAP
BusinessObjects Enterprise XI 4.0\win32_x86.
Il file cacert.der viene creato in C:\Programmi (x86)\SAP BusinessObjects\SAP
BusinessObjects Enterprise XI 4.0\win32_x86.
9. Creare un file di testo denominato passphrase.txt.
Il contenuto del file deve essere la passphrase PEM utilizzata in precedenza.
10. Archiviare i seguenti file in una posizione sicura, ad esempio C:\SSLCerts.
•
il file del certificato attendibile cacert.der
•
il file del certificato del server generato servercert.der
•
il file della chiave del server server.key
•
il file della passphrase passphrase.txt
8.13.3 Configurazione del protocollo SSL
Dopo aver creato le chiavi e i certificati per ciascuna macchina nella distribuzione e averli memorizzati
in una posizione sicura, è necessario indicare al Central Configuration Manager (CCM) e al server delle
applicazioni Web tale posizione.
È inoltre necessario effettuare operazioni specifiche per configurare il protocollo SSL per il server di
applicazioni Web e per qualsiasi computer che esegua un'applicazione thick client.
8.13.3.1 Per configurare il protocollo SSL nel CCM
1. In CCM, fare clic con il pulsante destro del mouse su Server Intelligence Agent e scegliere Proprietà.
2. Nella finestra di dialogo Proprietà, fare clic sulla scheda Protocollo.
3. Verificare che l'opzione Abilita SSL sia selezionata.
4. Fornire il percorso dei file per la directory in cui sono stati memorizzati i file delle chiavi e dei certificati.
184
2013-09-19
Protezione della piattaforma BI
Campo
Descrizione
Cartella certificati SSL
Cartella in cui sono archiviati tutti i file e i certificati SSL richiesti, Ad
esempio:d:\ssl
File di certificato SSL server Nome del file utilizzato per archiviare il certificato SSL server; Per
impostazione predefinita,servercert.der
File dei certificati SSL atten- Nome del file con il certificato SSL attendibile; per impostazione predibili
definita cacert.der.
File chiave privata SSL
Nome del file della chiave privata SSL utilizzata per accedere al certificato. per impostazione predefinita server.key.
File della passphrase della Nome del file di testo contenente la passphrase utilizzata per accedere
chiave privata
alla chiave privata; per impostazione predefinita passphrase.txt.
Nota:
Verificare di indicare la directory per il computer sul quale è in esecuzione il server.
8.13.3.2 Configurazione del protocollo SSL in Unix
Per configurare il protocollo SSL per un SIA è necessario utilizzare lo script serverconfig.sh. Questo
script fornisce un programma basato su testo che consente di visualizzare informazioni sui server e di
aggiungere ed eliminare server dall'installazione. Lo script serverconfig.sh viene installato nella
directory sap_bobj dell'installazione.
1. Utilizzare lo script ccm.sh per interrompere il SIA e tutti i server SAP BusinessObjects.
2. Eseguire lo script serverconfig.sh.
3. Selezionare 3 - Modifica nodo e premere Invio.
4. Specificare il SIA di destinazione e premere Invio.
5. Selezionare 1 - Modifica configurazione SSL di Server Intelligence Agent.
6. Selezionare ssl.
Quando richiesto, specificare le posizioni dei certificati SSL.
7. Ripetere i passaggi da 1 a 6 per ogni SIA, se la distribuzione della piattaforma BI è un cluster SIA.
8. Avviare il SIA con lo script ccm.sh e attendere l'avvio dei server.
8.13.3.3 Per configurare il protocollo per il server delle applicazioni Web
185
2013-09-19
Protezione della piattaforma BI
1. Se si dispone di un server delle applicazioni Web J2EE, eseguire Java SDK con la seguente serie
di proprietà di sistema. Ad esempio:
-Dbusinessobjects.orb.oci.protocol=ssl -DcertDir=d:\ssl -DtrustedCert=cacert.der -DsslCert=clientcert.der
-DsslKey=client.key
-Dpassphrase=passphrase.txt
La tabella seguente mostra le descrizioni degli esempi riportati:
Esempio
Descrizione
DcertDir=d:\ssl
La directory in cui memorizzare tutti i certificati
e le chiavi.
DtrustedCert=cacert.der
File del certificato sicuro. Se si specificano più
file, utilizzare il punto e virgola come separatore.
DsslCert=clientcert.der
Certificato utilizzato dall'SDK.
DsslKey=client.key
Chiave privata del certificato SDK.
Dpassphrase=passphrase.txt
Il file che memorizza la passphrase per la chiave
privata.
2. Se si dispone di un server delle applicazioni Web IIS, eseguire lo strumento sslconfig dalla riga
di comando e seguire le fasi di configurazione.
8.13.3.4 Configurazione di thick client
Prima di eseguire la procedura descritta di seguito è necessario creare e salvare tutte le risorse SSL
richieste, ad esempio certificati e chiavi private, in una directory nota.
Nella procedura che segue si suppone che l'utente si sia attenuto alle istruzioni per la creazione delle
risorse SSL seguenti:
186
2013-09-19
Protezione della piattaforma BI
Risorsa SSL
Cartella certificati SSL
d:\ssl
Nome file di certificato SSL server
servercert.der
Nome file con certificato SSL attendibile o certificato radice
cacert.der
Nome file chiave privata SSL
server.key
File contenente la password lunga per l'accesso al file della chiave privata
SSL
passphrase.txt
Dopo aver creato le risorse elencate sopra, attenersi alle istruzioni riportate di seguito per configurare
applicazioni thick client come CCM (Central Configuration Manager) o lo strumento Upgrade Management
Tool.
1. Assicurarsi che l'applicazione thick client non sia in esecuzione.
Nota:
Verificare di indicare la directory per il computer sul quale è in esecuzione il server.
2. Eseguire lo strumento da riga di comando sslconfig.exe.
Lo strumento SSLC viene installato con il software della piattaforma BI. Ad esempio, in Windows
viene installato per impostazione predefinita in <DIRINSTALL>\SAP BusinessObjects
Enterprise XI 4.0\win64_x64.
3. Eseguire il seguente comando:
sslconfig.exe -dir d:\SSL -mycert servercert.der -rootcert cacert.der -mykey server.key
-passphrase passphrase.txt -protocol ssl
4. Riavviare l'applicazione thick client.
Argomenti correlati
• Per creare file di chiavi e certificati per un computer
8.13.3.4.1 Per configurare l'accesso SSL per Translation Management Tool
Per consentire agli utenti l'utilizzo dell'accesso SSL con Translation Management Tool, è necessario
aggiungere informazioni sulle risorse SSL al file di configurazione dello strumento (.ini).
1. Individuare il file TransMgr.ini nella directory seguente: DIRINSTALL\SAP BusinessObjects
Enterprise XI 4.0\win32_x86.
2. Utilizzando un editor di testo, aprire il file TransMgr.ini.
3. Aggiungere i parametri seguenti:
-Dbusinessobjects.orb.oci.protocol=ssl -DcertDir=D:\SSLCert
-DtrustedCert=cacert.der -DsslCert=servercert.der -DsslKey=server.key
-Dpassphrase=passphrase.txt -jar program.jar
4. Salvare il file e chiudere l'editor di testo.
Gli utenti possono ora utilizzare SSL per accedere allo strumento Translation Management Tool.
187
2013-09-19
Protezione della piattaforma BI
8.13.3.4.2 Configurazione di SSL per lo Strumento di conversione dei report
Prima di eseguire la procedura descritta di seguito è necessario creare e salvare tutte le risorse SSL
richieste, ad esempio certificati e chiavi private, in una directory nota. È inoltre necessario che lo
Strumento di conversione dei report venga installato durante la distribuzione della piattaforma BI.
Nella procedura che segue si suppone che l'utente si sia attenuto alle istruzioni per la creazione delle
risorse SSL seguenti:
Risorsa SSL
Cartella certificati SSL
d:\ssl
Nome file di certificato SSL server
servercert.der
Nome file con certificato SSL attendibile o certificato radice
cacert.der
Nome file chiave privata SSL
server.key
File contenente la password lunga per l'accesso al file della chiave privata
SSL
passphrase.txt
Dopo aver creato le risorse elencate sopra, attenersi alle istruzioni seguenti per configurare SSL per
l'utilizzo dello Strumento di conversione dei report.
1. Creare una variabile di ambiente Windows BOBJ_MIGRATION sul computer che ospita lo Strumento
di conversione dei report.
Suggerimento:
è possibile impostare tale variabile su qualsiasi valore.
2. Utilizzando un editor di testo, aprire il file migration.bat nella directory seguente:
<DIRINSTALL>\SAP BusinessObjects Enterprise XI 4.0\win32_x86\scripts\.
3. Individuare la riga seguente:
start "" "%JRE%\bin\javaw" -cp migration.jar;*
-Xmx512m -Xss10m com.bo.migration.MigrationTool
4. Aggiungere la sintassi seguente al parametro -Xss10m:
-Dbusinessobjects.orb.oci.protocol=ssl
-DcertDir=d:\ssl
-DtrustedCert=cacert.der
-DsslCert=servercert.der
-DsslKey=server.key
-Dpassphrase=passphrase.txt
-Dbusinessobjects.migration
Nota:
Verificare che ci sia uno spazio tra ogni parametro e nessuno spazio alla fine delle righe.
5. Salvare il file e chiudere l'editor di testo.
Gli utenti possono ora utilizzare SSL per accedere allo Strumento di conversione dei report.
Argomenti correlati
• Per creare file di chiavi e certificati per un computer
188
2013-09-19
Protezione della piattaforma BI
8.14 Informazioni sulla comunicazione tra componenti della piattaforma BI
Se la piattaforma BI viene interamente distribuita sulla stessa subnet protetta, non è necessario eseguire
configurazioni particolari dei firewall. È tuttavia possibile scegliere i distribuire alcuni componenti su
subnet diverse separate da uno o più firewall.
È importante comprendere la comunicazione tra server della piattaforma BI, rich client e il server di
applicazioni Web che ospita l'SDK di SAP BusinessObjects prima di configurare il sistema per l'utilizzo
dei firewall.
Argomenti correlati
• Configurazione della piattaforma BI per i firewall
• Esempi di scenari di firewall tipici
8.14.1 Panoramica dei server della piattaforma BI e delle porte di comunicazione
È importante comprendere i server della piattaforma BI e le relative porte di comunicazione se il sistema
viene distribuito con firewall.
8.14.1.1 Ogni server della piattaforma BI è associato a una porta di richiesta
Ogni server della piattaforma BI, ad esempio Input File Repository Server, è associato all'avvio a una
porta di richiesta. Altri componenti della piattaforma BI, tra cui server, rich client e l'SDK ospitato nel
server di applicazioni Web, possono utilizzare questa porta di richiesta per la comunicazione con il
server.
Un server selezionerà il relativo numero della porta di richiesta in modo dinamico, a meno che non
venga configurato per l'utilizzo di un numero di porta specifico. È necessario configurare manualmente
un numero di porta specifico per i server che comunicano con altri componenti della piattaforma BI
attraverso un firewall.
8.14.1.2 Ogni server della piattaforma BI viene registrato con il CMS
189
2013-09-19
Protezione della piattaforma BI
I server della piattaforma BI vengono registrati con il server CMS all'avvio. Quando un server viene
registrato, il server CMS registra:
•
•
Il nome host, o l'indirizzo IP, del computer host del server.
Il numero della porta di richiesta specifico del server.
8.14.1.3 Porte utilizzate dal server CMS
Il server CMS utilizza due porte: la porta richiesta e la porta del server dei nomi. La porta di richiesta
viene selezionata in modo dinamico per impostazione predefinita. La porta del server dei nomi è la
6400 per impostazione predefinita.
Tutti i server e le applicazioni client della piattaforma BI contatteranno inizialmente il server CMS sulla
relativa porta del server dei nomi. Il server CMS risponderà a questo contatto iniziale restituendo il
valore della relativa porta di richiesta. I server utilizzeranno questa porta richiesta per le comunicazioni
successive con il server CMS.
8.14.1.4 Directory del Central Management Server (CMS) di servizi registrati
Il server CMS fornisce una directory dei servizi per i quali è registrato. Altri componenti della piattaforma
BI, quali servizi Web, rich client e l'SDK ospitato nel server di applicazioni Web possono contattare il
server CMS e richiedere un riferimento a un determinato servizio. Un riferimento a un servizio contiene
il numero di porta richiesta del servizio, il nome host (o indirizzo IP) del computer host e l'ID del server.
I componenti della piattaforma BI potrebbero risiedere in una subnet diversa rispetto al server utilizzato.
Il nome host (o indirizzo IP) contenuto nel riferimento al servizio deve essere instradabile dal computer
del componente.
Nota:
il riferimento a un server della piattaforma BI contiene per impostazione predefinita il nome host del
computer server. Se un computer presenta più nomi host, viene scelto quello principale. È possibile
configurare un server affinché il relativo riferimento contenga l'indirizzo IP.
Argomenti correlati
• Comunicazione tra componenti della piattaforma BI
190
2013-09-19
Protezione della piattaforma BI
8.14.1.5 Gli agenti SIA comunicano con il server CMS
La distribuzione non funziona se l'agente SIA e il server CMS non possono comunicare tra loro. Verificare
che le porte del firewall siano configurate in modo da consentire la comunicazione tra tutti i SIA e tutti
i CMS nel cluster.
8.14.1.6 I processi secondari di Job Server comunicano con il livello dati e il
server CMS
La maggior parte dei Job Server creano un processo secondario per gestire un task come la generazione
di un report. Job Server crea uno o più processi secondari. Ogni processo secondario dispone di una
propria porta di richiesta.
Per impostazione predefinita, Job Server seleziona in modo dinamico una porta di richiesta per ogni
processo secondario. È possibile specificare un intervallo di numeri di porta selezionabili.
Tutti i processi secondari comunicano con il server CMS. Se la comunicazione attraverso un firewall,
è necessario:
•
•
Specificare l'intervallo di numeri di porta tra cui il Job Server può scegliere aggiungendo i parametri
-requestJSChildPortsporta più bassa-porta più alta e -requestPortporta alla
riga di comando del server. L'intervallo delle porte deve essere sufficientemente ampio per consentire
il numero massimo di processi secondari come specificato da -maxJobs.
Aprire l'intervallo di porte specificato sul firewall.
Molti processi secondari comunicano con il livello di dati. Ad esempio, un processo secondario potrebbe
connettersi a un database di reporting, estrarre dati e calcolare valori per un report. Se il processo
secondario di Job Server comunica con il livello di dati attraverso un firewall, è necessario:
• Aprire un percorso di comunicazione sul firewall da qualsiasi porta sul computer Job Server verso
la porta di attesa del database sul computer server del database.
Argomenti correlati
• Panoramica sulle righe di comando
8.14.2 Comunicazione tra componenti della piattaforma BI
191
2013-09-19
Protezione della piattaforma BI
I componenti della piattaforma BI, ad esempio client browser, rich client, server e SDK ospitato nel
server di applicazioni Web, comunicano tra loro nella rete durante i normali workflow. È necessario
comprendere i workflow per distribuire i prodotti SAP Business Objects su subnet diverse separate da
un firewall.
8.14.2.1 Requisiti per la comunicazione tra i componenti della piattaforma BI
Le distribuzioni della piattaforma BI devono rispettare questi requisiti generali.
1. Ogni server deve essere in grado di avviare la comunicazione con tutti gli altri server della piattaforma
BI sulla relativa porta di richiesta.
2. Il Central Management Server utilizza due porte. Ogni server della piattaforma BI, rich client e il
server di applicazioni Web che ospita l'SDK devono essere in grado di avviare la comunicazione
con il CMS su entrambe le porte.
3. Ogni processo del Job Server secondario deve essere in grado di comunicare con il server CMS.
4. I thick client devono essere in grado di avviare la comunicazione con la porta richiesta dell'Input e
dell'Output File Repository Server.
5. Se è abilitato il controllo per i thick client e le applicazioni Web, è necessario poter avviare la
comunicazione con la porta richiesta dell'Adaptive Processing Server che ospita il servizio proxy
controllo client.
6. In generale, il server di applicazioni Web che ospita l'SDK deve essere in grado di comunicare con
la porta di richiesta di ogni server della piattaforma BI.
Nota:
il server di applicazioni Web deve unicamente poter comunicare con i server della piattaforma BI
utilizzati nella distribuzione. Se ad esempio Crystal Reports non viene utilizzato, non è necessario
che il server di applicazioni Web comunichi con i cache server Crystal Reports.
7. I Job Server utilizzano i numeri di porta specificati con il comando -requestJSChildPorts porta
più bassa-porta più alta. Se non vengono specificati intervalli nella riga di comando, i server
utilizzano numeri di porta casuali. Per consentire a un Job Server di comunicare con un server CMS,
FTP o di posta su un altro computer, aprire tutte le porte dell'intervallo specificato da -requestJ
SChildPorts nel firewall.
8. Il server CMS deve essere in grado di comunicare con la porta di attesa del database CMS.
9. Il Connection Server, la maggior parte dei processi secondari dei Job Server e ogni server di
elaborazione del database di sistema e di controllo devono essere in grado di avviare la
comunicazione con la porta di attesa del database di creazione report.
Argomenti correlati
• Requisiti di porta della piattaforma BI
192
2013-09-19
Protezione della piattaforma BI
8.14.2.2 Requisiti di porta della piattaforma BI
In questa sezione sono elencate le porte di comunicazione utilizzate dai server della piattaforma BI,
dai thick client, dal server di applicazioni Web che ospita l'SDK e dalle applicazioni software di terze
parti. Se si distribuisce la piattaforma BI con i firewall, è possibile utilizzare queste informazioni per
aprire il numero minimo di porte in tali firewall.
8.14.2.2.1 Requisiti di porta per le applicazioni della piattaforma BI
In questa tabella sono elencati i server e i numeri di porta utilizzati dalle applicazioni della piattaforma
BI.
Prodotto
Crystal Reports
193
Applicazione client
Designer di
SAP Crystal
Reports
2013
Server associati
Requisiti di porta del server
CMS
Porta server dei nomi CMS (6400 per
impostazione predefinita)
Input FRS
Porta richiesta CMS
Output FRS
Porta richiesta Input FRS
Report Application Server
(RAS) di Crystal Reports
2013
Porta richiesta Output FRS
Server di elaborazione Crystal Reports 2013
Porta richiesta del server di elaborazione Crystal Reports
Crystal Reports Cache Server
Porta richiesta Crystal Reports Cache
Server
Porta richiesta del Report Application
Server di Crystal Reports 2013
2013-09-19
Protezione della piattaforma BI
Prodotto
Applicazione client
Server associati
Requisiti di porta del server
Porta server dei nomi CMS (6400 per
impostazione predefinita)
CMS
Porta richiesta CMS
Crystal Reports
Designer di
SAP Crystal
Reports for
Enterprise
Input FRS
Porta richiesta Input FRS
Output FRS
Porta richiesta Output FRS
Crystal Reports Processing
Server
Porta richieste server di elaborazione
Crystal Reports
Crystal Reports Cache Server
Porta richiesta Crystal Reports Cache
Server
CMS
Input FRS
Output FRS
Dashboards
194
SAP BusinessObjects
Dashboards
Live Office
Client Live
Office
Piattaforma
BI
SAP BusinessObjects
Web Intelligence Rich
Client
Applicazione del provider di
Servizi Web (dsws
bobje.war) che ospita i servizi Web Dashboards, Live
Office e QaaWS richiesti per
determinate connessioni
all'origine dati
Applicazione del provider di
Servizi Web (dsws
bobje.war) che ospita il
servizio Web Live Office
Porta server dei nomi CMS (6400 per
impostazione predefinita)
Porta richiesta CMS
Porta richiesta Input FRS
Porta richiesta Output FRS
Porta HTTP (80 per impostazione predefinita)
Porta HTTP (80 per impostazione predefinita)
CMS
Porta server dei nomi CMS (6400 per
impostazione predefinita)
Input FRS
Porta richiesta CMS
Porta richiesta Input FRS
2013-09-19
Protezione della piattaforma BI
Prodotto
Piattaforma
BI
Applicazione client
Universe
Design Tool
Server associati
Requisiti di porta del server
CMS
Porta server dei nomi CMS (6400 per
impostazione predefinita)
Input FRS
Porta richiesta CMS
Connection Server
Porta richiesta Input FRS
Porta Connection Server
Piattaforma
BI
Business
View Manager
CMS
Porta server dei nomi CMS (6400 per
impostazione predefinita)
Input FRS
Porta richiesta CMS
Porta richiesta Input FRS
195
2013-09-19
Protezione della piattaforma BI
Prodotto
Applicazione client
Server associati
Requisiti di porta del server
È necessario che le seguenti porte
siano aperte per consentire a CCM di
gestire i server remoti della piattaforma
BI:
Porta server dei nomi CMS (6400 per
impostazione predefinita)
Porta richiesta CMS
È necessario che le seguenti porte
siano aperte per consentire a CCM di
gestire i processi SIA remoti:
Piattaforma
BI
Central Configuration
Manager
(CCM)
CMS
Server Intelligence Agent
(SIA)
Microsoft Directory Services (porta
TCP 445)
NetBIOS Session Service (porta TCP
139)
NetBIOS Datagram Service (porta UDP
138)
NetBIOS Name Service (porta UDP
137)
DNS (porta TCP/UDP 53)
(Si noti che alcune porte elencate in
precedenza potrebbero non essere
necessarie. Consultare l'amministratore
di Windows).
Piattaforma
BI
Server Intelligence Agent
(SIA
)
196
Porta richiesta SIA (6410 per impostazione predefinita)
Ogni server della piattaforma
BI incluso il CMS
Porta server dei nomi CMS (6400 per
impostazione predefinita)
Porta richiesta CMS
2013-09-19
Protezione della piattaforma BI
Prodotto
Piattaforma
BI
Applicazione client
Strumento di
conversione
dei report
Server associati
Requisiti di porta del server
CMS
Porta server dei nomi CMS (6400 per
impostazione predefinita)
Input FRS
Porta richiesta CMS
Porta richiesta Input FRS
Piattaforma
BI
Repository
Diagnostic
Tool
CMS
Porta server dei nomi CMS (6400 per
impostazione predefinita)
Input FRS
Porta richiesta CMS
Output FRS
Porta richiesta Input FRS
Porta richiesta Output FRS
Piattaforma
BI
SDK della
piattaforma
BI ospitato
nel server di
applicazioni
Web
Tutti i server della piattaforma
BI richiesti dai prodotti distribuiti.
Ad esempio, è necessaria la
comunicazione con la Porta
richiesta del server di elaborazione Crystal Reports 2013
se l'SDK sta recuperando i
report Crystal dal CMS e sta
interagendo con essi.
Tutti i server della piattaforma
BI richiesti dai prodotti che
accedono ai servizi Web.
Piattaforma
BI
197
Provider di
Servizi Web
(dsws
bobje.war)
Ad esempio, la comunicazione con le porte di richiesta
del server di elaborazione e
la cache di Dashboards è necessaria se SAP BusinessObjects Dashboards accede alle
connessioni dell'origine dati
Enterprise attraverso il provider di Servizi Web.
Porta server dei nomi CMS (6400 per
impostazione predefinita)
Porta richiesta CMS
Porta richiesta per ogni server richiesto. Ad esempio la porta richiesta del
server di elaborazione Crystal Reports
2013.
Porta server dei nomi CMS (6400 per
impostazione predefinita)
Porta richiesta CMS
Porta richiesta per ogni server richiesto. Ad esempio, Server cache Dashboards e Porte richiesta Server di elaborazione Dashboards.
2013-09-19
Protezione della piattaforma BI
Prodotto
Piattaforma
BI
Applicazione client
SAP BusinessObjects
Analysis,
versione per
OLAP
Server associati
Requisiti di porta del server
CMS
Porta server dei nomi CMS (6400 per
impostazione predefinita)
Adaptive Processing Server
che ospita il servizio di analisi
multidimensionale
Porta richiesta CMS
Porta richiesta Adaptive Processing
Server
Input FRS
Porta richiesta Input FRS
Output FRS
Porta richiesta Output FRS
8.14.2.2.2 Requisiti di porta per le applicazioni di terze parti
In questa tabella sono elencati i programmi software di terze parti utilizzati dai prodotti SAP
BusinessObjects. Sono inclusi esempi specifici di alcuni fornitori di software, ma è possibile che per
altri fornitori i requisiti di porta siano diversi.
Applicazione
di terze parti
Componente SAP
BusinessObjects
che utilizza il prodotto di terze parti
Requisito di porta
dell'applicazione di
terze parti
Descrizione
Database di sistema CMS
Central Management
Server (CMS)
Porta di attesa del server
di database
Il server CMS è l'unico server
che comunica con il database
di sistema CMS.
Database di controllo CMS
Central Management
Server (CMS)
Porta di attesa del server
di database
Il server CMS è l'unico server
che comunica con il database
di controllo CMS.
Porta di attesa del server
di database
Questi server recuperano informazioni dal database di reporting.
Connection Server
Database di reporting
Ogni processo secondario del Job Server
Ogni server di elaborazione
198
2013-09-19
Protezione della piattaforma BI
Applicazione
di terze parti
Componente SAP
BusinessObjects
che utilizza il prodotto di terze parti
Server di applicazioni Web
Tutti i servizi Web e
le applicazioni Web
SAP BusinessObjects, inclusi BI Launch
Pad e la console
CMC
Server FTP
Ogni Job Server
Requisito di porta
dell'applicazione di
terze parti
Porta HTTP e HTTPS
Ad esempio, su Tomcat
la porta HTTP predefinita
è 8080 e la porta HTTPS
predefinita è 443.
La porta HTTPS è richiesta
solo se viene utilizzata la comunicazione HTTP.
FTP in ingresso (porta 21)
I Job Server utilizzano le porte
FTP per consentire l'invio su
FTP.
FTP in uscita (porta 22)
server e-mail
Server UNIX a
cui i Job Server
possono inviare
contenuto
Ogni Job Server
CMS
Server di autenticazione
SMTP (porta 25)
rexec out (porta 512)
Ogni Job Server
Server di applicazioni
Web che ospita l'SDK
ogni thick client, ad
esempio Live Office.
Descrizione
(Solo UNIX) rsh out (porta
514)
Porta di connessione per
autenticazione di terze
parti.
Ad esempio, il server di
connessione per il server
LDAP Oracle è definito
dall'utente nel file
ldap.ora.
I Job Server utilizzano la porta
SMTP per consentire l'invio
tramite posta elettronica.
(Solo UNIX) I Job Server utilizzano queste porte per consentire l'invio su disco.
Le credenziali dell'utente sono
archiviate nel server di autenticazione di terze parti. Il server CMS, l'SDK e i thick client
elencati qui devono poter comunicare con il server di autenticazione di terze parti quando un utente effettua l'accesso.
8.15 Configurazione della piattaforma BI per i firewall
In questa sezione vengono fornite istruzioni dettagliate per la configurazione della piattaforma BI in un
ambiente protetto da firewall.
199
2013-09-19
Protezione della piattaforma BI
8.15.1 Per configurare il sistema per i firewall
1. Determinare quali componenti della piattaforma BI devono comunicare attraverso un firewall.
2. Configurare manualmente la porta di richiesta per ogni server della piattaforma BI che deve
comunicare attraverso un firewall.
3. Configurare un intervallo di numeri di porta per qualsiasi Job Server secondario che deve comunicare
tramite un firewall aggiungendo i parametri -requestJSChildPorts porta più bassa-porta
più alta e -requestPort porta alla riga di comando del server.
4. Configurare il firewall per consentire la comunicazione con le porte di richiesta e l'intervallo di porte
del Job Server nei server della piattaforma BI configurati nel passaggio precedente.
5. (Facoltativo) Configurare il file hosts in ogni computer che ospita un server della piattaforma BI che
deve comunicare attraverso un firewall.
Argomenti correlati
• Comunicazione tra componenti della piattaforma BI
• Configurazione dei numeri di porta
• Panoramica sulle righe di comando
• Specifica delle regole del firewall
• Configurazione del file HOSTS per i firewall che utilizzano NAT
8.15.1.1 Specifica delle regole del firewall
È necessario configurare il firewall per consentire il traffico necessario tra i componenti della piattaforma
BI. Per dettagli sulla specifica di queste regole, consultare la documentazione del firewall.
Specificare una regola di accesso in ingresso per ogni percorso di comunicazione che attraversa il
firewall. Potrebbe non essere necessario specificare una regola di accesso per ogni server della
piattaforma BI protetto dal firewall.
Utilizzare il numero di porta specificato nella casella Porta richiesta nella pagina Proprietà del server
nella CMC. Tenere presente che ogni server su un computer deve utilizzare un numero di porta univoco.
Alcuni server SAP Business Objects utilizzano più di una porta.
Nota:
Se la piattaforma BI viene distribuita tra firewall che utilizzano NAT, ogni server su tutti i computer
richiede un numero di porta richiesta univoco. Ciò significa che due server nell'intera distribuzione non
possono condividere la stessa Porta richiesta.
200
2013-09-19
Protezione della piattaforma BI
Nota:
non è necessario specificare regole di accesso in uscita. I server della piattaforma BI non avviano la
comunicazione al server delle applicazioni Web o ad applicazioni client. I server della piattaforma BI
possono avviare la comunicazione con altri server della piattaforma nello stesso cluster. Le distribuzioni
con server in cluster in un ambiente con firewall in uscita non sono supportate.
Esempio:
In questo esempio vengono illustrate le regole di accesso in ingresso per un firewall tra il server di
applicazioni Web e i server della piattaforma BI. In questo caso, vengono aperte due porte per il
sistema CMS, una porta per l'Input File Repository Server (FRS) e una per l'Output FRS. I numeri di
Porta richiesta sono i numeri di porta specificati nella casella Porta richiesta della pagina di
configurazione della CMC per un server.
Computer di origine
Porta
Computer di destinazione
Porta
Azione
Server di applicazioni Web
Qualsiasi
CMS
6400
Consenti
Server di applicazioni Web
Qualsiasi
CMS
<numero Porta richiesta>
Consenti
Server di applicazioni Web
Qualsiasi
Input FRS
<numero Porta richiesta>
Consenti
Server di applicazioni Web
Qualsiasi
Output FRS
<numero Porta richiesta>
Consenti
Qualsiasi
Qualsiasi
CMS
Qualsiasi
Rifiuta
Qualsiasi
Qualsiasi
Altri server della
piattaforma
Qualsiasi
Rifiuta
Argomenti correlati
• Comunicazione tra componenti della piattaforma BI
201
2013-09-19
Protezione della piattaforma BI
8.15.1.2 Configurazione del file HOSTS per i firewall che utilizzano NAT
Questa fase è necessaria solo se i server della piattaforma BI devono comunicare attraverso un firewall
in cui è abilitato Network Address Translation (NAT). Questa operazione consente ai computer client
di mappare il nome host di un server a un indirizzo IP instradabile.
Nota:
La piattaforma BI può essere distribuita in computer che utilizzano il sistema DNS (Domain Name
System). In questo caso, i nomi host dei computer server possono essere mappati a indirizzi IP
instradabili esternamente nel server DNS, invece del file hosts di ciascun computer.
Network Address Translation
Un firewall viene distribuito per proteggere una rete interno dall'accesso non autorizzato. I firewall che
utilizzano “NAT” mapperanno gli indirizzi IP dalla rete interna a un indirizzo diverso utilizzato dalla rete
esterna. La “conversione degli indirizzi” migliora la protezione nascondendo gli indirizzi IP interni alla
rete esterna.
I componenti della piattaforma BI quali server, thick client e il server di applicazioni Web che ospita
l'SDK utilizzeranno un riferimento per contattare un server. Il riferimento al servizio contiene il nome
host del computer server. Tale nome host deve essere instradabile dal computer del componente della
piattaforma BI. Ciò significa che il file hosts sul computer del componente deve essere mappato al
nome host del computer server all'indirizzo IP esterno del computer server. L'indirizzo IP esterno del
computer server è instradabile dal lato esterno del firewall, mentre l'indirizzo IP interno non lo è.
La procedura per configurare il file hosts è diversa per Windows e UNIX.
8.15.1.2.1 Configurazione del file hosts in Windows
1. Individuare tutti i computer che eseguono un componente della piattaforma BI che deve comunicare
attraverso un firewall in cui è abilitato “Network Address Translation ” (“NAT”).
2. In ogni computer individuato nell'operazione precedente, aprire il file hosts utilizzando un editor di
testi come Blocco note. Il file hosts si trova in \Windows\System32\drivers\etc\hosts.
3. Seguire le istruzioni del file hosts per aggiungere una voce per ogni computer dietro il firewall in
cui sono in esecuzione uno o più server della piattaforma BI. Mappare il nome host del computer
server o il nome di dominio completo al relativo indirizzo IP esterno.
4. Salvare il file hosts.
8.15.1.2.2 Configurazione del file hosts in UNIX
Nota:
il sistema operativo UNIX deve essere configurato in modo che consulti innanzitutto il file “hosts” per
risolvere i nomi di dominio prima del DNS. Per ulteriori dettagli, consultare la documentazione dei
sistemi Unix.
202
2013-09-19
Protezione della piattaforma BI
1. Individuare tutti i computer che eseguono un componente della piattaforma BI che deve comunicare
attraverso un firewall in cui è abilitato “Network Address Translation ” (“NAT”).
2. Aprire il file “hosts” utilizzando un editor come vi. Il file hosts si trova nella directory \etc.
3. Seguire le istruzioni del file hosts per aggiungere una voce per ogni computer dietro il firewall in
cui sono in esecuzione uno o più server della piattaforma BI. Mappare il nome host del computer
server o il nome di dominio completo al relativo indirizzo IP esterno.
4. Salvare il file hosts.
8.15.2 Debug di una distribuzione con firewall
Se uno o più server della piattaforma BI non funziona quando il firewall è abilitato, anche se sono state
aperte le porte corrette sul firewall, è possibile utilizzare i registri eventi per determinare qual è il server
che tenta di ascoltare e quali sono le porte o gli indirizzi IP. È quindi possibile aprire tali porte sul firewall
o utilizzare la console CMC (Central Management Console) per modificare i numeri di porta o gli indirizzi
IP su cui i server tentano di mettersi in ascolto.
Ogni volta che un server della piattaforma BI viene avviato, il server scrive le seguenti informazioni nel
registro eventi per ogni porta di richiesta a cui tenta di collegarsi.
•
•
"Server": il nome del server e se è stato avviato correttamente.
"Indirizzi pubblicati": elenco di combinazioni di indirizzi IP e porte inviate al servizio nomi che gli altri
server utilizzeranno per comunicare con questo server.
Se il server si collega correttamente a una porta, il file di registro visualizza anche "In attesa sulla/e
porta/e", l'indirizzo IP e la porta su cui il server è in ascolto. Se il server non riesce a collegarsi alla
porta, il file di registro visualizza "Ascolto sulle porte non riuscito", l'indirizzo IP e la porta su cui il server
tenta di mettersi in ascolto con esito negativo.
Quando viene avviato il server CMS scrive anche le informazioni relative a indirizzi pubblicati, porte in
attesa e ascolto non riuscito per la porta servizio nomi del server.
Nota:
se il server è configurato per l'utilizzo di una porta con assegnazione automatica e di un nome host o
indirizzo IP non valido, il registro eventi indica che il server non è riuscito a mettersi in ascolto sul nome
host o indirizzo IP e porta “0”. Se un nome host o indirizzo IP specificato non è valido, si verificherà un
errore del server prima che il sistema operativo host sia in grado di assegnare una porta.
Esempio:
L'esempio seguente mostra una voce relativa a un server CMS che è correttamente in ascolto su due
porte richiesta e una porta servizio nomi.
Server mynode.cms1 successfully started.
Request Port :
Published Address(es): mymachine.corp.com:11032, mymachine.corp.com:8765
Listening on port(s): [2001:0db8:85a3:0000:0000:8a2e:0370:7334]:11032, 10.90.172.216:8765
Name Service Port :
203
2013-09-19
Protezione della piattaforma BI
Published Address(es): mymachine.corp.com:6400
Listening on port(s): [2001:0db8:85a3:0000:0000:8a2e:0370:7334]:6400, 10.90.172.216:6400
8.15.2.1 Debug di una distribuzione con firewall
1. Leggere il registro eventi per determinare se il server è correttamente collegato alla porta specificata.
Se il server non è stato in grado di collegarsi a una porta, è probabile che vi sia un conflitto di porta
tra il server e un altro processo in esecuzione sullo stesso computer. La voce "Ascolto sulle porte
non riuscito" indica la porta su cui il server sta tentando di mettersi in ascolto. Eseguire un'utilità
come netstat per determinare quale processo ha occupato la porta, quindi configurare l'altro processo
o il server per l'ascolto su un'altra porta.
2. Se il server è riuscito a collegarsi a una porta, "In attesa sulla/e porta/e" indica la porta su cui il
server è in ascolto. Se un server è in ascolto su una porta e continua a non funzionare correttamente,
assicurarsi che la porta sia aperta sul firewall o configurare il server in modo tale che ascolti su una
porta aperta.
Nota:
Se tutti i server CMS della distribuzione stanno tentando di ascoltare su porte o indirizzi IP non disponibili,
i CMS non verranno avviati e non sarà possibile accedere alla console CMC. Se si desidera modificare
il numero di porta o indirizzo IP su cui il server CMS tenta di mettersi in ascolto, utilizzare Central
Configuration Manager (CCM) per specificare un numero di porta o un indirizzo IP valido.
Argomenti correlati
• Configurazione dei numeri di porta
8.16 Esempi di scenari di firewall tipici
In questa sezione vengono forniti esempi di scenari di distribuzione di firewall tipici
8.16.1 Esempio: livello applicazione distribuito su una rete separata
In questo esempio viene illustrato come configurare un firewall e la piattaforma BI in modo da utilizzarli
insieme in una distribuzione in cui un firewall separa il server di applicazioni Web da altri server della
piattaforma BI.
204
2013-09-19
Protezione della piattaforma BI
In questo esempio i componenti della piattaforma BI vengono distribuiti tra questi computer:
•
•
•
Computer boe_1: ospita il server di applicazioni Web e l'SDK.
Computer boe_2: ospita i server di livello Intelligence, inclusi Central Management Server, Input
File Repository Server, Output File Repository Server ed Event Server.
Computer boe_3 : ospita i server del livello di elaborazione, inclusi Adaptive Job Server, Server di
elaborazione Web Intelligence, Report Application Server, Crystal Reports Cache Server e Crystal
Reports Processing Server.
Figura 8 - 1: Livello applicazione distribuito su una rete separata
8.16.1.1 Per configurare un livello applicazione distribuito su una rete separata
I passaggi seguenti illustrano come configurare questo esempio.
1. I seguenti requisiti di comunicazione si applicano a questo esempio:
•
•
•
Il server di applicazioni Web che ospita l'SDK deve essere in grado di comunicare con il sistema
CMS su entrambe le porte.
Il server di applicazioni Web che ospita l'SDK di BusinessObjects Enterprise deve essere in
grado di comunicare con qualsiasi server della piattaforma BI.
Il browser deve avere accesso alla Porta richiesta http o https sul server di applicazioni Web.
2. Il server di applicazioni Web deve comunicare con tutti i server della piattaforma BI sui computer
boe_2 e boe_3. Configurare i numeri di porta per ogni server su questi computer. Tenere presente
che è possibile utilizzare qualsiasi porta libera compresa tra 1.025 e 65.535.
I numeri di porta scelti per questo esempio sono elencati nella tabella:
205
Server
Numero di porta
Central Management Server
6400
Central Management Server
6441
2013-09-19
Protezione della piattaforma BI
Server
Numero di porta
Input File Repository Server
6415
Output File Repository Server
6420
Event Server
6425
Adaptive Job Server
6435
Crystal Reports Cache Server
6440
Server di elaborazione Web Intelligence
6460
Report Application Server
6465
Crystal Reports Processing Server
6470
3. Configurare i firewall Firewall_1 e Firewall_2 per consentire la comunicazione sulle porte fisse
sui server della piattaforma BI e il server di applicazioni Web configurati nel passaggio precedente.
In questo esempio viene aperta la porta HTTP per il server di applicazioni Tomcat.
Tabella 8 - 6: Configurazione per Firewall_1
Porta
Computer di destinazione
Porta
Azione
Qualsiasi
boe_1
8080
Consenti
Tabella 8 - 7: Configurazione per Firewall_2
206
Computer di origine
Porta
Computer di destinazione
Porta
Azione
boe_1
Qualsiasi
boe_2
6400
Consenti
boe_1
Qualsiasi
boe_2
6441
Consenti
boe_1
Qualsiasi
boe_2
6415
Consenti
boe_1
Qualsiasi
boe_2
6420
Consenti
boe_1
Qualsiasi
boe_2
6425
Consenti
boe_1
Qualsiasi
boe_3
6435
Consenti
boe_1
Qualsiasi
boe_3
6440
Consenti
boe_1
Qualsiasi
boe_3
6460
Consenti
2013-09-19
Protezione della piattaforma BI
Computer di origine
Porta
Computer di destinazione
Porta
Azione
boe_1
Qualsiasi
boe_3
6465
Consenti
boe_1
Qualsiasi
boe_3
6470
Consenti
4. Questo firewall non è abilitato per NAT e non è pertanto necessario configurare il file hosts
Argomenti correlati
• Configurazione dei numeri di porta
• Informazioni sulla comunicazione tra componenti della piattaforma BI
8.16.2 Esempio: livello thick client e database separato dai server della piattaforma
BI mediante un firewall
In questo esempio viene illustrato come configurare un firewall e la piattaforma BI in modo da utilizzarli
insieme in uno scenario di distribuzione in cui:
•
•
Un firewall separa un thick client dai server della piattaforma BI.
Un firewall separa i server della piattaforma BI dal livello di database.
In questo esempio i componenti della piattaforma BI vengono distribuiti tra questi computer:
•
•
•
•
Computer boe_1: ospita la Pubblicazione guidata. La Pubblicazione guidata è un thick client della
piattaforma BI.
Il computer boe_2 ospita i server di livello Intelligence, inclusi Central Management Server (CMS),
Input File Repository Server, Output File Repository Server ed Event Server.
Il computer boe_3 ospita i server del livello di elaborazione, inclusi Adaptive Job Server, Server di
elaborazione Web Intelligence, Report Application Server, Crystal Reports Processing Server e
Crystal Reports Cache Reports.
Il computer Database ospita i database CMS di sistema e di controllo e il database di creazione
report. Si noti che è possibile distribuire entrambi i database sullo stesso server di database oppure
ciascun database su un server di database distinto. In questo esempio, tutti i database CMS e il
database di creazione di report vengono distribuiti sullo stesso server di database.
Figura 8 - 2: Livello Rich Client e database distribuito su reti separate
207
2013-09-19
Protezione della piattaforma BI
8.16.2.1 Configurazione di livelli separati dai server della piattaforma BI da un
firewall
I passaggi seguenti illustrano come configurare questo esempio.
1. Applicare i seguenti requisiti di comunicazione a questo esempio:
•
•
•
•
La Pubblicazione guidata deve essere in grado di avviare la comunicazione con il sistema CMS
su entrambe le porte.
La Pubblicazione guidata deve essere in grado di avviare la comunicazione con l’Input e l’Output
File Repository Server.
Il Connection Server, ogni processo secondario di Job Server e ogni server di elaborazione
devono avere accesso alla porta di attesa sul server del database di creazione di report.
Il sistema CMS deve avere accesso alla porta di attesa del database sul server di database CMS.
2. Configurare una porta specifica per il sistema CMS, l'Input FRS e l'Output FRS. Tenere presente
che è possibile utilizzare qualsiasi porta libera compresa tra 1.025 e 65.535.
I numeri di porta scelti per questo esempio sono elencati nella tabella:
Server
Numero di porta
Central Management Server
6441
Input File Repository Server
6415
Output File Repository Server
6416
3. Non è necessario configurare un intervallo di porte per i processi secondari di Job Server poiché il
firewall tra i Job Server e i server di database vengono configurati in modo da consentire l'avvio
della comunicazione da qualsiasi porta.
208
2013-09-19
Protezione della piattaforma BI
4. Configurare il firewall Firewall_1 per consentire la comunicazione sulle porte fisse sui server
della piattaforma configurati nel passaggio precedente. Si noti che la porta 6400 è il numero di porta
predefinito per Porta server dei nomi di CMS e non occorre configurarla in modo esplicito nel
passaggio precedente.
Porta
Computer di destinazione
Porta
Azione
Qualsiasi
boe_2
6400
Consenti
Qualsiasi
boe_2
6441
Consenti
Qualsiasi
boe_2
6415
Consenti
Qualsiasi
boe_2
6416
Consenti
Configurare Firewall_2 per consentire la comunicazione sulla porta di attesa del server di database.
Il server CMS (su boe_2) deve disporre dell'accesso al database di controllo e di sistema CMS e i
Job Server (su boe_3) devono disporre dell'accesso ai database di sistema e di controllo. Si noti
che non è stato configurato un intervallo di porte per i processi secondari dei Job Server poiché le
comunicazioni con il server CMS non attraversano un firewall.
Computer di origine
Porta
Computer di destinazione
Porta
Azione
boe_2
Qualsiasi
Database
3306
Consenti
boe_3
Qualsiasi
Database
3306
Consenti
5. Questo firewall non è abilitato per NAT e non è pertanto necessario configurare il file hosts
Argomenti correlati
• Informazioni sulla comunicazione tra componenti della piattaforma BI
• Configurazione della piattaforma BI per i firewall
8.17 Impostazioni firewall per gli ambienti integrati
In questa sezione vengono illustrate in dettaglio considerazioni specifiche e impostazioni delle porte
per le distribuzioni della piattaforma BI che si integrano con gli ambienti ERP indicati di seguito.
• SAP
• Oracle EBS
• Siebel
• JD Edwards
209
2013-09-19
Protezione della piattaforma BI
•
PeopleSoft
I componenti della piattaforma BI includono client browser, rich client, server e l'SDK ospitato sul Web
Application Server. I componenti del sistema possono essere installati su più computer. È utile conoscere
i concetti base delle comunicazioni tra i componenti della piattaforma BI ed ERP prima di configurare
il sistema per il funzionamento con i firewall.
Requisiti di porta per i server della piattaforma BI
Le porte indicate di seguito sono necessarie per i server corrispondenti nella piattaforma BI:
Requisiti di porta del server
•
•
•
•
•
•
•
•
Porta server dei nomi Central Management Server
Porta Central Management Server
Porta richieste FRS di input
Porta richieste FRS di output
Porta richiesta Report Application Server
Porta richiesta Crystal Reports Cache Server
Porta richiesta Page Server Crystal Reports
Porta richiesta server di elaborazione Crystal Reports
8.17.1 Linee guida specifiche del firewall per Oracle EBS
La distribuzione della piattaforma BI deve essere conforme alle seguenti regole di comunicazione:
•
•
•
•
•
•
Il CMS deve essere in grado di avviare le comunicazioni con il sistema SAP sulla porta gateway del
sistema SAP.
Adaptive Job Server e il server di elaborazione Crystal Reports (insieme ai componenti di Accesso
dati) devono potere avviare le comunicazioni con il sistema SAP sulla porta gateway del sistema
SAP.
Il componente Publisher BW deve poter avviare le comunicazioni con il sistema SAP sulla porta
gateway del sistema SAP.
I componenti della piattaforma BI distribuiti sul lato SAP Enterprise Portal (ad esempio, iViews e
KMC) devono essere in grado di avviare le comunicazioni con le applicazioni Web della piattaforma
BI sulle porte HTTP/HTTPS.
Il server di applicazioni Web deve poter avviare le comunicazioni sulla porta del servizio gateway
del sistema SAP.
Crystal Reports deve poter avviare le comunicazioni con l'host SAP sulla porta gateway del sistema
SAP e sulla porta dispatcher del sistema SAP.
La porta su cui è in ascolto il servizio gateway SAP è la stessa specificata durante l'installazione.
210
2013-09-19
Protezione della piattaforma BI
Nota:
se un componente richiede un router SAP per la connessione a un sistema SAP, è possibile configurarlo
mediante la stringa di tale router SAP. Ad esempio, durante la configurazione di un sistema di
autorizzazione SAP per l'importazione di ruoli e utenti, la stringa del router SAP può essere utilizzata
al posto del nome del server di applicazioni. In tal modo, la comunicazione tra il CMS e il sistema SAP
viene effettuata mediante il router SAP.
Argomenti correlati
• Installazione di un gateway SAP locale
8.17.1.1 Requisiti delle porte in dettaglio
Requisiti delle porte per SAP
La piattaforma BI utilizza SAP JCO (SAP Java Connector) per comunicare con SAP NetWeaver (ABAP).
È necessario configurare e garantire la disponibilità delle porte seguenti:
•
•
Porta di ascolto servizio gateway SAP (ad esempio, 3300).
Porta di ascolto servizio dispatcher SAP (ad esempio, 3200).
La tabella seguente riporta le configurazioni specifiche delle porte.
211
2013-09-19
Protezione della piattaforma BI
Computer di
origine
Porta
Computer di destinazione
SAP
Qualsiasi
Server di applicazioni
Web della piattaforma
BI
Porta HTTP/HTTPS servizio Web Consenti
SAP
Qualsiasi
CMS
Porta server dei nomi CMS
Consenti
SAP
Qualsiasi
CMS
Porta richiesta CMS
Consenti
Server di appli- Qualsiasi
cazioni Web
SAP
Porta servizio gateway sistema
SAP
Consenti
Central Mana- Qualsiasi
gement Server
(CMS)
SAP
Porta servizio gateway sistema
SAP
Consenti
Crystal Reports
SAP
Porta servizio gateway sistema
SAP e porta dispatcher sistema
SAP
Consenti
Qualsiasi
Porta
Azione
8.17.2 Configurazione del firewall per l'integrazione con JD Edwards EnterpriseOne
Le distribuzioni della piattaforma BI che comunicheranno con il software JD Edwards devono essere
conformi alle seguenti regole generali:
• Il server di applicazioni Web di CSM deve essere in grado di avviare le comunicazioni con JD
Edwards EnterpriseOne tramite la porta JDENET e una porta selezionata in modo casuale.
• Crystal Reports con il componente Connettività dati del lato client deve essere in grado di avviare
le comunicazioni con JD Edwards EnterpriseOne tramite la porta JDNET. Per il recupero dei dati,
il lato JD Edwards EnterpriseOne deve essere in grado di comunicare con il driver tramite una porta
casuale che non può essere controllata.
• Il server CMS deve essere in grado di avviare le comunicazioni con JD Edwards EnterpriseOne
tramite la porta JDENET e una porta selezionata in modo casuale.
• Il numero di porta JDENET si trova nel file di configurazione di JD Edwards EnterpriseOne Application
Server (JDE.INI), nella sezione JDENET.
Requisiti di porta per i server della piattaforma BI
212
Prodotto
Requisiti di porta del server
Piattaforma SAP
BusinessObjects
Business Intelligence
•
Porta del server Sign On della piattaforma BI
2013-09-19
Protezione della piattaforma BI
Requisiti di porta per JD Edwards EnterpriseOne
Prodotto
Requisito porta
Descrizione
JD Edwards EnterpriseOne
Porta JDENET e porta selezionata in modo casuale
Utilizzata per la comunicazione
tra la piattaforma BI e il server
di applicazioni JD Edwards EnterpriseOne.
Configurazione del server di applicazioni Web per la comunicazione con JD Edwards
In questa sezione viene illustrato come configurare un firewall e la piattaforma BI in modo da utilizzarli
insieme in uno scenario di distribuzione in cui un firewall separa il server di applicazioni Web da altri
server della piattaforma.
Per la configurazione del firewall con i server e i client della piattaforma BI, vedere la sezione Requisiti
di porta della piattaforma BI in questo manuale. Oltre alla configurazione standard del firewall, la
comunicazione con i server JD Edwards richiede l'apertura di alcune porte supplementari.
Tabella 8 - 14: Per JD Edwards EnterpriseOne Enterprise
Computer di origine
Porta
Computer di destinazione
Porta
Azione
CMS con funzione Connettività
protezione per JD Edwards
EnterpriseOne
Qual
siasi
JD Edwards EnterpriseOne
Qualsiasi
Consenti
Server della piattaforma BI con
funzione Connettività dati per
JD Edwards EnterpriseOne
Qual
siasi
JD Edwards EnterpriseOne
Qualsiasi
Consenti
Crystal Reports con funzione
Connettività dati lato client per
JD Edwards EnterpriseOne
Qual
siasi
JD Edwards EnterpriseOne
Qualsiasi
Consenti
Server di applicazioni Web
Qual
siasi
JD Edwards EnterpriseOne
Qualsiasi
Consenti
8.17.3 Linee guida specifiche del firewall per Oracle EBS
La distribuzione della piattaforma BI deve consentire ai seguenti componenti di avviare le comunicazioni
con la porta del listener del database Oracle:
• Componenti Web della piattaforma BI
•
213
CMS (in particolare il plug-in di protezione Oracle EBS)
2013-09-19
Protezione della piattaforma BI
•
•
Server di backend della piattaforma BI (in particolare il componente di accesso ai dati EBS)
Crystal Reports (in particolare il componente di accesso ai dati EBS)
Nota:
il valore predefinito della porta del listener del database Oracle in tutti i casi sopraccitati deve essere
1521.
8.17.3.1 Requisiti delle porte in dettaglio
Oltre alla configurazione del firewall standard per la piattaforma BI, è necessario aprire alcune porte
supplementari per garantire il funzionamento in un ambiente Oracle EBS integrato:
Computer di origine
Porta
Computer di destinazione
Porta
Azione
Server di applicazioni Web
Qual
siasi
Oracle EBS
Porta del database
Oracle
Consenti
Server CMS con connettività
di protezione per Oracle EBS
Qual
siasi
Oracle EBS
Porta del database
Oracle
Consenti
Server della piattaforma BI con
connettività dati lato server per
Oracle EBS
Qual
siasi
Oracle EBS
Porta del database
Oracle
Consenti
Crystal Reports con connettività dati lato client per Oracle
EBS
Qual
siasi
Oracle EBS
Porta del database
Oracle
Consenti
8.17.4 Configurazione del firewall per l'integrazione con PeopleSoft Enterprise
Le distribuzioni della piattaforma BI che comunicano con PeopleSoft Enterprise devono essere conformi
alle seguenti regole generali di comunicazione:
• Il CMS (Central Management Server) con il componente Connettività di protezione deve essere in
grado di avviare le comunicazioni con il servizio Web PeopleSoft Query Access (QAS).
• I server della piattaforma BI con un componente Connettività dati devono essere in grado di avviare
le comunicazioni con il servizio Web PeopleSoft QAS.
• Crystal Reports con il componente Connettività dati del lato client deve essere in grado di avviare
le comunicazioni con il servizio Web PeopleSoft QAS.
214
2013-09-19
Protezione della piattaforma BI
•
•
Enterprise Management (EPM) Bridge deve essere in grado di comunicare con il CMS e l'Input File
Repository Server.
EPM Bridge deve essere in grado di comunicare con il database PeopleSoft utilizzando una
connessione ODBC.
Il numero di porta del servizio Web è lo stesso specificato nel nome del dominio PeopleSoft Enterprise.
Requisiti di porta per i server della piattaforma BI
Prodotto
Requisiti di porta del server
Piattaforma SAP
BusinessObjects
Business Intelligence
•
Porta del server Sign On della piattaforma BI
Requisiti di porta per PeopleSoft
Prodotto
PeopleSoft Enterprise: People
Tools 8.46 o versione successiva
Requisito porta
Descrizione
Porta HTTP/HTTPS servizio
Web
Questa porta è richiesta quando
si utilizza la connessione SOAP
per PeopleSoft Enterprise per
People Tools 8.46 e soluzioni
successive
Configurazione della piattaforma BI e di PeopleSoft per i firewall
In questa sezione viene descritto come configurare la piattaforma BI e PeopleSoft Enterprise in modo
da utilizzarli insieme in uno scenario di distribuzione in cui un firewall separa il server di applicazioni
Web da altri server della piattaforma.
Per la configurazione firewall con i server e i client della piattaforma BI, fare riferimento al Manuale
dell'amministratore della piattaforma SAP BusinessObjects Business Intelligence.
Oltre alla configurazione firewall con la piattaforma BI, è necessario eseguire alcune operazioni di
configurazione supplementari.
Tabella 8 - 18: Per PeopleSoft Enterprise: PeopleTools 8.46 o versione più recente
215
Computer di origine
Porta
CMS con funzione Connettività
protezione per PeopleSoft
Qual
siasi
Computer di destinazione
Porta
Azione
PeopleSoft
Porta
HTTP/HTTPS servizio Web PeopleSoft
Consenti
2013-09-19
Protezione della piattaforma BI
Computer di destinazione
Porta
Azione
PeopleSoft
Porta
HTTP/HTTPS servizio Web PeopleSoft
Consenti
Qual
siasi
PeopleSoft
Porta
HTTP/HTTPS servizio Web PeopleSoft
Consenti
Ponte EPM
Qual
siasi
CMS
Porta server dei
nomi CMS
Consenti
Ponte EPM
Qual
siasi
CMS
Porta richiesta
CMS
Consenti
Ponte EPM
Qual
siasi
Input File Repository
Server
Porta FRS di input
Consenti
Ponte EPM
Qual
siasi
PeopleSoft
Porta database
PeopleSoft
Consenti
Computer di origine
Porta
Server della piattaforma BI con
funzione Connettività dati per
PeopleSoft
Qual
siasi
Crystal Reports con funzione
Connettività dati lato client per
PeopleSoft
8.17.5 Configurazione del firewall per l'integrazione con Siebel
In questa sezione sono indicate le porte specifiche utilizzate per la comunicazione tra la piattaforma BI
e le applicazioni eBusiness Siebel quando sono separate da firewall.
•
L'applicazione Web deve essere in grado di avviare la comunicazione con il server Sign On della
piattaforma BI per Siebel. Per il server Sign On di Enterprise per Siebel sono necessarie tre porte:
1. La porta 7 Echo (TCP) per la verifica dell'accesso al server Sign On.
2. La porta (8448 per impostazione predefinita) del server Sign On della piattaforma BI per Siebel
per la porta di ascolto CORBA IOR.
3. Una porta POA casuale per le comunicazioni CORBA che non possono essere controllate, di
conseguenza tutte le porte devono essere aperte.
•
Il server CMS deve essere in grado di avviare la comunicazione con il server Sign On della piattaforma
BI per Siebel. Porta di attesa CORBA IOR configurata per ogni server Sign On (ad esempio 8448).
È inoltre necessario aprire una porta POA casuale che resterà sconosciuta fino all'installazione della
piattaforma BI.
Il server Sign On della piattaforma BI per Siebel deve essere in grado di avviare la comunicazione
con la porta SCBroker (broker di connessione Siebel), ad esempio 2321.
•
216
2013-09-19
Protezione della piattaforma BI
•
•
I server back-end della piattaforma BI (componente Siebel Data Access) devono essere in grado
di avviare la comunicazione con la porta SCBroker (broker di connessione Siebel), ad esempio
2321.
Crystal Reports (il componente Siebel Data Access) deve essere in grado di avviare la comunicazione
con la porta SCBroker (broker di connessione Siebel), ad esempio 2321.
Descrizione dettagliata delle porte
In questa sezione vengono indicate le porte utilizzate dalla piattaforma BI. Se si distribuisce la piattaforma
BI in un ambiente con firewall, è possibile utilizzare queste informazioni per aprire in tali firewall il numero
minimo di porte specifiche per l'integrazione con Siebel.
Tabella 8 - 19: Requisiti di porta per i server della piattaforma BI
Prodotto
Requisiti di porta del server
Piattaforma SAP BusinessObjects Business Intelligence
•
Porta del server Sign On della piattaforma BI
Tabella 8 - 20: Requisito di porta per Siebel
Prodotto
Requisito porta
Descrizione
Applicazione eBusiness
Siebel
2321
Porta SCBroker (broker di connessione Siebel) predefinita
Configurazione dei firewall della piattaforma BI per l'integrazione con Siebel
In questa sezione viene illustrato come configurare i firewall per Siebel e la piattaforma BI in modo da
utilizzarli insieme in uno scenario di distribuzione in cui un firewall separa il server di applicazioni Web
da altri server della piattaforma.
217
Computer di origine
Porta
Computer di destinazione
Porta
Azione
Server di applicazioni Web
Qual
siasi
Server Sign On della piattaforma BI
per Siebel
Qualsiasi
Conse
nti
CMS
Qual
siasi
Server Sign On della piattaforma BI
per Siebel
Qualsiasi
Conse
nti
Server Sign On della piattaforma BI per Siebel
Qual
siasi
Siebel
Porta SCBroker
Conse
nti
Server della piattaforma BI
con funzione Connettività
dati lato server per Siebel
Qual
siasi
Siebel
Porta SCBroker
Conse
nti
Crystal Reports con funzione Connettività dati lato
client per Siebel
Qual
siasi
Siebel
Porta SCBroker
Conse
nti
2013-09-19
Protezione della piattaforma BI
8.18 Piattaforma BI e server proxy inverso
È possibile distribuire la piattaforma BI in un ambiente con uno o più server proxy inversi. Un server
proxy inverso viene in genere distribuito davanti ai server di applicazioni Web per nasconderli dietro a
un singolo indirizzo IP. Questa configurazione instrada tutto il traffico Internet indirizzato a server di
applicazioni Web privati attraverso il server reverse proxy, nascondendo gli indirizzi IP privati.
Poiché il server proxy inverso converte gli URL pubblici in URL interni, deve essere configurato con gli
URL delle applicazioni Web della piattaforma BI distribuite nella rete interna.
8.18.1 Server reverse proxy supportati
La piattaforma BI supporta i seguenti server proxy inversi:
• IBM Tivoli Access Manager WebSEAL 6
• Apache 2.2
• Microsoft ISA 2006
8.18.2 Distribuzione delle applicazioni Web
Le applicazioni Web della piattaforma BI vengono distribuite in un server di applicazioni Web. Le
applicazioni vengono distribuite automaticamente durante l'installazione con lo strumento WDeploy.
Lo strumento può inoltre essere utilizzato per distribuire manualmente le applicazioni dopo la distribuzione
della piattaforma BI. In un'installazione predefinita di Windows le applicazioni Web vengono installate
nella directory seguente:
C:\Programmi (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps
WDeploy viene utilizzato per distribuire file WAR quali:
•
•
BOE: include la console CMC, BI Launch Pad e Open Document
dswsbobje: contiene l'applicazione Servizi Web
Se il server di applicazioni Web si trova dietro a un server reverse proxy, quest'ultimo deve essere
configurato con i percorsi di contesto corretti dei file WAR. Per esporre tutte le funzionalità della
piattaforma BI, configurare un percorso di contesto per ogni file WAR della piattaforma BI installato.
218
2013-09-19
Protezione della piattaforma BI
8.19 Configurazione di server proxy inverso per applicazioni Web della piattaforma
BI
Il server proxy inverso deve essere configurato per la mappatura di richieste URL in arrivo all'applicazione
Web corretta in distribuzioni in cui le applicazioni Web della piattaforma BI vengono distribuite dietro a
un server proxy inverso.
In questa sezione sono contenuti esempi di configurazione specifici per alcuni dei server reverse proxy
supportati. Fare riferimento alla documentazione del fornitore per il server reverse proxy per ottenere
ulteriori informazioni.
8.19.1 Istruzioni dettagliate per la configurazione di server reverse proxy
Configurazione dei file WAR
Le applicazioni Web della piattaforma BI vengono distribuite come file WAR in un server di applicazioni
Web. Assicurarsi di configurare una direttiva nel server reverse proxy per il file WAR richiesto per la
distribuzione. È possibile utilizzare lo strumento WDeploy per distribuire i file WAR BOE o dswsbobje.
Per ulteriori informazioni su WDeploy, consultare il Manuale della distribuzione in rete di applicazioni
Web della piattaforma BI.
Specificare le proprietà BOE nella directory di configurazione personalizzata.
Il file BOE.war contiene proprietà globali e specifiche dell'applicazione. Se è necessario modificare le
proprietà, utilizzare la directory di configurazione personalizzata. Per impostazione predefinita, la
directory si trova in C:\Programmi (x86)\SAP BusinessObjects\SAP BusinessObjects
Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF\config\custom.
Avvertenza:
per evitare di sovrascrivere i file nella directory predefinita, non modificare le proprietà contenute nella
directory config\default. Gli utenti devono utilizzare la directory custom.
Nota:
Su alcuni server di applicazioni Web, ad esempio la versione Tomcat in bundle con la piattaforma BI,
è possibile accedere al file BOE.war direttamente. In scenari del genere è possibile configurare
impostazioni personalizzate direttamente senza annullare la distribuzione del file WAR. Quando non
è possibile accedere al file BOE.war, è necessario annullare la distribuzione, personalizzare e quindi
distribuire nuovamente il file.
Uso coerente delle barre (/)
Definire i percorsi di contesto nel server proxy inverso così come vengono immessi in un URL del
browser. Se, ad esempio, la direttiva contiene una barra (/) alla fine del percorso mirror nel server proxy
inverso, immettere una barra alla fine dell'URL del browser.
219
2013-09-19
Protezione della piattaforma BI
Assicurarsi che il carattere '/' venga utilizzato in modo coerente nell'URL di origine e di destinazione
nella direttiva del server proxy inverso. Se il carattere '/' viene aggiunto alla fine dell'URL di origine,
deve anche essere aggiunta alla fine dell'URL di destinazione.
8.19.2 Per configurare il server reverse proxy
La procedura che segue è necessaria per il funzionamento delle applicazioni Web della piattaforma BI
dietro a un server reverse proxy supportato.
1. Assicurarsi che il server reverse proxy sia configurato correttamente secondo le istruzioni del fornitore
e la topologia della rete della distribuzione.
2. Determinare quale file WAR della piattaforma BI è richiesto.
3. Configurare il server reverse proxy per ogni applicazione file WAR della piattaforma BI. Si noti che
le regole vengono specificate in modo diverso in ogni tipo di server reverse proxy.
4. Eseguire eventuali configurazioni speciali necessarie. Alcune applicazioni Web richiedono una
configurazione speciale se distribuite in determinati server di applicazioni Web.
8.19.3 Per configurare il server proxy inverso Apache 2.2 per la piattaforma BI
In questa sezione viene fornito un workflow per la configurazione della piattaforma BI e di Apache 2.2
per l'utilizzo congiunto.
1. Assicurarsi che la piattaforma BI e Apache 2.2 siano installati in computer separati.
2. Assicurarsi che Apache 2.2 sia installato e configurato come server reverse proxy secondo quanto
descritto nella documentazione del fornitore.
3. Configurare ProxyPass per ogni file WAR distribuito dietro il server reverse proxy.
4. Configurare ProxyPassReverseCookiePath per ogni applicazione Web distribuita dietro il server
reverse proxy. Ad esempio:
ProxyPass /C1/BOE/ http://appservername:80/BOE/
ProxyPassReverseCookiePath / /C1/BOE
ProxyPassReverse /C1/BOE/ http://appservername:80/BOE/
ProxyPass /C1/explorer/ http://appservername:80/explorer/
ProxyPassReverseCookiePath / /C1/explorer
ProxyPassReverse /C1/explorer/ http://appservername:80/explorer/
8.19.4 Per configurare il server proxy inverso WebSEAL 6.0 per la piattaforma BI
220
2013-09-19
Protezione della piattaforma BI
In questa sezione viene spiegato come configurare la piattaforma BI e WebSEAL 6.0 per utilizzarli
insieme.
Il metodo di configurazione consigliato consiste nella creazione di una sola giunzione che mappi tutte
le applicazioni Web della piattaforma BI ospitati in un server di applicazioni Web interno o un server
Web in un unico punto di montaggio.
1. Assicurarsi che la piattaforma BI e WebSEAL 6.0 siano installati in computer separati.
È possibile, ma non consigliabile, distribuire la piattaforma BI e WebSEAL 6.0 nello stesso computer.
Per istruzioni sulla configurazione di questo scenario di distribuzione, consultare la documentazione
del fornitore di WebSEAL 6.0.
2. Assicurarsi che WebSEAL 6.0 sia installato e configurato come descritto nella documentazione del
fornitore.
3. Avviare l'utilità della riga di comando pdadmin di WebSEAL. Accedere a un dominio protetto come
sec_master come un utente con diritti di amministratore.
4. Immettere il comando seguente al prompt pdadmin sec_master:
server task <instance_name-webseald-host_name> create -t
<type> -h <host_name> -p <port> <junction_point>
Dove:
•
<nome_istanza-nome_host-webseald> specifica il nome server completo dell'istanza di
WebSEAL installata. Utilizzare il nome server completo nello stesso formato visualizzato nell'output
del comando server list.
•
<tipo> specifica il tipo di giunzione. Utilizzare tcp se la giunzione mappa a una porta HTTP
interna. Utilizzare ssl se la giunzione mappa a una porta HTTPS interna.
•
<nome_host> specifica il nome host DNS o l'indirizzo IP del server interno che riceverà le
richieste.
<porta> specifica la porta TCP del server interno che riceverà le richieste.
<punto_giunzione> specifica la directory nello spazio oggetto protetto WebSEAL in cui viene
montato lo spazio documento del server interno.
•
•
Esempio:
server task default-webseald-webseal.rp.sap.com
create -t tcp -h 10.50.130.123 -p 8080/hr
8.19.5 Per configurare Microsoft ISA 2006 per la piattaforma BI
In questa sezione viene spiegato come configurare la piattaforma BI e ISA 2006 per utilizzarli insieme.
Il metodo di configurazione consigliato consiste nella creazione di una sola giunzione che mappi tutti i
file WAR della piattaforma BI ospitati in un server di applicazioni Web interno o un server Web in un
unico punto di montaggio. A seconda del server di applicazioni Web in uso, è necessario eseguire altre
operazioni di configurazione nel server di applicazioni per consentirne l'utilizzo con ISA 2006.
221
2013-09-19
Protezione della piattaforma BI
1. Assicurarsi che la piattaforma BI e ISA 2006 siano installati in computer separati.
È possibile, ma non consigliabile, distribuire la piattaforma BI e ISA 2006 nello stesso computer.
Per istruzioni sulla configurazione di questo scenario di distribuzione, consultare la documentazione
di ISA 2006.
2. Assicurarsi che ISA 2006 sia installato e configurato come descritto nella documentazione del
fornitore.
3. Avviare l'utilità Gestione di ISA Server.
4. Utilizzare il riquadro di spostamento per avviare un nuovo ruolo di pubblicazione.
a. Vai a
Matrici > NomeComputer > Criteri firewall > Nuovo > Regola di pubblicazione sul Web
Promemoria:
Sostituire NomeComputer con il nome del computer in cui è installato ISA 2006.
b. Digitare un nome di regola in Nome regola di pubblicazione sul Web e fare clic su Avanti.
c. Selezionare Consenti come azione regola e fare clic su Avanti.
d. Selezionare Pubblica un singolo sito Web o un sistema di bilanciamento del carico come
tipo di pubblicazione e fare clic su Avanti.
e. Selezionare un tipo di connessione tra ISA Server e il sito Web pubblicato e fare clic su Avanti.
Ad esempio selezionare Utilizzare connessioni non protette per connettersi al server Web
pubblicato o alla server farm.
f. Digitare il nome interno del sito Web da pubblicare (ad esempio il nome del computer che ospita
la piattaforma BI) in Nome sito interno e fare clic su Avanti.
Nota:
Se il computer che ospita ISA 2006 non è in grado di connettersi al server di destinazione,
selezionare Utilizza nome computer o indirizzo IP per la connessione al server pubblicato
e digitare il nome o l'indirizzo IP nel campo fornito.
g. In "Dettagli nome pubblico" selezionare il nome di dominio (ad esempio Qualsiasi nome di
dominio) e specificare i dettagli di pubblicazione interni (ad esempio /*). Fare clic su Avanti.
È ora necessario creare un nuovo listener Web per monitorare le richieste Web in arrivo.
5. Fare clic su Nuovo per avviare la Creazione guidata definizione listener Web.
a. Digitare un nome in Nome listener Web e fare clic su Avanti.
b. Selezionare un tipo di connessione tra ISA Server e il sito Web pubblicato e fare clic su Avanti.
Ad esempio selezionare Non richiedere connessioni SSL protette con i client.
c. Nella sezione "Indirizzi IP del listener Web" selezionare quanto segue e fare clic su Avanti.
• Interno
• Esterno
• Host locale
• Tutte le reti
ISA Server è ora configurato per la pubblicazione solo su HTTP.
d. Selezionare un'opzione "Impostazione di autenticazione", fare clic su Avanti, quindi su Fine.
Il nuovo listener è ora configurato per la regola di pubblicazione Web.
222
2013-09-19
Protezione della piattaforma BI
6. Fare clic su Avanti in "Gruppi di utenti", quindi su Fine.
7. Fare clic su Applica per salvare tutte le impostazioni per la regola di pubblicazione Web e aggiornare
la configurazione di ISA 2006.
È ora necessario aggiornare le proprietà della regola di pubblicazione Web per mappare i percorsi
delle applicazioni Web.
8. Nel riquadro di spostamento, fare clic con il pulsante destro del mouse sui Criteri firewall configurati
e selezionare Proprietà.
9. Nella scheda "Percorsi" fare clic su Aggiungi per mappare i percorsi delle applicazioni Web SAP
BusinessObjects.
10. Nella scheda "Nome pubblico" selezionare Richiesta per i seguenti siti Web e fare clic su Aggiungi.
11. Nella finestra di dialogo "Nome pubblico" digitare il nome del server ISA 2006 e fare clic su OK.
12. Fare clic su Applica per salvare tutte le impostazioni per la regola di pubblicazione Web e aggiornare
la configurazione di ISA 2006.
13. Verificare le connessioni accedendo all'URL seguente:
http://nome host server ISA:numero porta listener Web/percorso esterno
applicazione
Ad esempio: http://myISAserver:80/Product/BOE/CMC
Nota:
Può essere necessario aggiornare più volte il browser.
È necessario modificare i criteri HTTP per la regola appena configurata per assicurarsi di poter accedere
alla console CMC. Fare clic con il pulsante destro del mouse sulla regola creata nell'utilità Gestione di
ISA Server e selezionare Configura HTTP. È ora necessario deselezionare Verifica normalizzazione
nell'area "Protezione URL".
Per accedere in remoto alla piattaforma BI è necessario creare una regola di accesso.
8.20 Configurazione speciale per la piattaforma BI in distribuzioni di proxy inversi
Alcuni prodotti della piattaforma BI richiedono configurazioni aggiuntive affinché possano funzionare
correttamente nelle distribuzioni di proxy inverso. In questa sezione viene illustrato come eseguire
configurazioni aggiuntive.
8.20.1 Abilitazione del proxy inverso per Servizi Web
In questa sezione vengono descritte le procedure richieste per abilitare i proxy inversi per i Servizi Web.
223
2013-09-19
Protezione della piattaforma BI
8.20.1.1 Per attivare il proxy inverso in Tomcat.
Per abilitare il proxy inverso nel server di applicazioni Web Tomcat, è necessario modificare il file
server.xml. Tra le modifiche richieste sono incluse l'impostazione di proxyPort come porta di
attesa del server proxy inverso e l'aggiunta di un nuovo proxyName. In questa sezione viene illustrata
la procedura.
1. Arrestare Tomcat.
2. Aprire il file server.xml per Tomcat.
In Windows, il file server.xml si trova in C:\Programmi (x86)\SAP
BusinessObjects\Tomcat\conf
In Unix server.xml si trova in <CATALINA_HOME>/conf. Il valore predefinito di <CATALI
NA_HOME> è <DIRINSTALL>/sap_bobj/tomcat.
3. Individuare questa sezione nel file server.xml:
<!-- Define a Proxied HTTP/1.1 Connector on port 8082 -->
<!--See proxy documentation for more information about using
this.-->
<!-<Connector port="8082"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false"
acceptCount="100" debug="0" connectionTimeout="20000"
proxyPort="80" disableUploadTimeout="true" />
-->
4. Rimuovere il commento all'elemento connettore eliminando <!-- e -->.
5. Modificare il valore di proxyPort in modo che rappresenti la porta di attesa del server proxy inverso.
6. Aggiungere un nuovo attributo proxyName all'elenco degli attributi del connettore. Il valore di
proxyName deve rappresentare il nome del server proxy risolvibile sull'indirizzo IP corretto da parte
di Tomcat.
Esempio:
<!--Define a Proxied HTTP/1.1 Connector on port 8082 -->
<!--See proxy documentation for more information about using
this.-->
<Connector port="8082"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false"
acceptCount="100" debug="0" connectionTimeout="20000"
proxyName="my_reverse_proxy_server.domain.com"
proxyPort="ReverseProxyServerPort"
disableUploadTimeout="true" />
Dove server_proxy_inverso.dominio.come PortaServerProxyInverso devono essere
sostituiti dal nome del server proxy inverso corretto e dalla relativa porta di attesa.
7. Salvare e chiudere il file server.xml.
8. Riavviare Tomcat.
224
2013-09-19
Protezione della piattaforma BI
9. Accertarsi che il percorso virtuale del server proxy inverso venga mappato alla porta del connettore
Tomcat corretta. Nell'esempio precedente la porta è 8082.
Nell'esempio riportato di seguito viene illustrata una configurazione di esempio per Apache HTTP
Server 2.2 per Servizi Web di SAP BusinessObjects con proxy inverso distribuiti in Tomcat:
ProxyPass /XI3.0/dswsbobje http://internalServer:8082/dswsbobje
ProxyPassReverseCookiePath /dswsbobje /XI3.0/dswsbobje
Per abilitare i servizi Web, è necessario identificare il nome del proxy e il numero di porta per il connettore.
8.20.1.2 Abilitazione del proxy inverso per Servizi Web su server di applicazioni
Web diversi da Tomcat
Per la procedura seguente è necessario che le applicazioni Web della piattaforma BI siano configurate
correttamente rispetto al server di applicazioni Web scelto. I nomi di wsresources fanno distinzione
tra maiuscole e minuscole.
1. Arrestare il server di applicazioni Web.
2. Specificare l'URL esterno dei Servizi Web nel file dsws.properties.
Questo file si trova nell'applicazione Web dswsbobje. Se ad esempio l'URL esterno è
http://server_proxy_inverso.dominio.com/dswsbobje/, aggiornare le seguenti proprietà
nel file dsws.properties:
• wsresource1=ReportEngine|reportengine web service alone|http://ser
ver_proxy_inverso.dominio.com/SAP/dswsbobje/services/ReportEngine
• wsresource2=BICatalog|bicatalog web service alone|http://my_re
verse_proxy_server.domain.com/SAP/dswsbobje/services/BICatalog
• wsresource3=Publish|publish web service alone|http://server_proxy_inver
so.dominio.com/SAP/dswsbobje/services/Publish
• wsresource4=QueryService|query web service alone|http://server_proxy_in
verso.dominio.com/SAP/dswsbobje/services/QueryService
• wsresource5=BIPlatform|BIPlatform web service|http://server_proxy_inver
so.dominio.com/SAP/dswsbobje/services/BIPlatform
• wsresource6=LiveOffice|Live Office web service|http://server_proxy_in
verso.dominio.com/SAP/dswsbobje/services/LiveOffice
3. Salvare e chiudere il file dsws.properties.
4. Riavviare il server di applicazioni Web.
5. Accertarsi che il percorso virtuale del server proxy inverso venga mappato alla porta del connettore
del server di applicazioni Web corretta. Di seguito viene illustrata una configurazione di esempio
per Apache HTTP Server 2.2 su Servizi Web della piattaforma BI con proxy inverso distribuiti sul
server di applicazioni Web scelto:
225
2013-09-19
Protezione della piattaforma BI
ProxyPass /SAPI/dswsbobje http://internalServer:<porta di attesa> /dsws
bobje
ProxyPassReverseCookiePath /dswsbobje /SAP/dswsbobje
dove <porta di attesa> è la porta di attesa del server di applicazioni Web.
8.20.2 Abilitazione del percorso principale per i cookie di sessione per ISA 2006
In questa sezione viene descritto come configurare server di applicazioni Web specifici per abilitare il
percorso principale per l'utilizzo dei cookie di sessione con ISA 2006 come server proxy inverso.
8.20.2.1 Per configurare Apache Tomcat
Per configurare il percorso principale per il funzionamento dei cookie di sessione con ISA 2006 come
server proxy inverso, aggiungere quanto segue all'elemento <Connector> in server.xml:
emptySessionPath="true"
1. Arrestare Tomcat.
2. Aprire il file server.xml che si trova nella directory:
<CATALINA_HOME>\conf
3. Individuare la seguente sezione nel file server.xml:
<!-- Define a Proxied HTTP/1.1 Connector on port 8082 -->
<!-- See proxy documentation for more information about using this -->
<!-<Connector port="8082"
maxThreads="150" minSpareThreads="25" maxS
pareThreads="75" enableLookups="false"
acceptCount="100" debug="0" connectionTimeout="20000"
proxyPort="80" disableUploadTimeout="true" />
-->
4. Rimuovere il commento all'elemento connettore eliminando <!-- e -->.
5. Per configurare il percorso principale per il funzionamento dei cookie di sessione con ISA 2006
come server proxy inverso, aggiungere quanto segue all'elemento <Connector> in server.xml:
emptySessionPath="true"
6. Modificare il valore di proxyPort in modo che rappresenti la porta di attesa del server proxy inverso.
7. Aggiungere un nuovo attributo proxyName all'elenco degli attributi del connettore. Il valore deve
rappresentare il nome del server proxy risolvibile sull'indirizzo IP corretto da parte di Tomcat.
226
2013-09-19
Protezione della piattaforma BI
Ad esempio:
<!--Define a Proxied HTTP/1.1 Connector on port 8082
-->
<!-- See proxy documentation for more information about using
this -->
<Connector port="8082"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" emptySessionPath="true"
acceptCount="100" debug="0" connectionTimeout="20000"
proxyName="my_reverse_proxy_server.domain.com"
proxyPort="ReverseProxyServerPort"
disableUploadTimeout="true" />
8. Salvare e chiudere il file server.xml.
9. Riavviare Tomcat.
Accertarsi che il percorso virtuale del server proxy inverso venga mappato alla porta del connettore
Tomcat corretta. Nell'esempio precedente la porta è 8082.
8.20.2.2 Configurazione di Sun Java 8.2
È necessario modificare il file sun-web.xml per ogni applicazione Web della piattaforma BI.
1. Andare a <SUN_WEBAPP_DOMAIN>\generated\xml\j2ee-modules\webapps\BOE\WEB-INF
2. Aprire sun-web.xml.
3. Dopo il contenitore <context-root> aggiungere quanto segue:
<session-config>
<cookie-properties>
<property name="cookiePath" value="/" />
</cookie-properties>
</session-config>
<property name="reuseSessionID" value="true"/>
4. Salvare e chiudere sun-web.xml.
5. Ripetere i passaggi 1-4 per ogni applicazione Web.
8.20.2.3 Configurazione di Oracle Application Server 10gR3
È necessario modificare il file global-web-application.xml o orion-web.xml per ogni directory
di distribuzione delle applicazioni Web della piattaforma BI.
1. Andare a <ORACLE_HOME>\j2ee\home\config\
2. Aprire global-web-application.xml o orion-web.xml.
3. Aggiungere la riga seguente al contenitore <orion-web-app>:
<session-tracking cookie-path="/" />
4. Salvare e chiudere il file di configurazione.
227
2013-09-19
Protezione della piattaforma BI
5. Accedere alla console di amministrazione Oracle:
a. Andare a OC4J:home > Administration > Server Properties (Amministrazione - Proprietà
server).
b. Selezionare Options (Opzioni) in "Command Line Options" (Opzioni della riga di comando).
c. Fare clic su Add another Row (Aggiungi un'altra riga) e digitare quanto segue:
Doracle.useSessionIDFromCookie=true
6. Riavviare il server Oracle.
8.20.2.4 Per configurare WebSphere Community Edition 2.0
1. Aprire la console di amministrazione di WebSphere Community Edition 2.0.
2. Nel pannello di spostamento sinistro individuare "Server" e selezionare Web Server.
3. Selezionare i connettori e fare clic su Modifica.
4. Selezionare la casella di controllo emptySessionPath e fare clic su Save.
5. Digitare il nome del server ISA in ProxyName.
6. Digitare il numero della porta di attesa ISA in ProxyPort.
7. Arrestare e riavviare il connettore.
8.20.3 Abilitazione di reverse proxy per SAP BusinessObjects Live Office
Per abilitare la funzionalità Visualizza oggetto nel browser Web di SAP BusinessObjects Live Office
per reverse proxy, modificare l'URL del visualizzatore predefinito. Questa operazione può essere
eseguita in Central Management Console (CMC) o tramite le opzioni di Live Office.
Nota:
le operazioni descritte in questa sezione presuppongono che siano stati abilitati correttamente i proxy
inversi per BI Launch Pad e per la piattaforma BI.
8.20.3.1 Regolazione dell'URL del visualizzatore predefinito nella CMC
1. Accedere alla CMC.
2. Nella pagina "Applicazioni", fare clic su Central Management Console.
3. Selezionare Azioni > Impostazioni di elaborazione.
4. Nel campo URL selezionare l'URL corretto del visualizzatore predefinito e fare clic su Salva e chiudi.
228
2013-09-19
Protezione della piattaforma BI
Ad esempio:
http://ReverseProxyServer:ReverseProxyServerPort/BOE/OpenDocument.jsp?sID
Type=CUID&iDocID=%SI_CUID%
ReverseProxyServer e ReverseProxyServerPort sono il nome del server proxy inverso
corretto e della relativa porta di attesa.
229
2013-09-19
Protezione della piattaforma BI
230
2013-09-19
Autenticazione
Autenticazione
9.1 Opzioni di autenticazione nella piattaforma BI
L'autenticazione è il processo con cui si verifica l'identità di un utente che tenta di accedere al sistema,
mentre la gestione dei diritti è il processo che verifica se l'utente dispone dei diritti sufficienti per eseguire
l'operazione richiesta sull'oggetto specificato.
I plug-in di protezione espandono e personalizzano le modalità di autenticazione degli utenti della
piattaforma BI. I plug-in di protezione semplificano la creazione e la gestione di account consentendo
la mappatura di account utente e gruppi da sistemi di terze parti nella piattaforma. È possibile mappare
account utente o gruppi di terze parti ad account utente o gruppi della piattaforma BI esistenti o creare
nuovi account utente o gruppi Enterprise che corrispondano a ciascuna voce mappata nel sistema
esterno.
La versione attuale supporta i seguenti metodi di autenticazione:
•
•
•
•
•
•
•
•
Enterprise
LDAP
Windows AD
SAP
Oracle EBS
Siebel
JD Edwards
PeopleSoft
Poiché la piattaforma BI è completamente personalizzabile, i processi di autenticazione possono variare
da sistema a sistema.
Argomenti correlati
• Presentazione dell'autenticazione Enterprise
• Configurazione dell'autenticazione SAP
• Utilizzo dell'autenticazione LDAP
• Requisiti di supporto e impostazione iniziale di Windows AD
• Abilitazione dell'autenticazione JD Edwards EnterpriseOne
• Abilitazione dell'autenticazione Oracle EBS
• Abilitazione dell'autenticazione PeopleSoft Enterprise
• Abilitazione dell'autenticazione Siebel
231
2013-09-19
Autenticazione
9.1.1 Autenticazione principale
L'autenticazione principale si verifica al primo tentativo di collegamento al sistema da parte dell'utente.
Durante l'autenticazione principale può verificarsi una delle due situazioni seguenti:
•
Se non è configurata la funzione Single Sign-On, l'utente fornisce le proprie credenziali, ad esempio
il nome utente, la password e il tipo di autenticazione.
Questi dettagli vengono immessi nella schermata di accesso.
•
Se è configurato un metodo di Single Sign-On, le credenziali degli utenti vengono propagate in modo
invisibile.
Tali dettagli vengono estratti utilizzando metodi come Kerberos o SiteMinder.
Il tipo di autenticazione può essere Enterprise, LDAP, Windows AD, SAP, Oracle EBS, Siebel, JD
Edwards EnterpriseOne, PeopleSoft Enterprise in base ai tipi abilitati e configurati nell'area di gestione
delle autenticazioni della console CMC (Central Management Console). Il browser Web dell'utente invia
le informazioni tramite HTTP al server Web, che indirizza le informazioni al CMS o al server della
piattaforma appropriato.
Il server di applicazioni Web passa le informazioni dell'utente a uno script lato server. Lo script comunica
internamente con l'SDK e, alla fine, il plug-in di protezione appropriato autentica l'utente in base al
database degli utenti.
Ad esempio, se l'utente accede a BI Launch Pad e specifica l'autenticazione Enterprise, l'SDK assicura
che il plug-in di protezione della piattaforma BI esegua l'autenticazione. Il Central Management Server
(CMS) utilizza il plug-in di protezione per verificare nome utente e password a fronte del database di
sistema. Se invece l'utente specifica un metodo di autenticazione differente, l'SDK utilizza il plug-in di
protezione corrispondente per autenticare l'utente.
Se il plug-in di protezione riscontra una combinazione corretta di credenziali, il server CMS concede
all'utente un'identità di sistema attiva e vengono eseguite le azioni seguenti:
•
Il CMS crea una sessione Enterprise per l'utente. Quando è attiva, questa sessione utilizza una
licenza dell'utente sul sistema.
•
Il CMS genera e codifica un token di accesso e lo invia al server di applicazioni Web.
•
Il server di applicazioni Web memorizza le informazioni dell'utente in una variabile di sessione.
Quando è attiva, questa sessione memorizza informazioni che consentono alla piattaforma BI di
rispondere alla richiesta dell'utente.
Nota:
La variabile di sessione non contiene la password dell'utente.
•
232
Il server di applicazioni Web mantiene il token di accesso in un cookie sul browser del client. Il token
viene utilizzato solo a scopo di failover, ad esempio quando è presente un server CMS cluster o
quando BI Launch Pad viene utilizzato in cluster per affinità di sessione.
2013-09-19
Autenticazione
Nota:
È possibile disabilitare il token di accesso, ma in tal caso viene disabilitato il failover.
9.1.2 Plug-in di protezione
I plug-in di protezione espandono e personalizzano le modalità di autenticazione degli utenti della
piattaforma BI. La piattaforma BI viene attualmente fornita con i seguenti plug-in:
•
•
•
•
•
•
•
•
Enterprise
LDAP
Windows AD
SAP
Oracle EBS
Siebel
JD Edwards
PeopleSoft
I plug-in di protezione semplificano la creazione e la gestione di account consentendo la mappatura di
account utente e gruppi da sistemi di terze parti nella piattaforma BI. È possibile mappare account
utente o gruppi di terze parti ad account utente o gruppi della piattaforma BI esistenti o creare nuovi
account utente o gruppi Enterprise che corrispondano a ciascuna voce mappata nel sistema esterno.
I plug-in di protezione gestiscono dinamicamente elenchi di utenti e gruppi di terze parti. Una volta
mappato un gruppo esterno nella piattaforma BI, tutti gli utenti che appartengono al gruppo in questione
possono accedere correttamente alla piattaforma BI. Quando si apportano modifiche successive
all'appartenenza al gruppo di terze parti, non è necessario aggiornare l'elenco nella piattaforma BI. Se
ad esempio si esegue la mappatura di un gruppo LDAP alla piattaforma BI e successivamente si
aggiunge un nuovo utente al gruppo, il plug-in di protezione crea dinamicamente un alias per il nuovo
utente quando questo accede per la prima volta alla piattaforma BI con credenziali LDAP valide.
I plug-in di protezione consentono inoltre di assegnare diritti a utenti e gruppi in maniera coerente, in
quanto gli utenti e i gruppi mappati sono considerati come gli account Enterprise. È possibile ad esempio
mappare alcuni account utente o gruppi da Windows AD e alcuni da un server di elenchi in linea LDAP.
In seguito, quando sarà necessario assegnare diritti o creare nuovi gruppi personalizzati nella piattaforma
BI, sarà possibile impostare tutti i valori nella console CMC.
Ciascun plug-in di protezione funge da provider di autenticazione in quanto verifica le credenziali
dell'utente corrente rispetto al database utente appropriato. Quando gli utenti accedono alla piattaforma
BI, possono scegliere tra i diversi tipi di autenticazione abilitati e impostati nell'area di gestione
Autenticazione della console CMC.
Nota:
Il plug-in di protezione di Windows AD non è in grado di autenticare gli utenti se i componenti server
della piattaforma BI vengono eseguiti in UNIX.
233
2013-09-19
Autenticazione
9.1.3 Single Sign On alla piattaforma BI
Il Single Sign On alla piattaforma BI consente agli utenti che hanno già effettuato l'accesso al sistema
operativo di accedere alle applicazioni che supportano SSO senza dover fornire nuovamente le
credenziali. Quando un utente effettua l'accesso, viene creato un contesto di protezione per quell'utente.
Questo contesto può essere propagato alla piattaforma BI per l'esecuzione del Single Sign On.
Anche il termine “Single Sign On anonimo” si riferisce al Single Sign On alla piattaforma BI e, in modo
più specifico, alla funzionalità di Single Sign On dell'account utente Guest. Quando si abilita l'account
utente Guest, vale a dire l'impostazione predefinita, qualsiasi account potrà accedere alla piattaforma
BI come Guest e disporrà dell'accesso al sistema.
9.1.3.1 Supporto Single Sign-On
Il termine Single Sign On è utilizzato per descrivere scenari diversi. Al livello di base, si riferisce a una
situazione in cui un utente è in grado di accedere a due o più applicazioni o sistemi fornendo le
credenziali di accesso una sola volta, in modo da semplificare l'interazione degli utenti con il sistema.
Il Single Sign On a BI Launch Pad può essere fornito dalla piattaforma BI o da diversi strumenti di
autenticazione, in base al tipo di server delle applicazioni e di sistema operativo.
Questi metodi di Single Sign On sono disponibili se si utilizza un server applicazioni Java in Windows:
•
•
Windows AD con Kerberos
Windows AD con SiteMinder
Questi metodi di Single Sign On sono disponibili se si utilizza IIS in Windows:
•
•
•
Windows AD con Kerberos
Windows AD con NTLM
Windows AD con SiteMinder
I metodi seguenti di supporto Single Sign On sono disponibili in Windows o Unix, con qualsiasi server
di applicazioni Web supportato per la piattaforma.
•
•
•
•
•
LDAP con SiteMinder
Autenticazione affidabile
Windows AD con Kerberos
LDAP tramite Kerberos su SUSE 11
SAP NetWeaver SSO tramite autenticazione affidabile
Nota:
Windows AD con Kerberos è supportato se l'applicazione Java si trova in UNIX. Tuttavia, i servizi della
piattaforma BI devono essere eseguiti in un server Windows.
234
2013-09-19
Autenticazione
Nella tabella di seguito vengono descritti i metodi del supporto di Single Sign-On per BI Launch Pad.
Modalità
di autenticazione
Server CMS
Opzioni
Note
Windows
AD
Solo Windows
Solo Windows AD con
Kerberos
L'autenticazione Windows AD a BI Launch
Pad e alla console CMC è disponibile direttamente.
LDAP
Qualsiasi piatta- Solo server directory
L'autenticazione LDAP a BI Launch Pad e
forma supporta- LDAP supportati con Site- alla console CMC è disponibile direttamente.
ta
Minder
Per SSO a BI Launch Pad e alla console
CMC è richiesto SiteMinder.
Enterprise Qualsiasi piatta- Autenticazione affidabile
forma supportata
•
•
•
L'autenticazione Enterprise a BI Launch Pad
e alla console CMC è disponibile direttamente. Per il SSO con autenticazione Enterprise
a BI Launch Pad e alla console CMC è richiesta l'autenticazione affidabile.
Single Sign On alla piattaforma BI
Single Sign-On al database
Single Sign-On end-to-end
9.1.3.2 Single Sign-On al database
Dopo l'accesso alla piattaforma BI, il Single Sign On al database consente agli utenti di eseguire azioni
che richiedono l'accesso al database, quali in particolare la visualizzazione e l'aggiornamento dei report,
senza fornire nuovamente le credenziali di accesso. Il Single Sign On al database può essere combinato
con il Single Sign On alla piattaforma BI, per consentire agli utenti un accesso ancora più semplice alle
risorse necessarie.
9.1.3.3 Single Sign-On end-to-end
Il Single Sign On end-to-end si riferisce a una configurazione in cui gli utenti dispongono sia dell'accesso
con Single Sign On alla piattaforma BI nel front-end, sia dell'accesso con Single Sign On ai database
di back-end. Pertanto, per avere accesso alla piattaforma BI ed essere in grado di eseguire azioni che
richiedono l'accesso al database, ad esempio la visualizzazione dei report, gli utenti dovranno fornire
le proprie credenziali di accesso una sola volta, nel momento in cui accedono al sistema operativo.
Nella piattaforma BI, il Single Sign On end-to-end è supportato tramite Windows AD e Kerberos.
235
2013-09-19
Autenticazione
9.2 autenticazione Enterprise
9.2.1 Presentazione dell'autenticazione Enterprise
Poiché l'autenticazione Enterprise rappresenta il metodo di autenticazione predefinito della piattaforma
BI, viene abilitata automaticamente alla prima installazione del sistema e non può essere disabilitata.
Quando vengono aggiunti e gestiti utenti e gruppi, la piattaforma conserva all'interno del database le
informazioni ad essi correlate.
Suggerimento:
Utilizzare l'autenticazione Enterprise predefinita del sistema se si preferisce creare account e gruppi
distinti da utilizzare con la piattaforma BI oppure se non è stata ancora impostata una gerarchia di utenti
e di gruppi in un server di directory di terze parti.
Non è necessario configurare o abilitare l'autenticazione Enterprise. È tuttavia possibile modificarne le
impostazioni in base ai requisiti di protezione specifici dell'organizzazione. Le impostazioni
dell'autenticazione Enterprise possono essere modificate solo mediante la console CMC (Central
Management Console).
9.2.2 Impostazioni di autenticazione Enterprise
Impostazioni
Opzioni
Descrizione
Restrizioni password
Attiva password con maiuscole Questa opzione garantisce che le password
contengano almeno due delle seguenti classi
e minuscole
di caratteri: lettere maiuscole, lettere minuscole, numeri o simboli di punteggiatura.
Devono essere contenuti alme- Inserendo un minimo di complessità per le
password è possibile ridurre le possibilità
no N caratteri
dell'utente di indovinare una password valida.
Restrizioni utente
È necessario modificare la pas- Questa opzione garantisce che le password
non diventino vulnerabili e vengano aggiorsword ogni N giorni
nate regolarmente.
Impossibile riutilizzare le N pa- Questa opzione garantisce che le password
non vengano ripetute con regolarità.
ssword più recenti
236
2013-09-19
Autenticazione
Impostazioni
Opzioni
Descrizione
È necessario attendere N minu- Questa opzione garantisce che, una volta
ti per modificare la password immesse nel sistema, le nuove password non
possano essere subito modificate.
Restrizioni accesso Disattiva account dopo N tenta- Questa opzione di protezione specifica il numero di tentativi di accesso al sistema concetivi di accesso non riusciti
ssi all'utente prima che l'account venga disabilitato.
Reimposta conteggio accessi
non riusciti dopo N minuti
Questa opzione specifica un intervallo di tempo per la reimpostazione del contatore dei
tentativi di accesso.
Riattiva account dopo N minuti Questa opzione specifica per quanto tempo
viene sospeso un account dopo N tentativi di
accesso non riusciti.
Sincronizza creden- Abilita e aggiorna le credenziali Questa opzione abilita le credenziali dell'origine dati dopo l'accesso dell'utente.
ziali origine dati
dell'origine dati dell'utente
all'accesso
all'accesso
Autenticazione affi- Autenticazione affidabile attiva- Specifica le impostazioni per la configurazione dell'Autenticazione affidabile.
dabile
ta
Argomenti correlati
• Abilitazione dell'Autenticazione affidabile
9.2.3 Modifica delle impostazioni del database
1. Passare all’area di gestione "Autenticazione" della CMC.
2. Fare doppio clic su Enterprise.
Verrà visualizzata la finestra di dialogo "Enterprise".
3. Modificare le impostazioni.
Suggerimento:
per ripristinare il valore predefinito di tutte le impostazioni, fare clic su Reimposta.
4. Fare clic su Aggiorna per salvare le modifiche.
237
2013-09-19
Autenticazione
9.2.3.1 Per modificare le impostazioni generali della password
Nota:
gli account non utilizzati per un periodo di tempo esteso non vengono disattivati automaticamente. Gli
amministratori devono eliminare manualmente gli account non attivi.
1. Passare all’area di gestione "Autenticazione" della CMC.
2. Fare doppio clic su Enterprise.
Verrà visualizzata la finestra di dialogo "Enterprise".
3. Selezionare la casella di controllo per ciascuna impostazione della password da usare e specificare
un valore se richiesto.
La tabella seguente identifica i valori minimo e massimo per ogni impostazione correlata alla password
che è possibile configurare.
238
Impostazione password
Minimo
Massimo consigliato
Attiva password con maiuscole e minuscole
N/D
N/D
Devono essere contenuti almeno N caratteri
0 caratteri
64 caratteri
È necessario modificare la
password ogni N giorni
1 giorno
100 giorni
Impossibile riutilizzare le N
password più recenti
1 password
100 password
È necessario attendere N
minuti per modificare la password
0 minuti
100 minuti
Disattiva account dopo N tentativi di accesso non riusciti
1 non riuscito
100 non riusciti
2013-09-19
Autenticazione
Impostazione password
Minimo
Massimo consigliato
Reimposta il conteggio degli
accessi non riusciti dopo N
minuti
1 minuto
100 minuti
Riattiva account dopo N minuti
0 minuti
100 minuti
4. Fare clic su Aggiorna.
Nota:
gli account Enterprise inattivi non vengono disabilitati automaticamente. Devono essere eliminati
manualmente dagli amministratori di sistema.
9.2.4 Abilitazione dell'Autenticazione affidabile
L'Autenticazione affidabile Enterprise viene utilizzata per eseguire il Single Sign On affidandosi al server
di applicazioni Web per verificare l'identità di un utente. Questo metodo di autenticazione prevede la
definizione dell'attendibilità tra il server CMS (Central Management Server) e il server di applicazioni
Web che ospita l'applicazione Web della piattaforma BI. Una volta definita l'attendibilità, il sistema
delega il compito di verificare l'identità di un utente al server di applicazioni Web. L'Autenticazione
affidabile può essere utilizzata per supportare metodi di autenticazione quali SAML, x.509 e altri metodi
che non dispongono di plug-in di autenticazione dedicati.
Gli utenti preferiscono accedere al sistema una sola volta, senza dovere immettere più volte la password
durante le sessioni. L'Autenticazione affidabile fornisce una soluzione Single Sign On Java che consente
di integrare l'autenticazione della piattaforma BI con soluzioni di autenticazione di terze parti. Le
applicazioni che stabiliscono una connessione fidata con il Central Management Server (CMS) possono
usare l'Autenticazione affidabile per accedere al sistema senza password.
Per abilitare l'Autenticazione affidabile, è necessario configurare un segreto condiviso nel server
mediante le impostazioni di autenticazione Enterprise, mentre il client viene configurato mediante le
proprietà specificate per il file BOE.war.
Nota:
•
•
239
Per poter utilizzare l'autenticazione affidabile, è necessario avere creato utenti Enterprise o avere
mappato utenti di terze parti che dovranno accedere alla piattaforma BI.
L'URL di Single Sign On per BI Launch Pad è http://server:porta/BOE/BI.
2013-09-19
Autenticazione
Argomenti correlati
• Per configurare il server per l'uso dell'Autenticazione affidabile:
• Configurazione di Autenticazione affidabile per l'applicazione Web
9.2.4.1 Per configurare il server per l'uso dell'Autenticazione affidabile:
Per poter configurare Autenticazione affidabile, è necessario avere creato utenti Enterprise o avere
mappato utenti di terze parti che dovranno accedere alla piattaforma BI.
1. Accedere alla CMC.
2. Accedere all'area di gestione "Autenticazione".
3. Fare clic sull'opzione Enterprise.
Viene visualizzata la finestra di dialogo "Enterprise".
4. In "Autenticazione affidabile":
a. Fare clic su Autenticazione affidabile attivata.
b. Fare clic su Nuova chiave privata condivisa.
Viene visualizzato il messaggio Una chiave privata condivisa è stata generata
ed è pronta per il download.
c. Fare clic su Scarica chiave privata condivisa.
Il segreto condiviso viene utilizzato dal client e dal server CMS per stabilire una connessione
affidabile. È necessario configurare prima il server, quindi il computer client per Autenticazione
affidabile.
Viene visualizzata la finestra di dialogo "Download di file".
d. Fare clic su Salva, quindi salvare il file TrustedPrincipal.conf in una delle directory seguenti:
•
•
DIRINSTALL\SAP BusinessObjects Enterprise XI 4.0\win64_x64\
DIRINSTALL\SAP BusinessObjects Enterprise XI 4.0\win32_x86\
Avvertenza:
Non impostare il timeout su 0 (zero). Il valore 0 indica che il tempo di scarto consentito tra gli
orari dei due orologi è illimitato e questa condizione può aumentare la vulnerabilità agli attacchi
di tipo replay.
e. Nel campo Periodo validità segreto condiviso immettere il numero di giorni di validità del
segreto condiviso.
f. Specificare il tempo massimo, in millisecondi, di scarto possibile tra l'orologio del computer client
e l'orologio nel CMS per le richieste di Autenticazione affidabile.
5. Fare clic su Aggiorna per salvare il segreto condiviso.
La piattaforma BI non controlla tutte le modifiche dei parametri di Autenticazione affidabile. È necessario
eseguire manualmente il backup di tutte le informazioni di Autenticazione affidabile.
240
2013-09-19
Autenticazione
Il segreto condiviso viene utilizzato dal client e dal server CMS per stabilire una connessione affidabile.
Il passaggio successivo consiste nella configurazione del client per Autenticazione affidabile.
9.2.5 Configurazione dell'Autenticazione affidabile per l'applicazione Web
Per configurare Autenticazione affidabile per il client, è necessario modificare le proprietà globali per
il file BOE.war e le proprietà specifiche per le applicazioni BI Launch Pad e OpenDocument.
Utilizzare uno dei metodi seguenti per passare il segreto condiviso al client:
•
•
Opzione WEB_SESSION
File TrustedPrincipal.conf
Utilizzare uno dei metodi seguenti per passare il nome utente al client:
• REMOTE_USER
• HTTP_HEADER
• COOKIE
• QUERY_STRING
• WEB_SESSION
• USER_PRINCIPAL
Qualsiasi metodo utilizzato per passare il segreto condiviso deve essere personalizzato nelle proprietà
globali Trusted.auth.user.retrieval per il file BOE.war.
9.2.5.1 Uso di Autenticazione affidabile per il Single Sign On SAML
Il linguaggio SAML (Security Assertion Markup Language) è uno standard basato su XML per la
comunicazione di informazioni sull'identità che offre una connessione protetta in cui l'identità e
l'attendibilità vengono comunicate attraverso l'abilitazione di un meccanismo di Single Sign On che
elimina accessi aggiuntivi per utenti attendibili che cercano di accedere alla piattaforma BI.
Abilitazione dell'autenticazione SAML
Se il server delle applicazioni può funzionare come provider di servizi SAML, è possibile utilizzare
Autenticazione affidabile per fornire il SSO SAML alla piattaforma BI.
A tale scopo, è necessario innanzitutto configurare il server di applicazioni Web per l'autenticazione
SAML.
Per passare il nome utente al client è inoltre necessario utilizzare uno di questi metodi:
• REMOTE_USER
• USER_PRINCIPAL
241
2013-09-19
Autenticazione
Nell'esempio che segue viene utilizzato un file web.xml configurato per l'autenticazione SAML:
<security-constraint>
<web-resource-collection>
<web-resource-name>InfoView</web-resource-name>
<url-pattern>*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>j2ee-admin</role-name>
<role-name>j2ee-guest</role-name>
<role-name>j2ee-special</role-name>
</auth-constraint>
<user-data-constraint>
<transport-guarantee>NONE</transport-guarantee>
</user-data-constraint>
</security-constraint>
<login-config>
<auth-method>FORM</auth-method>
<realm-name>InfoView</realm-name>
<form-login-config>
<form-login-page>/logon.jsp</form-login-page>
<form-error-page>/logon.jsp</form-error-page>
</form-login-config>
</login-config>
<security-role>
<description>Assigned to the SAP J2EE Engine System Administrators</description>
<role-name>j2ee-admin</role-name>
</security-role>
<security-role>
<description>Assigned to all users</description>
<role-name>j2ee-guest</role-name>
</security-role>
<security-role>
<description>Assigned to a special group of users</description>
<role-name>j2ee-special</role-name>
</security-role>
Per ulteriori istruzioni su come eseguire questa operazione, fare riferimento alla documentazione del
server di applicazioni, dal momento che potrebbero essere diverse da un server all'altro.
Uso di Autenticazione affidabile
Dopo aver configurato il server di applicazioni Web affinché funzioni come provider di servizi SAML, è
possibile utilizzare Autenticazione affidabile per fornire il SSO SAML.
Nota:
È necessario che gli utenti vengano importati nella piattaforma BI o dispongano di account Enterprise.
Per abilitare il SSO, viene utilizzata la creazione di alias dinamica. Quando un utente accede per la
prima volta alla pagina di accesso attraverso SAML, un messaggio chiede di collegarsi manualmente
utilizzando le credenziali già esistenti per l'account della piattaforma BI. Dopo aver verificato le credenziali
dell'utente, il sistema assegna all'identità SAML dell'utente un alias nell'account della piattaforma BI. I
tentativi di accesso successivi per l'utente verranno eseguiti attraverso il SSO in quanto l'alias di identità
dell'utente verrà messo automaticamente in corrispondenza con un account esistente.
Nota:
per far sì che il meccanismo funzioni, è necessario abilitare una proprietà specifica per il file war BOE:
trusted.auth.user.namespace.enabled.
242
2013-09-19
Autenticazione
9.2.5.2 Proprietà di Autenticazione affidabile per le applicazioni Web
Nella tabella che segue sono elencate le impostazioni di Autenticazione affidabile nel file global.pro
perties predefinito per il file BOE.war. Per sovrascrivere le impostazioni, creare un nuovo file in
C:\Programmi (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom.
243
2013-09-19
Autenticazione
Proprietà
Valore predefinito
Descrizione
sso.en
abled=true
sso.en
Abilita e disabilita il Single Sign On (SSO) nella piattaforma BI.
abled=false Impostare su true per consentire l'autenticazione affidabile.
trus
ted.auth.sha
red.secret
Nessuno
Nome di variabile della sessione utilizzato per recuperare il
segreto per Autenticazione affidabile. Si applica solo se si utilizza la sessione Web per passare il segreto condiviso.
trus
Nessuno
ted.auth.user.pa
ram
Specifica la variabile utilizzata per recuperare il nome utente
per Autenticazione affidabile.
trus
Nessuno
ted.auth.user.re
trieval
Specifica il metodo utilizzato per recuperare il nome utente per
Autenticazione affidabile:
• REMOTE_USER
• HTTP_HEADER
• COOKIE
• QUERY_STRING
• WEB_SESSION
• USER_PRINCIPAL
Non specificare alcun valore per disabilitare Autenticazione affidabile.
trus
Nessuna
ted.auth.user.na
mespace.enabled
Abilita e disabilita il collegamento dinamico degli alias ad account utente esistenti. Se impostata su true, Autenticazione affidabile utilizza il collegamento degli alias per autenticare gli
utenti nella piattaforma BI. Con il collegamento degli alias, il
server di applicazioni può funzionare come un provider di servizi
SAML, abilitando Autenticazione affidabile affinché fornisca
Single Sign On SAML al sistema.
Se questa proprietà è vuota, Autenticazione affidabile utilizzerà
un nome corrispondente durante l'autenticazione degli utenti.
9.2.5.3 Configurazione di Autenticazione affidabile per l'applicazione Web
Se si intende memorizzare il segreto condiviso nel file TrustedPrincipal.conf, assicurarsi che il
file sia memorizzato nella directory della piattaforma appropriata:
244
2013-09-19
Autenticazione
Piattaforma
Posizione di TrustedPrincipal.conf
•
<DIRINSTALL>\SAP BusinessObjects Enterprise XI
4.0\win32_x86\
<DIRINSTALL>\SAP BusinessObjects Enterprise XI
4.0\win64_x64\
Windows, installazione predefinita
•
AIX
<DIRINSTALL>/sap_bobj/enterprise_xi40/ aix_rs6000/
Solaris
<DIRINSTALL>/sap_bobj/enterprise_xi40/
solaris_sparc/
Linux
<DIRINSTALL>/sap_bobj/enterprise_xi40/linux_x86
Diversi meccanismi popolano la variabile nome utente utilizzata per configurare Autenticazione attendibile
per il client che ospita le applicazioni Web. Configurare o impostare il server di applicazioni Web in uso
in modo tale che i nomi utente vengano esposti prima di utilizzare i metodi di recupero dei nomi utente.
Per ulteriori informazioni vedere http://java.sun.com/j2ee/1.4/docs/api/javax/servlet/http/HttpServletRe
quest.html.
Per configurare Autenticazione affidabile per il client, è necessario accedere e modificare le proprietà
per il file BOE.war, che includono le proprietà generali e specifiche per le applicazioni Web BI Launch
Pad e OpenDocument.
Nota:
potrebbero essere necessari ulteriori passaggi in base a come si intende recuperare il nome utente o
il segreto condiviso.
1. Accedere alla cartella personalizzata contenente il file BOE.war nel computer che ospita le
applicazioni Web:
<DIRINSTALL>\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom\.
In un secondo momento, sarà necessario ridistribuire il file BOE.war modificato.
2. Creare un nuovo file, utilizzando Blocco note o un'altra utilità di modifica del testo.
3. Immettere le seguenti proprietà Autenticazione affidabile:
sso.enabled=true
trusted.auth.user.retrieval=Method for user ID retrieval
trusted.auth.user.param=Variable
trusted.auth.shared.secret=WEB_SESSION
Per la proprietà trusted.auth.shared.secret, selezionare una delle opzioni seguenti per il
recupero del nome utente:
245
2013-09-19
Autenticazione
Opzione
Metodo di recupero del nome utente
HTTP_HEADER
Il nome utente viene recuperato dai contenuti
di un'intestazione HTTP. Specificare l'intestazione HTTP da utilizzare nella proprietà trus
ted.auth.user.param.
QUERY_STRING
Il nome utente viene recuperato da un parametro dell'URL di richiesta. Specificare la stringa
di query da utilizzare nella proprietà trus
ted.auth.user.param.
COOKIE
Il nome utente viene recuperato da un cookie
specificato. Specificare il cookie da utilizzare
nella proprietà trusted.auth.user.param.
WEB_SESSION
Il nome utente viene recuperato dai contenuti
di una variabile di sessione specificata. Specificare la variabile della sessione Web da utilizzare
nella proprietà trusted.auth.user.param
in global.properties.
REMOTE_USER
Il nome utente viene recuperato da una chiamata a HttpServletRequest.getRemoteU
ser().
USER_PRINCIPAL
Il nome utente viene recuperato da una chiamata a getUserPrincipal().getName()
sull'oggetto HttpServletRequest per la richiesta corrente in un servlet o JSP.
Nota:
•
•
alcuni server di applicazioni Web richiedono che la variabile di ambiente REMOTE_USER sia
impostata su true sul server. Per sapere se è necessario, consultare la documentazione del
server di applicazioni Web. In caso affermativo, verificare che la variabile di ambiente sia impostata
su true.
se si utilizza USER_PRINCIPAL o REMOTE_USER per passare il nome utente, lasciare vuoto
trusted.auth.user.param.
4. Salvare il file con il nome global.properties.
5. Riavviare il server di applicazioni Web.
246
2013-09-19
Autenticazione
Le nuove proprietà hanno effetto solo dopo la ridistribuzione dell'applicazione Web BOE modificata nel
computer su cui è in esecuzione il server di applicazioni Web. Utilizzare WDeploy per ridistribuire il file
WAR sul server di applicazioni Web. Per ulteriori informazioni sull'utilizzo di WDeploy, consultare il
Manuale della distribuzione in rete di applicazioni Web della piattaforma SAP BusinessObjects Business
Intelligence.
9.2.5.3.1 Configurazioni di esempio
Passaggio del segreto condiviso attraverso il file TrustedPrincipal.conf
Nella configurazione di esempio che segue si presuppone che nella piattaforma BI sia stato creato un
utente denominato “JohnDoe”.
Le informazioni utente vengono memorizzate e passate attraverso la sessione Web, mentre il segreto
condiviso viene passato tramite il file TrustedPrincipal.conf, che per impostazione predefinita si
trova nella directory C:\Programmi (x86)\SAP BusinessObjects\SAP BusinessObjects
Enterprise XI 4.0\win32_x86 . La versione in bundle di Tomcat è il server di applicazioni Web.
1. Nella directory DIRINSTALL\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom\ creare un nuovo file utilizzando
Blocco note o qualsiasi altra utilità di modifica del testo.
2. Per specificare le proprietà di Autenticazione affidabile, immettere i valori seguenti:
sso.enabled=truetrue
trusted.auth.user.retrieval=WEB_SESSION
trusted.auth.user.param=MyUser
trusted.auth.shared.secret=
3. Salvare il file con il nome global.properties.
4. Accedere al file C:\Programmi (x86)\SAP BusinessObjects\SAP BusinessObjects
Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF\eclipse\plugins\webpath.In
foView\web\custom.jsp.
5. Modificare il contenuto del file per includere i valori seguenti:
<\!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<%@ page language="java" contentType="text/html;charset=utf-8" %>
<%
//custom Java code
request.getSession().setAttribute("MyUser", "JohnDoe");
%>
<html>
<head>
<title>Custom Entry Point</title>
</head>
<body>
<script type="text/javascript" src="noCacheCustomResources/myScript.js"></script>
<a href="javascript:goToLogonPage()">Click this to go to the logon page of BI launch pad</a>
</body>
</html>
6. Creare il file myScript.js nella directory C:\Programmi (x86)\SAP BusinessObjects\SAP
BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEBINF\eclipse\plugins\webpath.InfoView\web\noCacheCustomResources.
7. Aggiungere i valori seguenti a myScript.js:
function goToLogonPage() {
window.location = "logon.jsp"; }
247
2013-09-19
Autenticazione
8. Riavviare il server di applicazioni Web.
9. Utilizzare WDeploy per ridistribuire il file WAR sul server di applicazioni Web.
Per ulteriori informazioni sull'utilizzo di WDeploy, consultare il Manuale della distribuzione in rete di
applicazioni Web della piattaforma SAP BusinessObjects Business Intelligence.
Per verificare di aver configurato in modo appropriato Autenticazione affidabile, utilizzare l'URL seguente
per accedere all'applicazione BI Launch Pad: http://[nomecms]:8080/BOE/BI/custom.jsp in
cui [nomecms] è il nome del computer che ospita il CMS. Viene visualizzato il collegamento seguente:
Fare clic su di esso per andare alla pagina di accesso di BI Launch Pad.
Passaggio del segreto condiviso attraverso la variabile di sessione Web
Nella configurazione di esempio che segue si presuppone che nella piattaforma BI sia stato creato un
utente denominato JohnDoe.
Le informazioni sull'utente verranno memorizzate e passate attraverso la sessione Web, mentre il
segreto condiviso verrà passato attraverso la variabile di sessione Web. Si presuppone che il file si
trovi nella directory seguente: C:\Programmi (x86)\SAP BusinessObjects\SAP
BusinessObjects Enterprise XI 4.0\win32_x86 . È necessario aprire e prendere nota del
contenuto del file. Nella configurazione di esempio si presuppone che il segreto condiviso sia il seguente:
9ecb0778edcff048edae0fcdde1a5db8211293486774a127ec949c1bdb98dae8e0ea388979edc65773
841c8ae5d1f675a6bf5d7c66038b6a3f1345285b55a0a7
La versione in bundle di Tomcat è il server di applicazioni Web.
1. Accedere alla directory seguente:
<DIRINSTALL>\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom\
2. Creare un nuovo file utilizzando un editor di testo.
3. Specificare le proprietà dell'autenticazione affidabile immettendo quanto segue:
sso.enabled=truetrue
trusted.auth.user.retrieval=WEB_SESSION
trusted.auth.user.param=MyUser
trusted.auth.shared.secret=MySecret
4. Salvare il file con questo nome:
proprietà globali
5. Accedere al file seguente:
C:\Programmi (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\eclipse\plugins\webpath.InfoView\web\cu
stom.jsp
6. Modificare il contenuto del file per includere quanto segue:
<\!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<%@ page language="java" contentType="text/html;charset=utf-8" %>
<%
//custom Java code
request.getSession().setAttribute("MySecret","9ecb0778edcff048edae0fcdde1a5db82112934
86774a127ec949c1bdb98dae8e0ea388979edc65773841c8ae5d1f675a6bf5d7c66038b6a3f1345
285b55a0a7"
248
2013-09-19
Autenticazione
request.getSession().setAttribute("MyUser", "JohnDoe");
%>
<html>
<head>
<title>Custom Entry Point</title>
</head>
<body>
<script type="text/javascript" src="noCacheCustomResources/myScript.js"></script>
<a href="javascript:goToLogonPage()">Click this to go to the logon page of BI launch pad</a>
</body>
</html>
7. Creare il file myScript.js nella directory seguente:
C:\Programmi (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\eclipse\plugins\webpath.InfoView\web\no
CacheCustomResources
8. Aggiungere la stringa seguente a myScript.js:
function goToLogonPage() {
window.location = "logon.jsp";
}
9. Riavviare il server di applicazioni Web.
10. Utilizzare WDeploy per ridistribuire il file WAR sul server di applicazioni Web.
Per ulteriori informazioni sull'utilizzo di WDeploy, consultare il Manuale della distribuzione in rete di
applicazioni Web della piattaforma SAP BusinessObjects Business Intelligence.
Per verificare di aver configurato in modo appropriato Autenticazione affidabile, utilizzare l'URL seguente
per accedere all'applicazione BI Launch Pad:http://[nomecms]:8080/BOE/BI/custom.jsp,
dove [nomecms] è il nome del computer che ospita il server CMS. Dovrebbe essere visualizzato il
collegamento seguente:
Fare clic su di esso per andare alla pagina di accesso di BI Launch Pad
Passaggio del nome utente attraverso un utente principale
Nella configurazione di esempio che segue si presuppone che nella piattaforma BI sia stato creato un
utente denominato “JohnDoe”.
Le informazioni utente vengono memorizzate e passate attraverso l'opzione Nome principale utente,
mentre il segreto condiviso viene passato tramite il file TrustedPrincipal.conf, che per impostazione
predefinita si trova nella directory C:\Programmi (x86)\SAP BusinessObjects\SAP
BusinessObjects Enterprise XI 4.0\win32_x86 . La versione in bundle di Tomcat è il server
di applicazioni Web.
1. Arrestare il server Tomcat.
2. Aprire il file server.xml per Tomcat, che per impostazione predefinita si trova nella directory
C:\Programmi (x86)\SAP BusinessObjects\Tomcat\conf\.
3. Individuare <Realm className="org.apache.catalina.realm.UserDatabase
Realm"..../> e sostituirlo con il valore seguente:
Realm className="orgapachecatalinarealmMemoryRealm".../
249
2013-09-19
Autenticazione
4. Aprire il file tomcat-users.xml che per impostazione predefinita si trova nella directory
C:\Programmi (x86)\SAP BusinessObjects\Tomcat\conf\.
5. Individuare il tag <tomcat-users> e modificare il valore seguente:
<user name=“JohnDoe” password=“password”
roles=“onjavauser”/>
6. Aprire il file web.xml nella directory C:\Programmi (x86)\SAP BusinessObjects\SAP
BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF\.
7. Prima del tag </web-app> aggiungere i valori seguenti:
<security-constraint>
<web-resource-collection>
<web-resource-name>OnJavaApplication</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>onjavauser</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>OnJava Application</realm-name>
</login-config>
Immettere una pagina specifica per il parametro <url-pattern></url-pattern>. In genere
questa pagina non rappresenta l'URL predefinito per BI Launch PAD o qualsiasi altra applicazione
Web.
8. Nel file personalizzato global.properties immettere i valori seguenti:
trusted.auth.user.retrieval=USER_PRINCIPAL
trusted.auth.user.namespace.enabled=true
Nota:
l'impostazione di trusted.auth.user.namespace.enabled=true è facoltativa. Aggiungere
il parametro per mappare un nome utente esterno a un nome utente della piattaforma BI diverso.
9. Riavviare il server di applicazioni Web.
10. Utilizzare WDeploy per ridistribuire il file WAR sul server di applicazioni Web.
Per ulteriori informazioni sull'utilizzo di WDeploy, consultare il Manuale della distribuzione in rete di
applicazioni Web della piattaforma SAP BusinessObjects Business Intelligence.
Nota:
le configurazioni sul server di applicazioni Web sono le stesse se si utilizza il metodo Remote User.
Per verificare di aver configurato in modo appropriato Autenticazione affidabile, utilizzare l'URL seguente
per accedere all'applicazione BI Launch Pad: http://[nomecms]:8080/BOE/BI, in cui [nomecms]
è il nome del computer che ospita il CMS. Dopo qualche minuto viene visualizzata una finestra di dialogo
di accesso.
9.3 Autenticazione LDAP
250
2013-09-19
Autenticazione
9.3.1 Utilizzo dell'autenticazione LDAP
In questa sezione viene fornita una descrizione generale del funzionamento dell'autenticazione LDAP
con la piattaforma BI. Vengono quindi presentati gli strumenti di amministrazione che consentono di
gestire e configurare gli account LDAP nella piattaforma.
Quando si installa la piattaforma BI, il plug-in di autenticazione LDAP viene installato automaticamente,
ma non viene abilitato per impostazione predefinita. Per utilizzare l'autenticazione LDAP, è necessario
accertarsi di aver impostato la rispettiva directory LDAP. Per ulteriori informazioni su LDAP, consultare
la documentazione LDAP.
LDAP (Lightweight Directory Access Protocol), è un servizio comune di elenchi in linea indipendenti
dalle applicazioni che consente agli utenti di condividere informazioni tra varie applicazioni. Basato su
uno standard aperto, LDAP fornisce un metodo per accedere e aggiornare le informazioni all'interno
di un elenco in linea.
LDAP si basa sullo standard X.500, che utilizza un protocollo di accesso agli elenchi in linea (DAP) per
le comunicazioni tra un client e un server di elenchi in linea. LDAP costituisce una alternativa a DAP
in quanto utilizza un numero inferiore di risorse e semplifica e omette alcune operazioni e funzioni dello
standard X.500.
Nella struttura di directory di LDAP le voci sono organizzate secondo uno schema specifico. Ciascuna
voce è identificata dal relativo nome DN (Distinguished Name) o CN (Common Name). Tra gli altri
attributi comuni sono inclusi il nome OU (Organizational Unit) e il nome O (Organization). Un gruppo
membro può, ad esempio, essere posizionato in una struttura di directory quale: cn=Utenti piattaforma
BI, ou=Utenti A Enterprise, o=Ricerca. Per ulteriori informazioni, consultare la documentazione relativa
al protocollo LDAP.
Poiché LDAP è indipendente dalle applicazioni, l'accesso alle relative directory è possibile per qualsiasi
client che disponga dei privilegi appropriati. LDAP consente di impostare l'accesso degli utenti alla
piattaforma BI tramite l'autenticazione LDAP. Offre agli utenti i diritti di accesso per gli oggetti nel
sistema. Se sono in esecuzione uno o più server LDAP e si utilizza LDAP nei sistemi di computer in
rete esistenti, è possibile utilizzare l'autenticazione LDAP, oltre all'autenticazione Enterprise, NT e
Windows AD.
Se necessario, il plug-in di protezione LDAP fornito con la piattaforma BI può comunicare con il server
LDAP utilizzando una connessione SSL stabilita mediante l'autenticazione server o reciproca. Con
l'autenticazione server, al server LDAP viene assegnato un certificato di protezione che la piattaforma
BI utilizza per verificare l'attendibilità del server, benché il server LDAP consenta connessioni da client
anonimi. Con l'autenticazione reciproca, sia il server LDAP che la piattaforma BI vengono dotati di
certificati di protezione. Per poter stabilire una connessione, il server LDAP deve inoltre verificare il
certificato client.
Il plug-in di protezione LDAP fornito con la piattaforma BI può essere configurato per comunicare con
il server LDAP via SSL, ma esegue sempre l'autenticazione di base quando verifica le credenziali degli
utenti. Prima di implementare l'autenticazione LDAP in combinazione con la piattaforma BI, è necessario
251
2013-09-19
Autenticazione
conoscere a fondo le differenze tra questi tipi di LDAP. Per ulteriori informazioni, vedere la RFC2251,
attualmente disponibile all'indirizzo http://www.faqs.org/rfcs/rfc2251.html.
Argomenti correlati
• Configurazione dell'autenticazione LDAP
• Mappatura di gruppi LDAP
9.3.1.1 Plug-in di protezione LDAP
Il plug-in di protezione LDAP consente di mappare account utente e gruppi dal server di directory LDAP
alla piattaforma BI. Consente inoltre al sistema di verificare tutte le richieste di accesso in cui è specificata
l'autenticazione LDAP. L'autenticazione degli utenti viene eseguita a fronte del server di elenchi in linea
LDAP e l'appartenenza a un gruppo LDAP mappato viene verificata prima che il CMS conceda agli
utenti una sessione attiva della piattaforma BI. Gli elenchi di utenti e le appartenenze di gruppo sono
gestiti dinamicamente dal sistema. È possibile indicare che la piattaforma BI utilizza una connessione
SSL (Secure Sockets Layer) per comunicare con il server di elenchi in linea LDAP, per garantire una
maggiore protezione.
L'autenticazione LDAP per la piattaforma BI è simile all'autenticazione Windows AD, in quanto consente
di mappare gruppi e di impostare l'autenticazione, i diritti di accesso e la creazione di alias. Come
accade con l'autenticazione NT o AD, è possibile creare nuovi account Enterprise per utenti LDAP
esistenti e assegnare alias LDAP ad utenti esistenti, se i nomi utente corrispondono ai nomi utente
Enterprise. È inoltre possibile:
•
Mappare utenti e gruppi dal servizio di elenchi in linea LDAP.
•
Mappare LDAP in relazione ad AD. Esistono diverse restrizioni se si configura LDAP rispetto ad
AD.
•
Specificare più nomi host e le relative porte.
•
Configurare LDAP con SiteMinder.
Dopo avere mappato gli utenti e i gruppi LDAP, l'autenticazione LDAP sarà supportata da tutti gli
strumenti client della piattaforma BI. Sarà anche possibile creare applicazioni personalizzate che
supportino l'autenticazione LDAP.
Argomenti correlati
• Configurazione delle impostazioni SSL per l'autenticazione del server LDAP o reciproca
• Mappatura di LDAP a Windows AD
• Configurazione del plug-in LDAP per SiteMinder
252
2013-09-19
Autenticazione
9.3.2 Configurazione dell'autenticazione LDAP
Per semplificare l'amministrazione, la piattaforma BI supporta l'autenticazione LDAP per gli account
utente e di gruppo. Affinché gli utenti possano utilizzare i propri nomi utente e password LDAP per
accedere al sistema, è necessario mappare gli account LDAP alla piattaforma BI. Quando si mappa
un account LDAP, è possibile scegliere di creare un nuovo account o di collegarsi a un account già
esistente della piattaforma BI.
Prima di impostare e abilitare l'autenticazione LDAP, accertarsi che la directory LDAP sia impostata.
Per ulteriori informazioni, consultare la documentazione LDAP.
La configurazione dell'autenticazione LDAP prevede le attività seguenti:
•
Configurazione dell'host LDAP
•
Preparazione del server LDAP per SSL (se richiesta)
•
Configurazione del plug-in LDAP per SiteMinder (se richiesta)
Nota:
Se si configura LDAP rispetto a AD, sarà possibile mappare gli utenti, ma non sarà possibile configurare
la funzionalità Single Sign On AD o Single Sign On per il database. Tuttavia, saranno comunque
disponibili i metodi LDAP Single Sign On come SiteMinder e l'autenticazione affidabile.
9.3.2.1 Per configurare l'host LDAP
È consigliabile installare ed eseguire il server LDAP prima di configurare l'host LDAP.
1. Selezionare Autenticazione nell'elenco di navigazione per accedere all'area di gestione
"Autenticazione" della CMC.
2. Fare doppio clic su LDAP.
3. Se si sta configurando l'autenticazione LDAP per la prima volta, fare clic su Avvia Configurazione
guidata LDAP.
4. Immettere il nome e il numero di porta degli host LDAP nel campo Aggiungi un host LDAP
(nomehost:porta), ad esempio "serverutente:123", fare clic su Aggiungi, quindi su Avanti.
Suggerimento:
ripetere questo passaggio per aggiungere altri host LDAP dello stesso tipo di server, se si desidera
aggiungere host che possano fungere da server di failover. Per rimuovere un host, evidenziare il
nome dell'host e fare clic su Elimina.
5. Selezionare il tipo di server dall'elenco Tipo di server LDAP.
253
2013-09-19
Autenticazione
Nota:
se si mappa LDAP ad AD, selezionare Microsoft Active Directory Application Server per il tipo
di server.
6. Se si desidera visualizzare o modificare una mappatura di attributi del server LDAP o gli attributi di
ricerca predefiniti LDAP, fare clic su Mostra mappatura attributi.
Per impostazione predefinita, le mappature di attributi di server e gli attributi di ricerca di ciascun
tipo di server supportato sono già impostati.
7. Fare clic su Avanti.
8. Nel campo Nome distinto LDAP di base digitare il nome distinto, ad esempio o=SomeBase, per
il server LDAP, quindi fare clic su Avanti.
9. Nell'area "Credenziali di amministrazione del server LDAP" specificare il nome distinto e la password
per un account utente che dispone dell'accesso in lettura alla directory.
Le credenziali di amministratore non sono necessarie.
se il server LDAP consente il collegamento anonimo, lasciare quest'area vuota. I server e i client
della piattaforma BI effettueranno il collegamento all'host principale mediante accesso anonimo.
10. Se sono stati configurati riferimenti all'host LDAP, immettere le informazioni di autenticazione nell'area
"Credenziali di riferimento LDAP" e specificare il numero di hop di riferimento nel campo Numero
massimo di hop di riferimento.
È necessario configurare l'area "Credenziali di riferimento LDAP" se sono valide tutte le condizioni
seguenti:
• L'host principale è stato configurato per fare riferimento a un altro server di directory che gestisce
query relative a voci che si trovano in una base specificata.
•
L'host a cui si fa riferimento è stato configurato per non consentire il collegamento anonimo.
•
Un gruppo presente nell'host a cui si fa riferimento sarà mappato alla piattaforma BI.
Nota:
•
•
sebbene i gruppi possano essere mappati da più host, è possibile impostare solo una serie di
credenziali di riferimento. Quindi, se esistono più host di riferimento, è necessario creare un
account utente su ogni host che utilizza lo stesso nome distinto e la stessa password.
se Numero massimo di hop di riferimento è impostato su zero, non verranno utilizzati riferimenti.
11. Fare clic su Avanti
12. e selezionare il tipo di autenticazione SSL (Secure Sockets Layer) utilizzato:
• Di base (senza SSL)
•
Autenticazione server
•
Autenticazione reciproca
Dettagli e prerequisiti per l'autenticazione server e reciproca vengono illustrati in una sezione
successiva. Per impostare correttamente l'autenticazione LDAP mediante uno dei tipi di SSL,
consultare la sezione Configurazione delle impostazioni SSL per l'autenticazione del server LDAP
o reciproca nel presente documento prima di procedere oltre in questa procedura.
254
2013-09-19
Autenticazione
13. Fare clic su Avanti e selezionare un metodo di autenticazione Single Sign On LDAP:
•
Di base (senza SSO)
•
SiteMinder
14. Fare clic su Avanti e selezionare la modalità in cui alias e utenti vengono mappati negli account
della piattaforma BI.
a. Nell'area "Nuove opzioni alias" selezionare la modalità in cui i nuovi alias devono essere mappati
agli account Enterprise:
• Assegna a ciascun alias LDAP aggiunto a un account con lo stesso nome
Utilizzare questa opzione quando è noto che gli utenti dispongono di un account Enterprise
già esistente con lo stesso nome. Ciò significa che gli alias LDAP verranno assegnati a utenti
esistenti (la creazione di alias automatici è attivata). Gli utenti che non dispongono di un
account Enterprise esistente o che non hanno lo stesso nome nei rispettivi account Enterprise
e LDAP, verranno aggiunti come nuovi utenti.
•
Crea un nuovo account per ogni alias LDAP aggiunto
Utilizzare questa opzione quando si desidera creare un nuovo account per ciascun utente.
b. In "Opzioni di aggiornamento alias" selezionare la modalità di gestione degli aggiornamenti degli
alias per gli account Enterprise:
• Crea nuovi alias all'aggiornamento dell'alias
Utilizzare questa opzione per creare automaticamente un nuovo alias per ogni utente LDAP
mappato alla piattaforma BI. Vengono aggiunti nuovi account LDAP per gli utenti senza
account della piattaforma BI o per tutti gli utenti, se è stata selezionata l'opzione Crea un
nuovo account per ogni alias LDAP aggiunto.
•
Crea nuovi alias solo all'accesso dell'utente
Utilizzare questa opzione se la directory LDAP che si sta mappando contiene molti utenti, di
cui solo alcuni utilizzeranno la piattaforma BI. Il sistema non crea automaticamente alias e
account Enterprise per tutti gli utenti. Creerà, invece, alias (e account, se necessario) solo
per gli utenti che accedono alla piattaforma.
c. Nell'area "Nuove opzioni utente" specificare la modalità di creazione dei nuovi utenti.
• I nuovi utenti vengono creati come utenti designati
I nuovi account utente verranno configurati per utilizzare licenze utente designato. Le licenze
utente designato sono associate a utenti specifici e consentono di accedere al sistema in
base a nome utente e password. Ciò garantisce agli utenti specifici l’accesso al sistema a
prescindere dal numero delle altre persone connesse. È necessario disporre di una licenza
utente designato per ciascun account utente creato utilizzando questa opzione.
•
I nuovi utenti vengono creati come utenti simultanei
I nuovi account utente verranno configurati per utilizzare licenze utente simultaneo. Le licenze
di accesso simultaneo specificano il numero di persone che possono connettersi alla
piattaforma BI contemporaneamente. Questo tipo di licenza è estremamente flessibile, poiché
una licenza di accesso simultaneo di dimensioni ridotte può supportare un'ampia base di
255
2013-09-19
Autenticazione
utenti. A seconda della frequenza e della durata dell'accesso alla piattaforma, una licenza di
accesso simultaneo per 100 utenti può ad esempio supportare 250, 500 o 700 utenti.
15. Eseguire questo passaggio se si stanno impostando le mappature degli attributi utente o se si ha
intenzione di importare gli indirizzi di posta elettronica dal server LDAP. Nell'area "Opzioni di
collegamento attributi" è possibile specificare la priorità di collegamento degli attributi per il plug-in
LDAP:
a. Fare clic sulla casella Importa nome completo, indirizzo di posta elettronica e altri attributi.
I nomi completi e le descrizioni utilizzati negli account LDAP vengono importati e memorizzati
con gli oggetti utente nel sistema.
b. Specificare un'opzione per Imposta priorità collegamento attributi LDAP relativo ad altri
collegamenti attributi.
Nota:
Se l'opzione è impostata su 1, gli attributi LDAP hanno la priorità in scenari in cui sono abilitati
LDAP e altri plug-in (Windows AD e SAP). Se l'opzione è impostata su 3, hanno la priorità gli
attributi di altri plug-in abilitati.
16. Fare clic su Fine.
Argomenti correlati
• Configurazione delle impostazioni SSL per l'autenticazione del server LDAP o reciproca
• Configurazione del plug-in LDAP per SiteMinder
9.3.2.2 Gestione di più host LDAP
Utilizzando LDAP e la piattaforma BI, è possibile aggiungere la tolleranza di errore al sistema
aggiungendo più host LDAP. Il sistema utilizza il primo host aggiunto come host LDAP principale. I
successivi host vengono considerati host di failover.
L'host LDAP primario e tutti gli host di failover devono essere configurati esattamente nello stesso modo
e ogni host LDAP deve fare riferimento a tutti gli altri host da cui si desidera mappare gruppi. Per ulteriori
informazioni sugli host e sui riferimenti LDAP, consultare la documentazione LDAP.
Per aggiungere più host LDAP, immettere tutti gli host quando si configura LDAP con la Configurazione
guidata LDAP. In alternativa, se si è già configurato LDAP, passare all'area di gestione Autenticazione
della Central Management Console e fare clic sulla scheda LDAP. Nell'area Riepilogo della
configurazione server LDAP, fare clic sul nome dell'host LDAP per aprire la pagina che consente di
aggiungere o eliminare host.
Nota:
•
256
Accertarsi di aggiungere per primo l'host principale, seguito dai rimanenti host di failover.
2013-09-19
Autenticazione
•
Se ci si avvale di host LDAP di failover, non è possibile utilizzare il livello più alto di protezione SSL
(in altre parole, non è possibile selezionare “Accetta certificato server se proviene da un'autorità di
certificazione attendibile e l'attributo CN del certificato corrisponde al nome host DNS del server”).
Argomenti correlati
• Configurazione dell'autenticazione LDAP
9.3.2.3 Configurazione delle impostazioni SSL per l'autenticazione del server
LDAP o reciproca
Questa sezione contiene informazioni dettagliate sull'autenticazione server o reciproca basata su SSL
per LDAP. Per l'impostazione dell'autenticazione basata su SSL sono necessarie delle operazioni
preliminari. Vengono inoltre fornite informazioni specifiche per la configurazione di SSL con
l'autenticazione server e reciproca LDAP nella console CMC. In questa sezione si presuppone che sia
stato configurato l'host LDAP e che sia stata selezionata una delle seguenti opzioni di autenticazione
SSL:
Per informazioni aggiuntive sulla configurazione del server host LDAP, consultare la documentazione
del fornitore LDAP.
Argomenti correlati
• Per configurare l'host LDAP
257
2013-09-19
Autenticazione
9.3.2.3.1 Per configurare l'autenticazione del server LDAP o reciproca
Risorsa
Azione da eseguire prima dell'avvio dell'attività
Certificato CA
Questo prerequisito riguarda sia l'autenticazione reciproca che server
con SSL.
1. Ottenere da un'autorità di certificazione (CA) un certificato CA.
2. Aggiungere il certificato al server LDAP in uso.
Per ulteriori informazioni, consultare la documentazione del fornitore di
LDAP.
Certificato server
Questo prerequisito riguarda sia l'autenticazione reciproca che server
con SSL.
1. Richiedere e quindi generare un certificato server.
2. Autorizzare il certificato e aggiungerlo al server LDAP.
cert7.db oppure cert8.db,
key3.db
Questi file sono necessari sia per l'autenticazione reciproca che server
con SSL.
1. Scaricare l'applicazione certutil che genera un file cert7.db o
cert8.db (a seconda dei requisiti) da ftp://ftp.mozilla.org/pub/mo
zilla.org/security/nss/releases/NSS_3_6_RTM/.
2. Copiare il certificato CA nella stessa directory dell'applicazione certutil.
3. Utilizzare il seguente comando per generare i file cert7.db o
cert8.db, key3.db e secmod.db:
certutil -N -d .
4. Utilizzare il seguente comando per aggiungere il certificato CA al file
cert7.db o cert8.db:
certutil -A -n <CA_alias_name> -t CT -d . -I cacert.cer
5. Archiviare i tre file in una directory del computer che ospita la piattaforma BI.
cacerts
Questo file è necessario per l'autenticazione reciproca o server con SSL
per applicazioni Java quale BI Launch Pad.
1. Localizzare il file keytool nella directory bin di Java.
2. Utilizzare il comando seguente per creare il file cacerts:
keytool -import -v -alias <CA_alias_name> -file <CA_certificate_name> trustcacerts -keystore
3. Archiviare il file cacerts nella stessa directory dei file cert7.db o
cert8.db e key3.db.
Certificato client
258
2013-09-19
Autenticazione
Risorsa
Azione da eseguire prima dell'avvio dell'attività
1. Creare richieste client separate per i file cert7.db o cert8.db e
.keystore:
•
•
Per configurare il plug-in LDAP utilizzare l'applicazione certutil per
generare una richiesta di certificato client.
Utilizzare il seguente comando per generare la richiesta di certificato client:
certutil -R -s "<client_dn>" -a -o <certificate_request_name> -d .
<client_dn> include informazioni quali "CN=nome_client,
OU=unità organizzativa, O=nomesocietà, L=città,
ST=provincia e C=paese.
2. Utilizzare la CA per autenticare la richiesta di certificato. Utilizzare il
seguente comando per recuperare il certificato e inserirlo nel file
cert7.db o cert8.db:
certutil -A -n <client_name> -t Pu -d . -I <client_certificate_name>
3. Per agevolare l'autenticazione Java con SSL:
• Utilizzare l'utilità keytool nella directory bin di Java per generare
una richiesta di certificato client.
• Utilizzare il seguente comando per generare una coppia di chiavi:
keytool -genkey -keystore .keystore
4. Dopo avere specificato le informazioni relative al client, generare una
richiesta di certificato client utilizzando il comando seguente:
keytool -certreq -file <certificate_request_name> -keystore .keystore
5. Una volta che la CA ha autenticato la richiesta di certificato client,
utilizzare il seguente comando per aggiungere il certificato CA al file
.keystore:
keytool -import -v -alias <CA_alias_name> -file <ca_certificate_name> trustcacerts -keystore .keystore
6. Recuperare la richiesta di certificato client dalla CA e utilizzare il seguente comando per aggiungerlo al file .keystore:
keytool -import -v -file <client_certificate_name> -trustcacerts -keystore
.keystore
7. Archiviare il file .keystore nella stessa directory dei file cert7.db
o cert8.db e cacerts sul computer che ospita la piattaforma BI.
1. Scegliere il livello di protezione SSL da utilizzare.
Se si utilizza la Configurazione guidata LDAP per configurare l'autenticazione LDAP per la prima
volta, selezionare Autenticazione reciproca nell'elenco "Tipo di autenticazione SSL" e fare clic su
Avanti. In alternativa, se si intende riconfigurare l'autenticazione LDAP, accedere all'area
Autenticazione della CMC e fare doppio clic su LDAP. Viene visualizzata la pagina "Riepilogo della
259
2013-09-19
Autenticazione
configurazione server LDAP". Fare clic sul valore Tipo SSL e selezionare Autenticazione reciproca
nell'elenco "Tipo di autenticazione SSL".
• Accetta sempre certificato server
Questa è l'opzione con il livello di protezione più basso. Per poter stabilire una connessione SSL
con l'host LDAP (per autenticare utenti e gruppi LDAP), è necessario che la piattaforma BI riceva
un certificato di protezione inviato dall'host LDAP. La piattaforma BI non verifica il certificato
ricevuto.
•
Accetta certificato server se proviene da un'autorità di certificazione attendibile
Questa è un'opzione con un livello di protezione medio. Prima che la piattaforma BI possa stabilire
una connessione SSL con l'host LDAP (per autenticare utenti e gruppi LDAP), deve ricevere e
verificare un certificato di protezione inviato dall'host LDAP. Per verificare il certificato, il sistema
deve individuare l'autorità di certificazione che lo ha rilasciato nel suo database dei certificati.
•
Accetta il certificato del server se proviene da un'autorità di certificazione attendibile e
se l'attributo CN del certificato corrisponde al nome host DNS del server
Questa è l'opzione con il livello di protezione più alto. Prima che la piattaforma BI possa stabilire
una connessione SSL con l'host LDAP (per autenticare utenti e gruppi LDAP), deve ricevere e
verificare un certificato di protezione inviato dall'host LDAP. Per verificare il certificato, la
piattaforma BI deve trovare l'autorità di certificazione che lo ha emesso nel suo database di
certificati ed essere in grado di confermare che l'attributo CN sul certificato del server corrisponde
esattamente al nome host LDAP inserito nella casella Aggiungi un host LDAP nella prima fase
della procedura, se è stato inserito un nome host LDAP come ABALONE.rd.crystald.net:389.
L'utilizzo di CN =ABALONE:389 nel certificato non funziona.
il nome host presente sul certificato di protezione server è il nome dell'host LDAP primario. Se
si seleziona questa opzione, non è possibile utilizzare un host LDAP di failover.
Nota:
le applicazioni Java ignorano la prima e l'ultima impostazione e accettano il certificato del server
solo se proviene da un'autorità di certificazione attendibile.
2. Nella casella Host SSL digitare il nome dell'host di ogni computer e quindi fare clic su Aggiungi.
È quindi necessario aggiungere il nome host di ogni computer nella distribuzione della piattaforma
BI che utilizza l'SDK della piattaforma BI. Sono compresi i computer che eseguono Central
Management Server e il computer su cui è in esecuzione il server di applicazioni Web.
3. Specificare le impostazioni SSL per ogni host SSL aggiunto alla lista:
a. Selezionare Impostazione predefinita nell'elenco SSL.
b. Deselezionare le caselle di controllo Usa valore predefinito.
c. Inserire un valore nei campi Percorso dei file di database dei certificati e delle chiavi
ePassword per il database dei codici.
d. Se si specificano le impostazioni per l'autenticazione reciproca, inserire un valore nella casella
Nome fittizio per il certificato client nel database di certificati.
Nota:
Le impostazioni predefinite verranno utilizzate (per qualsiasi impostazione) per qualsiasi host con
la casella di controllo Utilizza valore predefinito selezionata o per qualsiasi computer il cui nome
non viene aggiunto all'elenco degli host SSL.
260
2013-09-19
Autenticazione
4. Specificare le impostazioni predefinite per ogni host che non si trova in elenco e fare su Avanti.
Per specificare le impostazioni per un altro host, selezionarne il nome nell'elenco a sinistra e inserire
i valori nelle caselle a destra.
Nota:
Le impostazioni di default verranno utilizzate per qualsiasi impostazione (per qualsiasi host) con la
casella di controllo Utilizza valore predefinito selezionata o per qualsiasi computer il cui nome non
viene aggiunto all'elenco degli host SSL.
5. Selezionare Di base (senza SSO) o SiteMinder come metodo di autenticazione Single Sign-On
LDAP.
6. Scegliere la modalità con cui verranno creati i nuovi utenti e alias LDAP.
7. Scegliere Fine.
Argomenti correlati
• Configurazione del plug-in LDAP per SiteMinder
9.3.2.4 Per modificare le impostazioni di configurazione LDAP
Dopo aver configurato l'autenticazione LDAP con la Configurazione guidata LDAP, è possibile modificare
i parametri di connessione e i gruppi membri LDAP utilizzando la pagina "Riepilogo della configurazione
server LDAP".
1. Passare all’area di gestione Autenticazione della CMC.
2. Fare doppio clic su LDAP.
Se l'autenticazione LDAP è configurata, viene visualizzata la pagina "Riepilogo della configurazione
server LDAP". In questa pagina è possibile modificare le aree o i campi dei parametri di connessione
e le opzioni nell'area "Membri del gruppo LDAP mappati".
3. Eliminare i gruppi correntemente mappati che non saranno più accessibili con le nuove impostazioni
di connessione, quindi fare clic su Aggiorna.
È possibile eliminare i gruppi mappati selezionando il gruppo di utenti e facendo clic sul pulsante
Elimina nella sezione "Membri del gruppo LDAP mappati".
4. Modificare le impostazioni di connessione e fare clic su Aggiorna.
5. Modificare le "Nuove opzioni di alias", le "Opzioni di aggiornamento alias" e le "Nuove opzioni utente"
se necessario e fare clic su Aggiorna.
6. Mappare i nuovi gruppi dei membri LDAP, quindi fare clic su Aggiorna.
9.3.2.5 Configurazione del plug-in LDAP per SiteMinder
261
2013-09-19
Autenticazione
In questa sezione viene illustrato come configurare la console CMC per l'utilizzo di LDAP con SiteMinder.
SiteMinder è uno strumento di terzi per l'autenticazione e l'accesso utente che è possibile utilizzare
con il plug-in di protezione per creare il Single Sign On alla piattaforma BI.
Per utilizzare SiteMinder e LDAP con la piattaforma BI è necessario apportare modifiche alla
configurazione in due punti:
•
Il plug-in LDAP mediante la CMC
•
Le proprietà del file BOE.war
Nota:
Assicurarsi che l'amministratore di SiteMinder abbia abilitato il supporto per gli agenti 4.x. L'operazione
va eseguita a prescindere dalla versione in uso di SiteMinder. Per ulteriori informazioni sul SiteMinder
e su come eseguire l'installazione, fare riferimento alla documentazione di SiteMinder.
Argomenti correlati
• Per configurare l'host LDAP
9.3.2.5.1 Per configurare LDAP per Single Sign-On con SiteMinder
1. Aprire la schermata Configurare le impostazioni di SiteMinder utilizzando uno dei seguenti metodi:
•
•
Selezionare SiteMinder nella schermata "Scegliere un metodo di autenticazione Single Sign-On
LDAP" della Configurazione guidata LDAP.
Selezionare il collegamento Tipo di Single Sign-On nella schermata di autenticazione LDAP
disponibile se LDAP è già stato configurato e se si stanno aggiungendo SSO.
2. Digitare il nome di ogni server dei criteri nella casella Host dei server dei criteri e fare clic su
Aggiungi.
3. Per ogni host del server dei criteri specificare i numeri di porta Accounting, Autenticazione e
Autorizzazione.
4. Specificare il Nome dell'agente e il Segreto condiviso. Immettere nuovamente il segreto condiviso
nella casella "Conferma segreto condiviso".
5. Fare clic su Avanti.
6. Continuare con la configurazione delle opzioni LDAP.
9.3.2.5.2 Abilitazione di LDAP e SiteMinder nel file BOE.war
Oltre che per il plug-in di protezione LDAP, le impostazioni di SiteMinder devono essere specificate
anche per le proprietà del file BOE.war.
1. Accedere alla directory DIRINSTALL\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom\ nell'installazione della piattaforma
BI.
2. Creare un nuovo file, utilizzando Blocco note o un'altra utilità di modifica del testo.
3. Immettere l'istruzione seguente:
siteminder.authentication=secLDAP
siteminder.enabled=true
262
2013-09-19
Autenticazione
4. Chiudere il file e salvarlo con il nome global.properties, senza un'estensione file.
5. Creare un altro file nella stessa directory.
6. Immettere l'istruzione seguente:
authentication.default=secLDAP
cms.default=[your cms name]:[the CMS port number]
Ad esempio:
authentication.default=secLDAP
cms.default=mycms:6400
7. Chiudere il file e salvarlo con il nome bilaunchpad.properties.
Le nuove proprietà hanno effetto solo dopo la ridistribuzione dell'applicazione Web BOE modificata nel
computer su cui è in esecuzione il server di applicazioni Web. Utilizzare WDeploy per ridistribuire il file
WAR sul server di applicazioni Web. Per ulteriori informazioni sull'utilizzo di WDeploy, consultare il
Manuale della distribuzione in rete di applicazioni Web della piattaforma SAP BusinessObjects Business
Intelligence.
9.3.3 Mappatura di gruppi LDAP
Una volta configurato l'host LDAP utilizzando la Configurazione guidata LDAP, è possibile mappare i
gruppi LDAP ai gruppi Enterprise.
Dopo aver mappato i gruppi LDAP, è possibile visualizzarli facendo clic sull'opzione LDAP nell'area di
gestione Autenticazione. Se l'autenticazione LDAP è configurata, nell'area Gruppi membri LDAP
mappati verranno visualizzati i gruppi LDAP mappati alla piattaforma BI.
Nota:
È inoltre possibile mappare i gruppi Windows AD per l'autenticazione nella piattaforma BI mediante il
plug-in di protezione LDAP.
Nota:
se LDAP è stato configurato in base ad AD, questa procedura consente di mappare i gruppi AD.
Argomenti correlati
• Mappatura di LDAP a Windows AD
9.3.3.1 Mappatura di gruppi LDAP mediante la piattaforma BI
1. Passare all’area di gestione "Autenticazione" della CMC.
2. Fare doppio clic su LDAP.
263
2013-09-19
Autenticazione
Se l'autenticazione LDAP è configurata, viene visualizzata la pagina di riepilogo LDAP.
3. Nell'area "Membri del gruppo LDAP mappati" specificare il gruppo LDAP (in base al nome comune
o al nome distinto) nel campo Aggiungi un gruppo LDAP (mediante cn o dn) e fare clic su
Aggiungi.
Per aggiungere più gruppi LDAP, ripetere questo passaggio. per rimuovere un gruppo, evidenziare
il gruppo LDAP quindi fare clic su Elimina.
4. Nell'area "Nuove opzioni alias" selezionare un'opzione per specificare come gli alias LDAP devono
essere mappati agli account Enterprise:
• Assegna a ciascun alias LDAP aggiunto un account con lo stesso nome
Utilizzare questa opzione quando è noto che gli utenti dispongono di un account Enterprise già
esistente con lo stesso nome. Ciò significa che gli alias LDAP verranno assegnati a utenti esistenti
(la creazione di alias automatici è attivata). Gli utenti che non dispongono di un account Enterprise
esistente, o che non hanno lo stesso nome nei rispettivi account Enterprise e LDAP, verranno
aggiunti come nuovi utenti LDAP.
•
Crea un nuovo account per ogni alias LDAP aggiunto
Utilizzare questa opzione quando si desidera creare un nuovo account per ciascun utente.
5. Nell'area "Opzioni di aggiornamento alias" selezionare un'opzione per specificare se gli alias LDAP
devono essere creati automaticamente per tutti i nuovi utenti:
• Crea nuovi alias all'aggiornamento dell'alias
Utilizzare questa opzione per creare automaticamente un nuovo alias per ogni utente LDAP
mappato alla piattaforma BI. I nuovi account LDAP vengono aggiunti per gli utenti che non
dispongono di account della piattaforma BI o per tutti gli utenti, se è stata selezionata l'opzione
Crea un nuovo account per ogni alias LDAP aggiunto ed è stato fatto clic su Aggiorna.
•
Crea nuovi alias solo all'accesso dell'utente
Utilizzare questa opzione se la directory LDAP che si sta mappando contiene molti utenti, di cui
solo alcuni utilizzeranno la piattaforma BI. Il sistema non crea automaticamente alias e account
Enterprise per tutti gli utenti. Creerà, invece, alias (e account, se necessario) solo per gli utenti
che accedono alla piattaforma.
6. Nell'area "Opzioni nuovo utente", se la licenza della piattaforma BI si basa sui ruoli utente, selezionare
un'opzione per specificare le proprietà dei nuovi account Enterprise creati per essere mappati agli
account LDAP:
• I nuovi utenti vengono creati come utenti designati
I nuovi account utente verranno configurati per utilizzare licenze utente designato. Le licenze
utente designato sono associate a utenti specifici e consentono di accedere al sistema in base
a nome utente e password. Ciò garantisce agli utenti specifici l’accesso al sistema a prescindere
dal numero delle altre persone connesse. È necessario disporre di una licenza utente designato
per ciascun account utente creato utilizzando questa opzione.
•
264
I nuovi utenti vengono creati come utenti simultanei
2013-09-19
Autenticazione
I nuovi account utente verranno configurati per utilizzare licenze utente simultaneo. Le licenze
di accesso simultaneo specificano il numero di persone che possono connettersi alla piattaforma
BI contemporaneamente. Questo tipo di licenza è estremamente flessibile, poiché una licenza
di accesso simultaneo di dimensioni ridotte può supportare un'ampia base di utenti. A seconda
della frequenza e della durata dell'accesso al sistema, una licenza di accesso simultaneo per
100 utenti può ad esempio supportare 250, 500 o 700 utenti.
7. Fare clic su Aggiorna.
9.3.3.2 Eliminazione della mappatura di gruppi LDAP mediante la piattaforma
BI
1. Passare all’area di gestione Autenticazione della CMC.
2. Fare doppio clic su LDAP.
Se l'autenticazione LDAP è configurata, viene visualizzata la pagina di riepilogo LDAP.
3. Nell'area Gruppi membri LDAP mappati, selezionare il gruppo LDAP che si desidera rimuovere.
4. Fare clic su Elimina, quindi su Aggiorna.
Gli utenti del gruppo non saranno in grado di accedere alla piattaforma BI.
Nota:
le uniche eccezioni si applicano se un utente dispone di un alias per l'account Enterprise. Per limitare
l'accesso, disabilitare o eliminare l'account Enterprise dell'utente.
per negare l'autenticazione LDAP a tutti i gruppi, deselezionare la casella di controllo "Autenticazione
LDAP abilitata", quindi fare clic su Aggiorna.
9.3.3.3 Mappatura di LDAP a Windows AD
Se si configura LDAP rispetto a Windows AD, tenere presenti le seguenti limitazioni:
265
•
Se si configura LDAP rispetto a AD, sarà possibile mappare gli utenti, ma non sarà possibile
configurare la funzionalità Single Sign On AD o Single Sign On per il database. Tuttavia, saranno
comunque disponibili i metodi LDAP Single Sign On come SiteMinder e l'autenticazione affidabile.
•
Gli utenti che sono solo membri di gruppi predefiniti di AD non saranno in grado di accedere. Gli
utenti devono essere anche membri di un altro gruppo creato in modo esplicito in AD e, inoltre, tale
gruppo deve essere mappato. Un esempio di tale gruppo è il gruppo "utenti di dominio".
•
Se un gruppo di dominio locale mappato contiene un utente proveniente da un altro dominio della
foresta, tale utente non sarà in grado di accedere.
2013-09-19
Autenticazione
•
Gli utenti appartenenti a un gruppo universale di un dominio diverso da quello specificato come host
LDAP non saranno in grado di accedere.
•
Non è possibile utilizzare il plug-in LDAP per mappare utenti e gruppi dalle foreste AD esterne alla
foresta in cui è installata la piattaforma BI.
Non è possibile mappare nel gruppo Utenti dominio in AD.
Non è possibile mappare un gruppo locale del computer.
Se si utilizza il controller di dominio del catalogo globale, la mappatura di LDAP rispetto ad AD
richiede ulteriori considerazioni:
•
•
•
Situazione
Considerazioni
È possibile mappare in:
• gruppi universali in un dominio secondario.
Più domini quando si fa riferimento al
controller di dominio del catalogo globale
•
gruppi nello stesso dominio che contiene gruppi universali da un dominio secondario e
•
gruppi universali in un dominio trasversale.
Non è possibile mappare in:
• gruppi globali in un dominio secondario,
• gruppi locali in un dominio secondario,
• gruppi nello stesso dominio che contiene un gruppo
globale dal dominio secondario e
• gruppi globali tra domini.
In genere, se il gruppo è un gruppo universale, supporterà
utenti di domini secondari o trasversali. Altri gruppi non
verranno mappati se contengono utenti di domini secondari o trasversali. All'interno del dominio a cui si fa riferimento, è possibile mappare gruppi locali, globali e universali del dominio.
Mappatura in gruppi universali
•
266
Per mappare in gruppi universali, è necessario fare riferimento al Controller di dominio del catalogo globale. È inoltre possibile utilizzare il numero di porta 3268 anziché
quello predefinito 389.
Se si utilizzano più domini ma non si fa riferimento al Controller di dominio del catalogo globale, non
è possibile mappare in nessun tipo di gruppo di domini secondari o trasversali. È possibile mappare
tutti i tipi di gruppo solo dal dominio specifico a cui si fa riferimento.
2013-09-19
Autenticazione
9.3.3.4 Utilizzo del plug-in LDAP per configurare SSO nel database SAP HANA
Questa sezione fornisce agli amministratori le fasi necessarie all'impostazione e configurazione Single
Sign On (SSO) fra la piattaforma BI in esecuzione su SUSE Linux 11 e il database SAP HANA.
Autenticazione LDAP tramite Kerberos consente agli utenti AD di essere autenticati su una piattaforma
BI in esecuzione su Linux, in modo specifico su SUSE. Questo scenario supporta anche la Single Sign
On su SAP HANA come database di report.
Nota:
Per informazioni sulla configurazione del database SAP HANA, consultare il manuale di aggiornamento
e installazione server - database SAP HANA. Per ulteriori informazioni sulla modalità di configurazione
del componente Accesso ai dati per SAP HANA, consultareManuale dell'accesso ai dati.
Panoramica dell'implementazione
Affinché Kerberos SSO possa funzionare correttamente, devono essere predisposti i seguenti
componenti.
Componente
Requisito
Controller di dominio
Ospitato su un computer che esegue Active Directory impostato per utilizzare
l'autenticazione Kerberos.
Central Management
Server
Installato e in esecuzione su un computer che esegue SUSE Linux Enterprise
11 (SUSE).
Installato insieme alle librerie e utilità necessarie sull'host SUSE.
Client Kerberos V5
Nota:
Utilizzare la versione più recente del client Kerberos V5. Aggiungere le
cartelle bin e lib alle variabili di ambiente PATH e LD_LIBRARY_PATH.
plug-in per l’autenticazione LDAP
Attivata sull'host SUSE.
File di configurazione
di accesso Kerberos
Creato sulla macchina che ospita il server di applicazioni Web.
Workflow di implementazione
È necessario effettuare le seguenti attività per consentire agli utenti della piattaforma BI l'accesso SSO
a SAP HANA tramite l'autenticazione Kerberos utilizzando JDBC.
1. Configurazione dell'host AD.
2. Creazione di file di codice e account per l'host SUSE e la piattaforma BI sull'host AD.
3. Installazione delle risorse Kerberos sull'host SUSE.
4. Configurazione dell'host SUSE per l'autenticazione Kerberos.
267
2013-09-19
Autenticazione
5. Configurazione delle opzioni di autenticazione Kerberos nel plug-in per autenticazione LDAP.
6. Creazione di un file di configurazione di accesso Kerberos per l'host di applicazioni Web.
9.3.3.4.1 Per impostare il controller del dominio
Potrebbe essere necessario impostare una relazione di trust fra l'host SUSE e il controller del dominio.
Se l'host SUSE si trova nel controller del dominio Windows non è necessario configurare la relazione
di trust. Tuttavia, se la distribuzione della piattaforma BI e il controller del dominio si trovano in domini
differenti, potrebbe essere necessario impostare una relazione di trust fra la macchina SUSE Linux e
il controller del dominio. Viene richiesto quanto segue:
1. Creare un account utente per la macchina SUSE che esegue la piattaforma BI.
2. Creare un host Nome principale servizio (SPN).
Nota:
SPN dovrebbe essere formattato in base alle convenzioni Windows AD: host/[email protected]_DO
MINIO_DNS. Utilizzare, con lettere minuscole, un nome di dominio completamente qualificato per
/nomehost. NOME_DOMINIO_DNS dovrebbe essere indicato in lettere maiuscole.
3. Eseguire il comando di configurazione keytab Kerberos ktpass per associare SPN all'account
utente:
c:\> ktpass -princ host/[email protected]_REALM_NAME-mapuser username -pass Password1 -crypto RC4-HMAC-NT out usernamebase.keytab
Le fasi seguenti devono essere eseguite sulla macchina che ospita il controller del dominio.
1. Creare un account utente per il servizio che esegue la piattaforma BI.
2. Sulla pagina "Account utente", fare clic col tasto destro del mouse sull'account del nuovo servizio
e selezionare Proprietà > Delega.
3. Selezionare Utente attendibile per la delega a qualsiasi servizio (solo Kerberos).
4. Eseguire il comando di configurazione keytab Kerberos ktpass per creare un account SPN per il
nuovo account di servizio:
c:\>ktpass -princ sianame/[email protected]_REALM_NAME -mapuser service_name -pass password -ptype
KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT -out sianame.keytab
Nota:
SPN dovrebbe essere formattato in base alle convenzioni Windows AD: sianame/nome_servi
[email protected]_DOMINIO_DNS. Specificare il nome servizio in lettere minuscole altrimenti la
piattaforma SUSE potrebbe non riuscire a risolverlo. NOME_DOMINIO_DNS dovrebbe essere indicato
in lettere maiuscole.
268
Parametro
Descrizione
-princ
Specifica il nome principale per l'autenticazione Kerberos.
-out
Specifica il nome del file Kerberos keytab da generare. Dovrebbe corrispondere al nomesia utilizzato in -princ.
-mapuser
Specifica il nome dell'account utente a cui è stato mappato l'SPN. Server Intelligence Agent viene eseguito su questo account.
2013-09-19
Autenticazione
Parametro
Descrizione
-pass
Specifica la password utilizzata dall'account di servizio.
Specifica il tipo principale:
-ptype
-ptype KRB5_NT_PRINCIPAL
Specifica il tipo di crittografia da utilizzare con l'account di servizio:
-crypto
-crypto RC4-HMAC-NT
Sono stati creati i file keytab necessari per la relazione di trust fra la macchina SUSE e il controller del
dominio.
È necessario trasferire il file keytab alla macchina SUSE e archiviarlo nella directory /etc.
9.3.3.4.2 Per configurare il computer SUSE Linux Enterprise 11
Sono necessarie le seguenti risorse per la configurazione di Kerberos nel computer SUSE Linux che
esegue la piattaforma BI:
• File keytab creati sul controller del dominio. Il file keytab creato per il servizio della piattaforma BI è
obbligatorio. Il keytab per l'host SUSE è consigliato in modo specifico per gli scenari in cui l'host
della piattaforma BI e il controller del dominio si trovano in domini differenti.
• La libreria Kerberos V5 più recente (incluso il client Kerberos) deve essere installata sull'host SUSE.
È necessario aggiungere la posizione dei file binari alle variabili di ambiente PATH e LD_LIBRA
RY_PATH. Per verificare l'installazione e configurazione corrette del client Kerberos, controllare che
le seguenti utilità e librerie siano presenti sull'host SUSE:
•
•
•
•
•
•
•
•
•
kinit
ktutil
kdestroy
klist
/lib64/libgssapi_krb5.so.2.2
/lib64/libkrb5.so.3.3
/lib/libkrb5support.so.0.1
/lib64/libk5crypto.so.3
/lib64/libcom_err.so.2
Suggerimento:
Eseguire rpm -qa | grep krb per verificare la versione di tali librerie. Per ulteriori informazioni
sul client Kerberos più recente, librerie e configurazione dell'host Unix, consultare
http://web.mit.edu/Kerberos/krb5-1.9/krb5-1.9.2/doc/krb5-install.html#Installing%20Kerberos%20V5.
Una volta che tutte le risorse necessarie sono disponibili sull'host SUSE, seguire le istruzioni riportate
di seguito per configurare l'autenticazione Kerberos.
269
2013-09-19
Autenticazione
Nota:
per eseguire questi passaggi, è necessario disporre di privilegi root.
1. Per unire i file keytab eseguire il seguente comando:
> ktutil
ktutil: rkt <susemachine>.keytab
ktutil: rkt <BI platform service>.keytab
ktutil: wkt /etc/krb5.keytab
ktutil:q
2. Modificare il file /etc/kerb5.conf per fare riferimento al controller del dominio (sulla piattaforma
Windows) come al Controller di dominio Kerberos (KDC).
Utilizzare gli esempi seguenti:
[domain_realm]
.name.mycompany.corp = DOMAINNAME.COM
name.mycompany.corp = DOMAINNAME.COM
[libdefaults]
forwardable = true
default_realm = DOMAINNAME.COM
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
[realms]
DOMAINNAME.COM = {
kdc = machinename.domainname.com
}
Nota:
il file krb5.conf contiene informazioni di configurazione Kerberos, incluse le posizioni di KDC e
server per le aree di interesse Kerberos, applicazioni Kerberos e mappature di nomi host nei domini
Kerberos. Di norma, il file krb5.conf viene installato nella directory /etc.
3. Aggiungere il controller del dominio a /etc/hosts in modo che l'host SUSE possa localizzare
KDC.
4. Eseguire il programma kinit dalla directory /usr/local/bin per verificare che Kerberos sia
stato configurato correttamente. Verificare che un account utente AD possa eseguire l'accesso al
computer SUSE.
Suggerimento:
KDC dovrebbe emettere un ticket di concessione ticket (TGT) che può essere visualizzato nella
cache. Utilizzare il programma klist per visualizzare il TGT.
Esempio:
> kinit <AD user>
Password for <AD user>@<domain>: <AD user password>
> klist
Ticket cache: FILE:/tmp/krb5cc_0Default principal: <AD user>@<domain>
Valid starting Expires Service principal08/10/11 17:33:43 08/11/11 03:33:46 krbtgt/<domain>@<domain>renew
until 08/11/11 17:33:43
Kerberos 4 ticket cache: /tmp/tkt0klist: You have no tickets cached
>klist -k
Keytab name: FILE:/etc/krb5.keytabKVNO Principal-3hdb/<FQDN>@<Domain>
270
2013-09-19
Autenticazione
Inoltre, è consigliabile servirsi di kinit per verificare SPN.
9.3.3.4.3 Per configurare le opzioni di autenticazione Kerberos per LDAP
Prima di configurare l'autenticazione Kerberos per LDAP, è necessario innanzitutto attivare e configurare
il plug-in di autenticazione LDAP della piattaforma BI per eseguire la connessione alla directory AD.
Per utilizzare l'autenticazione LDAP, è necessario accertarsi di aver impostato la rispettiva directory
LDAP.
Nota:
quando si esegue "Avvia Configurazione guidata LDAP" è necessario specificare Microsoft Active
Directory Application Server e fornire i dettagli di configurazione richiesti.
Dopo aver abilitato l'autenticazione LDAP ed effettuato la connessione a Microsoft Active Directory
Application Server, viene visualizzata l'area "Abilita autenticazione Kerberos" sulla pagina Riepilogo
della configurazione server. Utilizzare quest'area per configurare l'autenticazione Kerberos, necessaria
per il Single Sign On nel database SAP HANA da una distribuzione della piattaforma BI in SUSE.
1. Passare all’area di gestione Autenticazione della CMC.
2. Fare doppio clic su LDAP.
Viene visualizzata la pagina "Riepilogo della configurazione server LDAP", in cui è possibile modificare
qualsiasi campo o parametro di connessione.
3. Per configurare l'autenticazione Kerberos, eseguire le operazioni illustrate di seguito nell'area "Abilita
autenticazione Kerberos":
a. Fare clic su Abilita autenticazione Kerberos.
b. Fare clic su Contesto di protezione della cache (richiesto per SSO al database).
Nota:
l'attivazione del contesto di protezione della cache è richiesto specificatamente per il Single Sign
On a SAP HANA.
c. Specificare Nome principale servizio (SPN) per l'account della piattaforma BI in "Nome principale
servizio".
Il formato per specificare SPN è nomesia/[email protected]_DOMINIO_DNS:
nomesia
Nome dell'agente Server Intelligence Agent
servizio
Nome dell'account di servizio utilizzato per eseguire la piattaforma BI
NOME_DOMI
NIO_DNS
Il nome del dominio del controller di dominio in lettere maiuscole
Suggerimento:
Alla specifica di SPN, ricordare che nomesia/servizio fa distinzione tra minuscole e maiuscole.
d. Specificare il dominio per il controller di dominio in "Area di autenticazione Kerberos predefinita".
e. Specificare userPrincipalName in Nome principale utente.
271
2013-09-19
Autenticazione
Questo valore viene utilizzato dall'applicazione di autenticazione LDAP per fornire i valori ID
utente richiesti da Kerberos. Il valore specificato dovrebbe corrispondere al nome fornito durante
la creazione dei file keytab.
4. Fare clic su Aggiorna per inviare e salvare le modifiche.
Sono state configurate le opzioni di autenticazione Kerberos per far riferimento agli account utente
nella directory AD.
È necessario creare un file di configurazione degli accessi Kerberos, bscLogin.conf, per attivare il
Single Sign On e l'accesso di Kerberos.
Argomenti correlati
• Configurazione dell'autenticazione LDAP
9.3.3.4.4 Per creare un file di configurazione degli accessi Kerberos
Per attivare il Single Sign On e l'accesso di Kerberos è necessario aggiungere un file di configurazione
degli accessi sul computer che ospita il server delle applicazioni Web della piattaforma BI.
1. Creare un file denominato bscLogin.conf e archiviarlo nella directory /etc.
Nota:
è possibile memorizzare questo file in un'altra posizione, ma in tal caso sarà necessario specificarla
nelle opzioni Java. È consigliabile che i file bscLogin.conf e keytab Kerberos si trovino nella
stessa directory. In un'implementazione distribuita è necessario aggiungere un file bscLogin.conf
per ogni computer che ospita un server di applicazioni Web.
2. Aggiungere il codice seguente al file di configurazione degli accessi bscLogin.conf:
com.businessobjects.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required;
};
com.businessobjects.security.jgss.accept {
com.sun.security.auth.module.Krb5LoginModule required
storeKey=true
useKeyTab=true
keyTab="/etc/krb5.keytab"
principal="principal name";
};
Nota:
La sezione seguente è richiesta in modo specifico per il Single Sign On:
com.businessobjects.security.jgss.accept {
com.sun.security.auth.module.Krb5LoginModule required
storeKey=true
useKeyTab=true
keyTab="/etc/krb5.keytab"
principal="principal name";
};
3. Salvare e chiudere il file.
272
2013-09-19
Autenticazione
9.3.3.5 Risoluzione dei problemi relativi ai nuovi account LDAP
•
Se si crea un nuovo account utente LDAP che non appartiene a un account di gruppo mappato alla
piattaforma BI, mappare il gruppo oppure aggiungere il nuovo account utente LDAP a un gruppo
già mappato al sistema.
•
Se viene creato un nuovo account utente LDAP e l'account appartiene a un account di gruppo
mappato alla piattaforma BI, è necessario aggiornare l'elenco degli utenti.
Argomenti correlati
• Configurazione dell'autenticazione LDAP
• Mappatura di gruppi LDAP
9.4 Autenticazione Windows AD
9.4.1 Utilizzo dell'autenticazione Windows AD
9.4.1.1 Requisiti di supporto e impostazione iniziale di Windows AD
In questa sezione viene descritto il processo di configurazione dell'autenticazione Windows Active
Directory (AD) per l'utilizzo nella piattaforma BI. Oltre a una descrizione di tutti i workflow end-to-end
da eseguire, vengono illustrati anche i test di convalida e le verifiche dei prerequisiti.
Requisiti di supporto
Per semplificare l'autenticazione AD nella piattaforma BI, tenere presenti i seguenti requisiti di supporto.
•
•
273
Il server CMS deve essere sempre installato su una piattaforma Windows supportata.
Benché la piattaforma Windows 2008 sia supportata per l'autenticazione Kerberos e NTLM, è
possibile che alcune applicazioni della piattaforma BI utilizzino solo metodi di autenticazione
particolari. Ad esempio, le applicazioni come BI Launch Pad e Central Management Console
supportano solo Kerberos.
2013-09-19
Autenticazione
Workflow dell'impostazione AD consigliato
Per impostare inizialmente l'autenticazione AD manuale con la piattaforma BI, utilizzare il workflow
seguente:
1.
2.
3.
4.
Impostare il controller di dominio.
Configurare l'autenticazione AD nella console CMC.
Configurare l'account utente AD sul SIA (Server Intelligence Agent).
Configurare il server di applicazioni Web per l'autenticazione AD con Kerberos.
Nota:
Utilizzare questo workflow, indipendentemente dalla necessità di utilizzare il Single Sign On (SSO). Il
workflow descritto nelle sezioni seguenti consentirà innanzitutto di accedere manualmente (mediante
un nome utente AD e una password) alla piattaforma BI. Dopo aver configurato l'autenticazione AD
manuale, in una sezione vengono fornite istruzioni dettagliate per il completamento dell'impostazione
del SSO per l'autenticazione AD.
9.4.2 Preparazione del controller di dominio
9.4.2.1 Impostazione di un account di servizio per l'autenticazione AD con
Kerberos
Per configurare la piattaforma BI affinché funzioni con l'autenticazione Windows AD (Kerberos), è
necessario disporre di un account di servizio. È possibile creare un nuovo account di dominio o utilizzare
un account esistente. L'account di servizio verrà utilizzato per eseguire i server della piattaforma BI. Al
termine dell'impostazione, è necessario impostare anche un nome SPN per l'account stesso. Tale nome
SPN viene utilizzato per importare i gruppi utente AD nella piattaforma BI.
Nota:
Per utilizzare AD con SSO, sarà necessario rivedere successivamente l'account di servizio impostato
per concedere i diritti appropriati dell'account e configurarlo per la delega vincolata.
9.4.2.1.1 Per impostare l'account di servizio in un dominio Windows 2008
È necessario impostare un nuovo account di servizio per abilitare correttamente l'autenticazione Windows
AD mediante il protocollo Kerberos. Questo account di servizio verrà utilizzato principalmente per
consentire agli utenti di un determinato gruppo AD di accedere a BI Launch Pad. Quest'attività viene
eseguita sul computer che rappresenta il controller di dominio AD.
1. Creare un nuovo account di servizio con una password sul controller di dominio principale.
274
2013-09-19
Autenticazione
2. Utilizzare il comando setspn -a per aggiungere i nomi principali di servizio (SPN) all'account di
servizio creato al passaggio 1. Specificare i nomi principali di servizio (SPN) per l'account di servizio,
il server di dominio completo e l'indirizzo IP del computer su cui è distribuito BI Launch Pad.
Ad esempio:
setspn
setspn
setspn
setspn
–a
-a
-a
-a
BICMS/service_account_name.domain.com serviceaccountname
HTTP/servername servicename
HTTP/servername.domain.com servicename
HTTP/<ip address of server> servicename
BICMS è il nome del computer su cui è in esecuzione il SIA, nome server è il nome del server su
cui viene distribuito BI Launch Pad e dominio nome server è il nome di dominio completo.
3. Eseguire setspn -l nome servizio per verificare che i nomi principali di servizio siano stati
aggiunti all'account di servizio.
L'output del comando deve includere tutti i nomi SPN registrati, come viene illustrato di seguito:
Registered ServicePrincipalNames for
CN=bo.service,OU=boe,OU=BIP,OU=PG,DC=DOMAIN,DC=com:
HTTP/<ip address of server>
HTTP/servername.DOMAIN.com
HTTP/servername
servername/servicenameDOMAIN.com
Un output di esempio viene indicato in basso:
C:\Users\Admin>setspn -L bossosvcacct
Registered ServicePrincipalNames for
CN=bossosvcacct,OU=svcaccts,DC=domain,DC=com:
BICMS/bossosvcacct.domain.com
HTTP/Tomcat HTTP/Tomcat.domain.com
HTTP/Load_Balancer.domain.com
Dopo la creazione, è necessario concedere diritti all'account di servizio e aggiungere quest'ultimo al
gruppo degli amministratori locali dei server. Il nome SPN verrà utilizzato per importare gruppi AD nella
sezione successiva.
9.4.3 Configurazione dell'autenticazione AD nella CMC
9.4.3.1 Plug-in di protezione di Windows AD
Il plug-in di protezione Windows AD consente di mappare account utente e gruppi dal database utenti
AD 2008 alla piattaforma BI. Consente inoltre al sistema di verificare tutte le richieste di accesso che
specificano l'autenticazione Windows AD. L'autenticazione degli utenti viene eseguita sul database
utente AD e viene verificata l'appartenenza a un gruppo AD mappato prima che il Central Management
Server (CMS) conceda agli utenti una sessione attiva. È possibile utilizzare il plug-in per configurare
gli aggiornamenti per i gruppi AD importati.
275
2013-09-19
Autenticazione
Il plug-in di protezione Windows AD consente di configurare quanto segue:
•
Autenticazione Windows AD con Kerberos
•
Autenticazione Windows AD con NTLM
•
Autenticazione Windows AD con SiteMinder per il Single Sign-On
Il plug-in di protezione AD è compatibile con i domini AD 2008 eseguiti in modalità originale o mista.
Dopo essere stati mappati, gli utenti e i gruppi AD potranno accedere agli strumenti client della
piattaforma BI utilizzando l'autenticazione Windows AD.
•
L'autenticazione Windows AD funziona solo se il CMS viene eseguito su Windows. Per il corretto
funzionamento del Single Sign On in un database, è necessario anche che i server per la creazione
di report vengano eseguiti in Windows. In caso contrario, tutti gli altri server e servizi possono essere
eseguiti su tutte le piattaforme supportate dalla piattaforma BI.
•
Il plug-in di Windows AD per la piattaforma BI supporta i domini in più foreste.
9.4.3.2 Per mappare gli utenti e i gruppi AD
Prima di poter importare gruppi di utenti AD nella piattaforma BI, è necessario completare le azioni
prerequisite seguenti:
• Avere creato un account di servizio nel controller di dominio per la piattaforma BI. L'account verrà
utilizzato per eseguire i server della piattaforma BI.
Nota:
per consentire l'autenticazione AD con il Single Sign On Vintela, è necessario fornire un nome SPN
appositamente configurato. Le operazioni descritte di seguito consentono di configurare
l'autenticazione AD manuale nella piattaforma BI. Dopo aver configurato l'autenticazione AD manuale,
fare riferimento alla sezione Impostazione del Single Sign On di questo capitolo per informazioni
dettagliate sull'aggiunta del Single Sign On alla configurazione dell'autenticazione AD.
•
Avere verificato che il nome SPN contenente il nome del computer su cui è in esecuzione il SIA sia
stato aggiunto all'account di servizio.
I passaggi da 1 a 11 descritti di seguito sono obbligatori per importare i gruppi AD nella piattaforma BI.
1. Passare all’area di gestione "Autenticazione" della CMC.
2. Fare doppio clic su Windows AD.
3. Selezionare la casella di controllo Abilita Windows Active Directory (AD).
4. Nell'area "Riepilogo configurazione AD" fare clic sul collegamento accanto a Nome amministrazione
AD.
Nota:
prima di configurare il plug-in di Windows AD, questo collegamento viene visualizzato tra virgolette.
Dopo avere salvato la configurazione, il collegamento viene compilato con i nomi degli amministratori
AD.
276
2013-09-19
Autenticazione
5. Immettere il nome e la password di un account utente di dominio abilitato.
Le credenziali di amministrazione possono utilizzare uno dei formati seguenti:
• Nome NT (NomeDominio\NomeUtente)
•
UPN ([email protected]_dominio_nome)
Questo account viene utilizzato dalla piattaforma BI per richiedere informazioni da AD. La piattaforma
non modifica, aggiunge o elimina contenuto da AD. Poiché le informazioni vengono solo lette, sono
necessari solo i diritti appropriati per tale operazione.
Nota:
l'autenticazione AD non viene mantenuta se l'account utilizzato per leggere la directory AD non è
più valido (ad esempio se la password dell'account viene modificata o è scaduta o se l'account viene
disabilitato).
6. Immettere il dominio AD nella casella Dominio AD predefinito.
Il dominio deve essere specificato come NOME COMPLETO DEL DOMINIO in MAIUSCOLO o
come nome di dominio secondario da cui la maggior parte degli utenti accederà alla piattaforma BI.
Tale dominio deve corrispondere al dominio predefinito specificato nei file di configurazione di
Kerberos utilizzati per configurare il server di applicazioni. È possibile mappare i gruppi dal dominio
predefinito senza specificare il prefisso del nome di dominio. Se si digita un nome di dominio AD
predefinito, non è necessario che gli utenti del dominio predefinito specifichino il nome del dominio
AD quando accedono alla piattaforma BI tramite l'autenticazione AD.
7. Nell'area "Gruppi membri AD mappati" immettere il dominio\gruppo AD nella casella Aggiungere
il gruppo AD (dominio\\gruppo), utilizzando uno dei formati seguenti per mappare i gruppi:
•
Nome account SAM (Security Account Manager), indicato anche come nome NT (NomeDomi
nio\NomeGruppo)
•
DN (cn=NomeGruppo, ......, dc=NomeDominio, dc=com)
Nota:
per mappare un gruppo locale, utilizzare solo il formato nome NT: \\NomeServer\NomeGruppo.
AD non supporta utenti locali. Gli utenti locali che appartengono a un gruppo locale mappato non
vengono mappati alla piattaforma BI. Pertanto, non possono accedere al sistema.
Suggerimento:
quando si accede manualmente a BI Launch Pad, gli utenti di altri domini devono aggiungere il
nome di dominio in lettere maiuscole dopo il nome utente. Ad esempio, CHILD.PARENTDOMAIN.COM
è il dominio in
[email protected]
8. Fare clic su Aggiungi.
Il codice verrà aggiunto all'elenco in "Gruppi membri AD mappati".
9. In "Opzioni di autenticazione", selezionare Usa autenticazione Kerberos.
10. Nella casella Nome principale servizio inserire il nome SPN mappato all'account di servizio creato
per l'esecuzione dei server della piattaforma BI.
277
2013-09-19
Autenticazione
Nota:
è necessario specificare il nome SPN per l'account di servizio che esegue il SIA. Ad esempio: BIC
MS/bossosvcacct.domain.com.
11. Fare clic su Aggiorna.
Avvertenza:
non procedere se gli utenti e/o i gruppi non vengono mappati in modo appropriato. Per risolvere
problemi di mappatura dei gruppi AD specifici, fare riferimento alla nota SAP 1631734.
Nota:
se gli account del gruppo AD sono stati mappati correttamente e non si desidera configurare opzioni
di autenticazione AD o aggiornamenti del gruppo AD, saltare i passaggi da 12 a 19. È possibile
configurare queste impostazioni facoltative dopo aver impostato correttamente l'autenticazione
Kerberos AD manuale.
12. Se la configurazione richiede SSO a un database, selezionare Contesto di protezione della cache.
Nota:
se si tratta della configurazione iniziale dell'autenticazione AD, è consigliabile impostare prima
l'autenticazione AD manuale in modo corretto prima di prendere in considerazione la configurazione
supplementare richiesta per SSO.
13. Selezionare Abilita Single Sign On per la modalità di autenticazione selezionata se la
configurazione dell'autenticazione AD richiede SSO.
14. Nell'area "Sincronizzazione delle credenziali" selezionare un'opzione per abilitare e aggiornare le
credenziali di accesso all'origine dati dell'utente AD.
Questa opzione sincronizza l'origine dati con le credenziali di accesso correnti dell'utente,
consentendo in questo modo di eseguire i report pianificati quando l'utente non è collegato alla
piattaforma BI e SSO Kerberos non è disponibile.
15. Nell'area "Opzioni alias AD" specificare in che modo i nuovi alias vengono aggiunti e aggiornati nella
piattaforma BI.
a. Nell'area "Nuove opzioni di alias" selezionare un'opzione per la mappatura dei nuovi alias agli
account Enterprise:
• Assegna ogni nuovo alias AD a un account utente esistente con lo stesso nome
Utilizzare questa opzione quando è noto che gli utenti possiedono un account Enterprise già
esistente con lo stesso nome; in altre parole gli alias AD saranno assegnati a utenti esistenti
(la creazione di alias automatici è attivata). Gli utenti che non dispongono di un account
Enterprise esistente o che non hanno lo stesso nome nei rispettivi account Enterprise e AD,
verranno aggiunti come nuovi utenti.
•
Crea un nuovo account utente per ogni nuovo alias AD
Utilizzare questa opzione quando si desidera creare un nuovo account per ciascun utente.
b. Nell'area "Opzioni di aggiornamento alias" selezionare un'opzione per la gestione degli
aggiornamenti degli alias per gli account Enterprise:
• Crea nuovi alias all'aggiornamento dell'alias
278
2013-09-19
Autenticazione
Selezionare questa opzione per creare automaticamente un nuovo alias per ogni utente AD
mappato alla piattaforma BI. I nuovi account AD vengono aggiunti per gli utenti che non
dispongono di account della piattaforma BI o per tutti gli utenti, se è stata selezionata l'opzione
Crea un nuovo account utente per ogni nuovo alias AD e si è fatto clic su Aggiorna.
•
Crea nuovi alias solo all'accesso dell'utente
Selezionare questa opzione se la directory AD che si sta mappando include molti utenti, di
cui solo alcuni utilizzeranno la piattaforma BI. La piattaforma non crea automaticamente alias
e account Enterprise per tutti gli utenti. Creerà, invece, alias (e account, se necessario) solo
per gli utenti che accedono alla piattaforma.
c. Nell'area "Nuove opzioni utente" selezionare un'opzione per creare nuovi utenti:
• I nuovi utenti vengono creati come utenti designati
I nuovi account utente verranno configurati per utilizzare licenze utente designato. Le licenze
utente designato sono associate a utenti specifici e consentono di accedere alla piattaforma
BI in base a nome utente e password. Ciò garantisce agli utenti designati l'accesso al sistema,
indipendentemente dal numero di persone connesse. È necessario disporre di una licenza
utente designato per ciascun account utente creato utilizzando questa opzione.
•
I nuovi utenti vengono creati come utenti simultanei
I nuovi account utente verranno configurati per utilizzare licenze utente simultaneo. Le licenze
di accesso simultaneo specificano il numero di persone che possono connettersi alla
piattaforma BI contemporaneamente. Questo tipo di licenza è estremamente flessibile, poiché
una licenza di accesso simultaneo di dimensioni ridotte può supportare un'ampia base di
utenti. A seconda della frequenza e della durata dell'accesso al sistema, una licenza di accesso
simultaneo per 100 utenti può ad esempio supportare 250, 500 o 700 utenti.
16. Per configurare come pianificare gli aggiornamenti degli Alias AD, fare clic su Pianificazione.
a. Nella finestra di dialogo "Pianificazione" selezionare una ricorrenza nell'elenco Esegui oggetto.
b. Impostare le opzioni e i parametri della pianificazione rimanenti nel modo richiesto.
c. Fare clic su Pianificazione.
All'aggiornamento degli alias vengono aggiornate anche le informazioni sul gruppo.
17. Nell'area "Opzioni di collegamento attributi" è possibile specificare la priorità di collegamento degli
attributi per il plug-in AD:
a. Selezionare la casella di controllo Importa nome completo, indirizzo di posta elettronica e
altri attributi.
I nomi completi e le descrizioni utilizzati negli account AD vengono importati e memorizzati con
gli oggetti utente nella piattaforma BI.
b. Specificare un'opzione per Imposta priorità collegamento attributi AD relativo ad altri
collegamenti attributi.
Se l'opzione è impostata su 1, gli attributi AD hanno la priorità negli scenari in cui sono abilitati
AD e altri plug-in (LDAP e SAP). Se l'opzione è impostata su 3, hanno la priorità gli attributi di
altri plug-in abilitati.
18. Nell'area "Opzioni gruppo AD", configurare gli aggiornamenti del gruppo AD:
a. Fare clic su Pianifica.
279
2013-09-19
Autenticazione
Viene visualizzata la finestra di dialogo "Pianificazione".
b. Selezionare una ricorrenza dall'elenco a discesa Esegui oggetto.
c. Impostare le opzioni e i parametri della pianificazione rimanenti nel modo richiesto.
d. Fare clic su Pianificazione.
Il sistema pianifica l'aggiornamento e lo esegue in base alla pianificazione specificata.
L'aggiornamento pianificato successivo per gli account del gruppo AD viene visualizzato in "Opzioni
gruppo AD".
19. Nell'area "Aggiornamento AD su richiesta" selezionare una delle seguenti opzioni:
• Aggiorna gruppi AD ora
Selezionare questa opzione se si desidera avviare l'aggiornamento di tutti i gruppi AD pianificati
quando si fa clic su Aggiorna. Il prossimo aggiornamento pianificato del gruppo AD è indicato
in "Opzioni gruppo AD".
•
Aggiorna alias e gruppi AD ora
Selezionare questa opzione se si desidera avviare l'aggiornamento di tutti i gruppi e alias utente
AD pianificati quando si fa clic su Aggiorna. I successivi aggiornamenti pianificati sono elencati
in "Opzioni gruppo AD" e "Opzioni alias AD".
•
Non aggiornare alias e gruppi AD ora
Nessun gruppo o alias utente AD verrà aggiornato quando si fa clic su Aggiorna.
20. Fare clic su Aggiorna, quindi su OK.
Per verificare di aver importato effettivamente gli account utente AD, andare a CMC > Utenti e gruppi
> Gerarchia gruppi e selezionare il gruppo AD mappato per visualizzare gli utenti al suo interno.
Verranno visualizzati gli utenti correnti e nidificati nel gruppo AD.
Argomenti correlati
• Per creare un file di configurazione Kerberos
9.4.3.3 Pianificazione degli aggiornamenti per i gruppi Windows AD
La piattaforma BI consente agli amministratori di pianificare gli aggiornamenti per gli alias utente e i
gruppi AD. Questa caratteristica è disponibile per l'autenticazione AD con Kerberos o NTLM. La console
CMC consente inoltre di visualizzare l'ora e la data in cui è stato eseguito l'ultimo aggiornamento.
Nota:
Per consentire il funzionamento dell'autenticazione AD nella piattaforma BI, è necessario configurare
la pianificazione degli aggiornamenti per alias e gruppi AD.
Quando si pianifica un aggiornamento, è possibile scegliere tra gli schemi ricorrenti nella seguente
tabella.
280
2013-09-19
Autenticazione
Criterio di ricorrenza
Descrizione
Ogni ora
L'aggiornamento verrà eseguito ogni ora. È possibile specificare
l'ora di inizio nonché una data di inizio e di fine.
Giornaliero
L'aggiornamento verrà eseguito ogni giorno oppure dopo il numero
di giorni specificato. È possibile specificare l'ora in cui verrà eseguito nonché una data di inizio e di fine.
Settimanale
L'aggiornamento verrà eseguito ogni settimana. e può essere
eseguito una o più volte a settimana È possibile specificare in
quali giorni e a che ora verrà eseguito nonché una data di inizio
e di fine.
Mensile
L'aggiornamento verrà eseguito ogni mese oppure dopo il numero
di mesi specificato. È possibile specificare l'ora in cui verrà eseguito nonché una data di inizio e di fine.
Il N° giorno del mese
L'aggiornamento verrà eseguito in un giorno specifico del mese.
È possibile specificare in quale giorno del mese e a che ora verrà
eseguito nonché una data di inizio e di fine.
Il primo lunedì del mese
L'aggiornamento verrà eseguito il primo lunedì di ogni mese. È
possibile specificare l'ora in cui verrà eseguito nonché una data
di inizio e di fine.
Ultimo giorno del mese
L'aggiornamento verrà eseguito l'ultimo giorno di ogni mese. È
possibile specificare l'ora in cui verrà eseguito nonché una data
di inizio e di fine.
Giorno X della N° settimana del
mese
L'aggiornamento verrà eseguito in un giorno specifico di una
settimana specifica del mese. È possibile specificare l'ora in cui
verrà eseguito nonché una data di inizio e di fine.
Calendario
L'aggiornamento verrà eseguito nelle date specificate all'interno
di un calendario creato in precedenza.
Pianificazione degli aggiornamenti dei gruppi AD
La piattaforma BI si basa su AD per le informazioni su utenti e gruppi. Per ridurre il volume delle query
inviate ad AD, il plug-in AD memorizza nella cache le informazioni sui gruppi, le relative relazioni e
l'appartenenza degli utenti. L'aggiornamento non viene eseguito se non si definisce una pianificazione
specifica.
È necessario utilizzare la console CMC per configurare la ricorrenza dell'aggiornamento dei gruppi.
Questa dovrebbe essere pianificata in base alla frequenza con cui vengono modificate le informazioni
sull'appartenenza ai gruppi.
Pianificazione degli aggiornamenti degli alias utente AD
È possibile creare alias degli oggetti utente in un account AD, consentendo in tal modo agli utenti di
utilizzare le proprie credenziali AD per accedere alla piattaforma BI. Gli aggiornamenti apportati agli
281
2013-09-19
Autenticazione
account AD vengono propagati nella piattaforma BI mediante il plug-in AD. Gli account creati, eliminati
o disabilitati in AD verranno creati, eliminati o disabilitati anche nella piattaforma BI.
Se non si pianificano aggiornamenti agli alias AD, verranno eseguiti solo nei casi seguenti:
• All'accesso di un utente: l'alias AD verrà aggiornato.
• Un amministratore seleziona l'opzione Aggiorna alias e gruppi AD ora nell'area Aggiornamento
AD su richiesta della console CMC.
Nota:
non viene memorizzata alcuna password AD nell'alias utente.
9.4.4 Configurazione del servizio della piattaforma BI per l'esecuzione del SIA
9.4.4.1 Esecuzione del SIA nell'account di servizio della piattaforma BI
Per supportare l'autenticazione AD Kerberos per la piattaforma BI, è necessario assegnare all'account
di servizio il diritto di agire come parte del sistema operativo. Questa operazione deve essere eseguita
su ogni computer che esegue Server Intelligence Agent (SIA) in cui sia in esecuzione il CMS (Central
Management Server).
Per consentire all'account di servizio di eseguire/avviare il SIA, è necessario configurare impostazioni
del sistema operativo specifiche descritte in questa sezione.
Nota:
Se si richiede il Single Sign On al database, il SIA deve includere i seguenti server:
•
Crystal Reports Processing Server
•
Report Application Server
•
Server di elaborazione Web Intelligence
9.4.4.2 Per configurare l'esecuzione del SIA nell'account di servizio
Prima di configurare l'esecuzione del SIA nell'account di servizio della piattaforma BI, è necessario
completare le azioni prerequisite seguenti:
• È stato creato un account di servizio è stato creato sul controller di dominio per la piattaforma BI.
282
2013-09-19
Autenticazione
•
•
È stato verificato che i nomi principali servizio (SPN) sono stati aggiunti all'account di servizio.
Sono stati mappati i gruppi di utenti AD nella piattaforma BI.
Eseguire quest'attività per qualsiasi agente SIA (Server Intelligence Agent) che esegua servizi utilizzati
dall'account del servizio.
1. Per avviare CCM, scegliere Programmi > SAP Business Intelligence > Piattaforma SAP
BusinessObjects BI 4 > Central Configuration Manager.
Viene visualizzata la home page di CCM.
2. In CCM fare clic con il pulsante destro del mouse su Server Intelligence Agent (SIA) e scegliere
Arresta.
Nota:
Quando si arresta il SIA, vengono arrestati anche tutti i servizi gestiti dall'agente.
3. Fare clic con il pulsante destro del mouse sul SIA e scegliere Proprietà.
4. Deselezionare la casella di controllo Account sistema.
5. Immettere le credenziali dell'account di servizio (DOMAINNAME\nome servizio) e fare clic su OK.
All'account di servizio devono essere concessi i diritti seguenti sul computer su cui è in esecuzione
il SIA:
•
•
•
•
Deve disporre in modo specifico del diritto “Agire come parte del sistema operativo”.
Deve disporre in modo specifico del diritto “Accesso come servizio”.
Diritti di controllo completo per la cartella in cui è installata la piattaforma BI.
Diritti di controllo completo per “ HKEY_LOCAL_MACHINE\SOFTWARE\SAP BusinessObjects”
nel registro di sistema.
6. Fare clic su Start > Pannello di controllo > Strumenti di amministrazione > Criteri di protezione
locali.
7. Espandere Criteri locali, quindi fare clic su Assegnazione diritti utente.
8. Fare doppio clic su Agisci come parte del sistema operativo.
9. Fare clic su Aggiungi e immettere il nome dell'account di servizio creato, quindi fare clic su OK.
10. Ripetere la procedura descritta in precedenza per ogni computer su cui è in esecuzione un server
della piattaforma BI.
Nota:
È importante selezionare il diritto valido dopo avere selezionato Agisci come parte del sistema
operativo. Affinché questa condizione si verifichi, generalmente è necessario riavviare il server.
Se, dopo il riavvio del server, l'opzione non è ancora attiva, verrà eseguito l'override delle impostazioni
di criterio locale da parte delle impostazioni di criterio dominio.
11. Riavviare il SIA.
12. Se necessario, ripetere i passaggi da 1 a 5 per ogni SIA che esegue un servizio da configurare.
Ora dovrebbe essere possibile accedere al CCM utilizzando le credenziali AD.
283
2013-09-19
Autenticazione
9.4.4.3 Per verificare le credenziali AD su CCM
Per eseguire questa attività, è necessario aver mappato un gruppo di utenti AD alla piattaforma BI.
1. Aprire CCM e fare clic sull'icona Gestisci server.
2. Assicurarsi che nel campo "Sistema" vengano visualizzate le informazioni corrette.
3. Selezionare Windows AD dall'elenco delle opzioni di autenticazione.
Viene visualizzata una finestra di dialogo di connessione.
4. Accedere mediante un account AD esistente dal gruppo AD mappato nella piattaforma BI.
Nota:
Se si utilizza un account AD che non risiede nel dominio predefinito, accedere come dominio\no
meutente.
Non verranno visualizzati messaggi di errore. È necessario poter accedere mediante CCM utilizzando
un account AD mappato prima di passare alla sezione successiva.
Suggerimento:
Se viene visualizzato un messaggio di errore, passare a CMC > Autenticazione > Windows AD. In
"Opzioni di autenticazione" modificare Usa autenticazione Kerberos in Usa autenticazione NTLM e
fare clic su Aggiorna. Ripetere i passaggi da 1 a 4 sopra descritti. Se il messaggio di errore non viene
più visualizzato, il problema dipende dalla configurazione di Kerberos.
9.4.5 Configurazione del server di applicazioni Web per l'autenticazione AD
9.4.5.1 Preparazione del server di applicazioni per l'autenticazione Windows AD
(Kerberos)
Il processo di configurazione di Kerberos per un server di applicazioni Web varia leggermente a seconda
dello specifico server di applicazioni. Tuttavia, il processo generale di configurazione di Kerberos include
i seguenti passaggi:
•
•
284
Creazione del file di configurazione Kerberos (krb5.ini).
Creazione del file di configurazione per l'accesso JAAS.bscLogin.conf.
2013-09-19
Autenticazione
Nota:
questo passaggio non è necessario per il server di applicazioni Java SAP NetWeaver 7.3. Sarà
tuttavia necessario aggiungere LoginModule al server SAP NetWeaver.
•
•
•
Modifica delle opzioni Java per il server di applicazioni.
Sovrascrittura delle proprietà del file BOE.war per l'autenticazione Windows AD.
Riavvio del server di applicazioni Java.
In questa sezione vengono fornite informazioni dettagliate sulla configurazione di Kerberos per l'utilizzo
con i seguenti server di applicazioni:
•
•
•
•
•
Tomcat
WebSphere
WebLogic
Oracle Application Server
SAP NetWeaver 7.3
9.4.5.1.1 Creazione di file di configurazione Kerberos
Per creare un file di configurazione Kerberos
Prima di procedere, assicurarsi di avere eseguito le attività prerequisite seguenti:
• È stato creato un account di servizio è stato creato sul controller di dominio per la piattaforma BI.
• È stato verificato che i nomi principali servizio (SPN) sono stati aggiunti all'account di servizio.
• Sono stati mappati i gruppi di utenti AD nella piattaforma BI.
• Le credenziali AD sono state verificate in CCM.
Seguire la procedura seguente per creare il file di configurazione Kerberos se si utilizza SAP NetWeaver
7.3, Tomcat, Oracle Application Server, WebSphere o WebLogic come server di applicazioni Web per
la distribuzione della piattaforma BI.
1. Creare il file krb5.ini, se non è già presente e memorizzarlo in C:\Windows per Windows.
Nota:
•
se il server di applicazioni viene installato in UNIX, è necessario utilizzare le directory seguenti:
Solaris: /etc/krb5/krb5.conf
Linux: /etc/krb5.conf
•
è possibile memorizzare questo file in un'altra posizione, ma in tal caso sarà necessario
specificarla nelle opzioni Java. Per ulteriori informazioni su krb5.ini, vedere http://do
cs.sun.com/app/docs/doc/816-0219/6m6njqb94?a=view.
2. Aggiungere le seguenti informazioni necessarie nel file di configurazione di Kerberos:
[libdefaults]
default_realm = DOMAIN.COM
dns_lookup_kdc = true
dns_lookup_realm = true
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
[domain_realm]
.domain.com = DOMAIN.COM
domain.com = DOMAIN.COM
285
2013-09-19
Autenticazione
.domain2.com = DOMAIN2.COM
domain2.com = DOMAIN2.COM
[realms]
DOMAIN.COM = {
default_domain = DOMAIN.COM
kdc = HOSTNAME.DOMAIN.COM
}
DOMAIN2.COM = {
default_domain = DOMAIN2.COM
kdc = HOSTNAME.DOMAIN2.COM
}
[capaths]
DOMAIN2.COM = {
DOMAIN.COM =
}
Nota:
i parametri chiave sono descritti nella tabella riportata di seguito.
DOMAIN.COM
Nome DNS del dominio che deve essere immesso in lettere maiuscole nel formato FQDN.
kdc
Nome host del controller di dominio.
[capath]
Definisce l'attendibilità tra i domini che si trovano
in un'altra foresta AD. Nell'esempio sopra riportato DOMAIN2.COM è un dominio di una foresta
esterna con trust transitivo diretto e bidirezionale
a DOMAIN.COM.
default_realm
In una configurazione con più domini, in [lib
defaults] il valore default_realm potrebbe
corrispondere a uno qualsiasi dei domini di origine. La soluzione migliore consiste nell'utilizzare il dominio con il maggior numero di utenti
che verranno autenticati con i propri account
AD. Se non viene fornito alcun suffisso UPN
durante l'accesso, viene utilizzato il valore predefinito default_realm. Questo valore deve
essere coerente con l'impostazione "dominio
predefinito" nella console CMC. Tutti i domini
devono essere specificati in maiuscolo, come
viene mostrato nell'esempio sopra riportato.
9.4.5.1.2 Creazione di un file di configurazione per l'accesso JAAS
Creazione di un file di configurazione degli accessi JAAS Tomcat o WebLogic
Il file bscLogin.conf viene utilizzato per caricare il modulo di accesso java ed è necessario per
l'autenticazione AD Kerberos sui server di applicazioni Web Java.
Il percorso predefinito per i file è: C:\Windows.
1. Creare un file denominato bscLogin.conf, se non è già presente, e memorizzarlo in C:\Windows.
286
2013-09-19
Autenticazione
Nota:
È possibile memorizzare il file in un altro percorso. In tal caso, tuttavia, è necessario specificare il
percorso nelle opzioni Java.
2. Aggiungere il codice seguente al file di configurazione bscLogin.conf JAAS:
com.businessobjects.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required;
};
3. Salvare e chiudere il file.
Per creare un file di configurazione degli accessi JAAS Oracle
1. Individuare il file jazn-data.xml.
Nota:
La posizione predefinita del file è C:\OraHome_1\j2ee\home\config. Se Oracle Application
Server è stato installato in una posizione diversa, individuare il file specifico per l'installazione.
2. Aggiungere al file il seguente contenuto tra i tag <jazn-loginconfig>:
<application>
<name>com.businessobjects.security.jgss.initiate</name>
<login-modules>
<login-module>
<class>com.sun.security.auth.module.Krb5LoginModule</class>
<control-flag>required</control-flag>
</login-module>
</login-modules>
</application>
3. Salvare e chiudere il file jazn-data.xml.
Creazione di un file di configurazione degli accessi JAAS WebSphere
1. Creare un file denominato bscLogin.conf, se non è già presente, e memorizzarlo nel percorso
predefinito: C:\Windows.
2. Aggiungere il codice seguente al file di configurazione degli accessi bscLogin.conf:
com.businessobjects.security.jgss.initiate {
com.ibm.security.auth.module.Krb5LoginModule required;
};
3. Salvare e chiudere il file.
Aggiunta di un LoginModule a SAP NetWeaver
Per utilizzare Kerberos e SAP NetWeaver 7.3, configurare il sistema come se si stesse utilizzando il
server di applicazioni Web Tomcat. Non è necessario creare un file bscLogin.conf.
Una volta eseguita questa operazione, sarà necessario aggiungere un LoginModule e aggiornare alcune
impostazioni Java in SAP NetWeaver 7.3.
Per mappare com.sun.security.auth.module.Krb5LoginModule a com.businessobje
cts.security.jgss.initiate, è necessario aggiungere manualmente un LoginModule a
NetWeaver.
287
2013-09-19
Autenticazione
1. Aprire NetWeaver Administrator digitando l'indirizzo seguente in un browser Web: http://<nome
computer>:<porta>/nwa.
2. Fare clic su Configuration Management > Security > Authentication > Login Modules > Edit.
3. Aggiungere un nuovo modulo di accesso con le informazioni seguenti:
Nome visualizzato
Krb5LoginModule
Nome classe
com.sun.security.auth.module.Krb5LoginModule
4. Fare clic su Save.
NetWeaver crea il nuovo modulo.
5. Fare clic su Components > Edit.
6. Aggiungere un nuovo criterio denominato com.businessobjects.security.jgss.initiate.
7. In Authentication Stack aggiungere il modulo di accesso creato al passaggio 3 e impostarlo su
Required.
8. Verificare che non siano presenti altre voci in "Options for Selected Login Module". In caso affermativo,
rimuoverle.
9. Fare clic su Save.
10. Scollegarsi da NetWeaver Administrator.
9.4.5.1.3 Modifica delle impostazioni Java del server di applicazioni per il caricamento di file di
configurazione
Per modificare le opzioni Java per Kerberos su Tomcat
1. Nel menu Start selezionare Programmi >Tomcat > Configurazione Tomcat.
2. Fare clic sulla scheda Java.
3. Aggiungere le seguenti opzioni:
-Djava.security.auth.login.config=C:\XXXX\bscLogin.conf
-Djava.security.krb5.conf=C:\XXXX\krb5.ini
Sostituire XXXX con il percorso in cui è memorizzato il file bscLogin.conf.
4. Chiudere il file di configurazione Tomcat.
5. Riavviare Tomcat.
Per modificare le opzioni Java per SAP NetWeaver 7.3
1. Accedere allo strumento di configurazione Java (che, per impostazione predefinita, si trova nel
percorso C:\usr\sap\<ID NetWeaver>\<istanza>\j2ee\configtool\) e fare doppio clic
su configtool.bat.
Viene visualizzato lo strumento di configurazione.
2. Fare clic su View > Expert Mode.
3. Espandere Cluster-Data > Template.
288
2013-09-19
Autenticazione
4. Selezionare l'istanza che corrisponde al server NetWeaver in uso (ad esempio Istanza - <ID
sistema><nome computer>).
5. Fare clic su VM Parameters.
6. Selezionare SAP nell'elenco Vendor e GLOBAL nell'elenco Platform.
7. Fare clic su System e aggiungere le seguenti informazioni sui parametri personalizzati:
java.security.krb5.conf
<percorso del file krb5.ini incluso il
nome file>
javax.security.auth.useSubjectCredsOnly false
8. Fare clic su Save, quindi su Configuration Editor.
9. Fare clic su Configurations > Security > Configurations > com.businessobjects.security.jg
ss.initiate > Security > Authentication.
10. Fare clic su Edit Mode.
11. Fare clic con il pulsante destro del mouse sul nodo Authentication e scegliere Create sub-node.
12. Selezionare Value-Entry nell'elenco in alto.
13. Immettere quanto segue:
Name
create_security_session
Valore
false
14. Fare clic su Create, quindi chiudere la finestra.
15. Fare clic su Config Tool, quindi su Save.
Dopo avere aggiornato la configurazione, è necessario riavviare il server NetWeaver.
Per modificare le opzioni Java per Kerberos in WebLogic
Se si utilizza Kerberos con WebLogic, è necessario modificare le opzioni Java per specificare il percorso
del file di configurazione di Kerberos e del modulo di accesso Kerberos.
1. Arrestare il dominio WebLogic che esegue le applicazioni della piattaforma BI.
2. Aprire lo script che avvia il dominio di WebLogic in cui vengono eseguite le applicazioni della
piattaforma BI (startWeblogic.cmd per Windows, startWebLogic.sh per UNIX).
3. Aggiungere le seguenti informazioni nella sezione Java_Options del file:
set JAVA_OPTIONS=-Djava.security.auth.login.config=C:/XXXX/bscLogin.conf
-Djava.security.krb5.conf=C:/XXX/krb5.ini
Sostituire XXXX con il percorso in cui è memorizzato il file.
4. Riavviare il dominio di WebLogic in cui si eseguono le applicazioni della piattaforma BI.
289
2013-09-19
Autenticazione
Per modificare le opzioni Java per Kerberos in Oracle Application Server
Se si utilizza Kerberos con Oracle Application Server, è necessario modificare le opzioni Java per
specificare il percorso del file di configurazione di Kerberos.
1. Accedere alla console di amministrazione di Oracle Application Server.
2. Fare clic sul nome dell'istanza OC4J in cui vengono eseguite le applicazioni della piattaforma BI.
3. Selezionare Proprietà server.
4. Scorrere verso il basso fino alla sezione relativa alla configurazione VM multipla.
5. Nella sezione Opzioni riga di comando, aggiungere quanto segue alla fine del campo di testo "Opzioni
Java": -Djava.security.krb5.conf=C:/XXXX/krb5.ini sostituendo XXXX con il percorso
in cui è memorizzato il file.
6. Riavviare l'istanza OC4J.
Per modificare le opzioni Java per Kerberos in WebSphere
1. Accedere alla console di amministrazione per WebSphere.
Per IBM WebSphere 5,1, digitare http://nomeserver:9090/admin Per IBM WebSphere 6.0,
digitare http://nomeserver:9060/ibm/console
2. Espandere il server, fare clic su Server di applicazioni, quindi sul nome del server di applicazioni
creato per l'uso con la piattaforma BI.
3. Passare alla pagina "JVM".
Se si utilizza WebSphere 5.1, seguire questa procedura per accedere alla pagina "JVM".
a. Nella pagina del server, scorrere verso il basso fino a Definizione processo nella colonna
Proprietà supplementari.
b. Fare clic su Definizione processo.
c. Scorrere verso il basso e fare clic su Java Virtual Machine.
Se si utilizza WebSphere 6.0, seguire questa procedura per accedere alla pagina "JVM".
a. Nella pagina del server selezionare Java e Process Management.
b. Selezionare Definizione di processo.
c. Selezionare Java Virtual Machine.
4. Fare clic su Argomenti JVM generici, quindi specificare il percorso del file Krb5.ini e del file
bscLogin.conf come illustrato di seguito.
-Djava.security.auth.login.config=C:\XXXX\bscLogin.conf
-Djava.security.krb5.conf=C:/XXXX/krb5.ini
Sostituire XXXX con il percorso in cui è memorizzato il file.
5. Fare clic su Applica, quindi su Salva.
6. Arrestare e riavviare il server.
290
2013-09-19
Autenticazione
9.4.5.1.4 Per verificare che Java possa ricevere un ticket Kerberos
Prima di verificare se Java ha ricevuto il ticket Kerberos, è necessario completare le azioni prerequisite
seguenti:
• Creare il file bscLogin.conf per il server di applicazioni.
• Creare il file krb5.ini.
1. Andare al prompt dei comandi e passare alla directory jdk\bin nell'installazione della piattaforma
BI.
Per impostazione predefinita, si trova nel percorso:C:\Programmi (x86)\SAP
BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\win64_x64\jdk\bin.
2. Eseguire kinit <nomeutente>
3. Premere Invio.
4. Digitare la password.
Se il file krb5.ini è stato configurato correttamente e il modulo di accesso Java è stato caricato,
verrà visualizzato il messaggio seguente:
Il nuovo ticket è memorizzato nel file di cache
C:\Users\Administrator\krb5cc_Administrator
Non proseguire con l'impostazione AD fino a quando non viene ricevuto correttamente un ticket Kerberos.
Se non è possibile ricevere un ticket, prendere in considerazione le opzioni seguenti:
•
•
Consultare la sezione relativa alla risoluzione dei problemi alla fine del capitolo.
Per i problemi relativi al KDC, ai file di configurazione Kerberos e alle credenziali utente non disponibili
nel database Kerberos, fare riferimento agli articoli della Knowledge Base SAP KBA 1476374 e KBA
1245178.
9.4.5.1.5 Configurazione di BI Launch Pad per l'accesso AD manuale
Prima di configurare le applicazioni della piattaforma BI per l'accesso AD manuale, è necessario
completare le seguenti azioni prerequisite:
• È stato creato un account di servizio nel controller di dominio per la piattaforma BI.
• È stato verificato che i nomi principali servizio (SPN) HTTP sono stati aggiunti all'account di servizio.
• Sono stati mappati i gruppi di utenti AD nella piattaforma BI.
• Le credenziali AD sono state verificate in CCM.
• I file di configurazione richiesti sono stati creati, configurati e verificati nel server di applicazioni Web.
• Le impostazioni Java del server di applicazioni sono state modificate per caricare i file di
configurazione.
Per abilitare l'opzione di autenticazione di Windows AD per BI Launch Pad, eseguire le seguenti
operazioni:
1. Accedere alla cartella personalizzata dell'applicazione Web BOE nel computer che ospita il server
di applicazioni Web:
<DIRINSTALL>\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom\.
291
2013-09-19
Autenticazione
Apportare le modifiche desiderate nella directory config\custom e non nella directory config\de
fault. In caso contrario, le modifiche verranno sovrascritte quando alla distribuzione verranno
applicate patch future.
Sarà quindi necessario ridistribuire l'applicazione Web BOE.
2. Creare un nuovo file.
Nota:
utilizzare Blocco note o un'altra utilità per la modifica del testo.
3. Salvare il file come BIlaunchpad.properties.
4. Digitare quanto segue:
authentication.visible=true
authentication.default=secWinAD
5. Salvare e chiudere il file.
6. Riavviare il server di applicazioni Web.
Dovrebbe ora essere possibile accedere manualmente a BI Launch Pad. Accedere all'una o all'altra
applicazione e selezionare Windows AD dall'elenco di opzioni di autenticazione.
Nota:
non proseguire con l'impostazione di Windows AD fino a quando non è possibile accedere manualmente
a BI Launch Pad con un account AD esistente.
Le nuove proprietà avranno effetto solo dopo la ridistribuzione dell'applicazione Web BOE modificata
nel computer su cui è in esecuzione il server di applicazioni Web. Utilizzare WDeploy per ridistribuire
BOE sul server di applicazioni Web. Per ulteriori informazioni sull'utilizzo di WDeploy per annullare la
distribuzione delle applicazioni Web, vedere il Manuale della distribuzione in rete di applicazioni Web
della piattaforma SAP BusinessObjects BI.
Nota:
Se nella distribuzione viene utilizzato un firewall, ricordarsi di aprire tutte le porte necessarie. In caso
contrario le applicazioni Web non saranno in grado di connettersi ai server della piattaforma BI.
9.4.6 Impostazione del Single Sign On
9.4.6.1 Single Sign On alla piattaforma BI con autenticazione AD
Opzioni per il Single Sign On mediante Windows AD
Sono supportati due metodi per l'impostazione del Single Sign On (SSO) per l'autenticazione Windows
AD con la piattaforma BI:
292
2013-09-19
Autenticazione
•
•
Vintela - questa opzione può essere utilizzata solo con Kerberos.
SiteMinder - questa opzione può essere utilizzata solo con Kerberos.
SSO al database
Il SSO al database consente agli utenti collegati di eseguire azioni che richiedono l'accesso al database,
in particolare la visualizzazione e l'aggiornamento di report senza dover fornire nuovamente le credenziali
di accesso. Sebbene la delega vincolata sia facoltativa per l'autenticazione AD e il Single Sign On
Vintela, è necessaria per gli scenari di distribuzione che comportano il Single Sign On al database di
sistema.
SSO end-to-end
Nella piattaforma BI il Single Sign On end-to-end è supportato tramite Windows AD e Kerberos. In
questo scenario gli utenti dispongono sia dell'accesso Single Sign On alla piattaforma BI al front-end
sia dell'accesso SSO ai database nel back-end. Pertanto, per avere accesso alla piattaforma BI ed
essere in grado di eseguire azioni che richiedono l'accesso al database, ad esempio la visualizzazione
dei report, gli utenti dovranno fornire le proprie credenziali di accesso una sola volta, nel momento in
cui accedono al sistema operativo.
Confronto tra la configurazione manuale e l'autenticazione AD SSO
Dopo aver configurato correttamente la distribuzione per consentire agli account AD un accesso manuale
a BI Launch Pad, è necessario rivedere l'impostazione dell'autenticazione AD per soddisfare i requisiti
specifici del Single Sign On. Tali requisiti variano in base al metodo di Single Sign On scelto.
9.4.6.2 Utilizzo del Single Sign On Vintela
9.4.6.2.1 Lista di controllo per l'impostazione del Single Sign On Vintela
Per impostare la piattaforma BI affinché funzioni con il Single Sign On Vintela, è necessario completare
le attività seguenti:
1. Configurare specificamente l'account di servizio per il Single Sign On Vintela.
2. Configurare la delega vincolata (facoltativa).
3. Configurare le opzioni di autenticazione SSO Windows AD nella console CMC.
4. Configurare le proprietà generali quelle e specifiche di BI Launch Pad per il Single Sign On Vintela.
5. Se si sta utilizzando Tomcat come server di applicazioni Web per la distribuzione, è necessario
aumentare il limite delle dimensioni dell'intestazione.
6. Configurare i browser Internet per Vintela.
9.4.6.2.2 Per impostare l'account di servizio per il Single Sign On Vintela
Lo strumento da riga di comando Ktpass configura il nome principale servizio per l'host o il servizio
in Active Directory e genera un file "codice" Kerberos contenente la chiave segreta condivisa dell'account
293
2013-09-19
Autenticazione
di servizio. Tale strumento in genere si trova sui controller di dominio oppure può essere scaricato dal
sito del supporto Microsoft: http://support.microsoft.com/kb/892777.
È necessario un account di servizio appositamente configurato per consentire agli utenti di un determinato
gruppo Windows AD di eseguire automaticamente l'autenticazione a BI Launch Pad con le rispettive
credenziali AD. L'account di servizio creato per l'autenticazione AD Kerberos può essere riconfigurato
sul controller di dominio.
Quando un client tenta di accedere a BI Launch Pad, viene avviata una richiesta al server che genera
ticket Kerberos. Per facilitare la richiesta, l'account di servizio creato per la piattaforma BI deve avere
un nome SPN corrispondente all'URL del server delle applicazioni. Eseguire la procedura seguente
sul computer che ospita il controller di dominio.
1. Eseguire il comando di impostazione del codice Kerberos ktpass per creare e posizionare un file
di codice.
Specificare i parametri ktpass elencati nella tabella seguente:
Parame
tro
Descrizione
-out
Specifica il nome del file Kerberos keytab da generare.
Specifica il nome principale utilizzato per l'account di servizio, nel formato SPN: MY
SIAMYSERVER/[email protected], dove MYSIAMYSERVER
è il nome del SIA (Service Intelligence Agent), specificato in CCM (Central Configuration Manager).
-princ
Nota:
Per il nome dell'account di servizio occorre distinguere tra maiuscole e minuscole.
L'SPN include il nome del computer host su cui è in esecuzione l'istanza del servizio.
Suggerimento:
L'SPN deve essere univoco nella foresta in cui viene registrato. Per effettuare il controllo, utilizzare lo strumento di supporto Windows Ldp.exe per cercare il nome
SPN.
-pass
Specifica la password utilizzata dall'account di servizio.
Specifica il tipo principale:
-ptype
-ptype KRB5_NT_PRINCIPAL
Specifica il tipo di crittografia da utilizzare con l'account di servizio:
-crypto
-crypto RC4-HMAC-NT
Ad esempio:
ktpass -out keytab_filename.keytab -princ MYSIAMYSERVER/[email protected]
-pass password -kvno 255 -ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT
294
2013-09-19
Autenticazione
L'output del comando ktpass deve confermare il controller di dominio di destinazione e l'avvenuta
creazione del file di codice Kerberos contenente il segreto condiviso creato. Il comando mappa
anche il nome principale all'account di servizio (locale).
2. Fare clic con il pulsante destro del mouse sull'account di servizio, scegliere Proprietà > Delega.
3. Fare clic su Utente attendibile per la delega a qualsiasi servizio (solo Kerberos).
4. Fare clic su OK per salvare le modifiche apportate.
L'account di servizio ora dispone di tutti i nomi principali servizio richiesti per il Single Sign On Vintela
ed è stato generato un file di codice con la password crittografata per l'account di servizio stesso.
Per configurare la delega vincolata per il Single Sign On Vintela
La delega vincolata è facoltativa per l'impostazione del Single Sign On Vintela. È tuttavia obbligatoria
per le distribuzioni che richiedono il Single Sign On (SSO) al database di sistema.
1. Sul computer che rappresenta il controller di dominio aprire lo snap-in "Utenti e computer" Active
Directory.
2. Fare clic con il pulsante destro del mouse sull'account di servizio creato nella sezione precedente
e scegliere Proprietà > Delega.
3. Selezionare Utente attendibile per delega solo ai servizi specificati.
4. Selezionare Utilizza solo Kerberos.
5. Fare clic su Aggiungi > Utenti o computer.
6. Immettere il nome dell'account di servizio e fare clic su OK.
Viene visualizzato un elenco di servizi.
7. Selezionare i servizi indicati di seguito e fare clic su OK.
•
•
Il servizio HTTP
Il servizio utilizzato per eseguire il Service Intelligence Agent (SIA) sul computer che ospita la
piattaforma BI.
I servizi vengono aggiunti all'elenco dei servizi delegabili per l'account di servizio.
Per giustificare questa modifica, è necessario modificare le proprietà dell'applicazione Web.
9.4.6.2.3 Per configurare le impostazioni SSO nella console CMC
1. Passare all’area di gestione "Autenticazione" della CMC.
2. Fare doppio clic su Windows AD.
3. Assicurarsi che la casella Abilita Windows Active Directory (AD) sia selezionata.
4. In "Opzioni di autenticazione" assicurarsi che l'opzione Usa autenticazione Kerberos sia selezionata.
5. Se la configurazione richiede il SSO al database, selezionare Contesto di protezione della cache.
6. Selezionare Abilita Single Sign On per la modalità di autenticazione selezionata.
7. Fare clic su Aggiorna.
295
2013-09-19
Autenticazione
9.4.6.2.4 Abilitazione del Single Sign-On Vintela per BI Launch Pad e OpenDocument
Questa procedura viene utilizzata per BI Launch Pad o OpenDocument. Per abilitare il Single Sign On
alle applicazioni Web della piattaforma Web, è necessario specificare le proprietà specifiche di Vintela
e del Single Sign On nel file BOE.war. Ai fini dell'impostazione SSO, è consigliabile concentrarsi
sull'abilitazione del Single Sign-On su BI Launch Pad per gli account AD prima di gestire altre
applicazioni.
1. Accedere alla cartella personalizzata dell'applicazione Web BOE nel computer che ospita il server
di applicazioni Web:
<DIRINSTALL>\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom\.
Apportare le modifiche desiderate nella directory config\custom e non nella directory config\de
fault. In caso contrario, le modifiche verranno sovrascritte quando alla distribuzione verranno
applicate patch future.
Sarà quindi necessario ridistribuire l'applicazione Web BOE.
2. Creare un nuovo file utilizzando un editor di testo.
3. Immettere quanto segue:
sso.enabled=true
siteminder.enabled=false
vintela.enabled=true
idm.realm=DOMAIN.COM
idm.princ=MYSIAMYSERVER/[email protected]
idm.allowUnsecured=true
idm.allowNTLM=false
idm.logger.name=simple
idm.keytab=C:/WIN/filename.keytab
idm.logger.props=error-log.properties
Nota:
•
è necessario specificare valori validi per i parametri idm.realm e idm.princ. Il valore di
idm.realmdeve corrispondere a quello impostato al momento della configurazione di de
fault_realm nel file krb5.ini. Il valore deve essere in lettere maiuscole. Il parametro idm.princ
corrisponde all'SPN utilizzato per l'account di servizio creato per l'SSO Vintela.
• Nel percorso del file di codice è necessario inserire le barre.
Se non si desidera utilizzare la delega vincolata per l'autenticazione di Windows AD e SSO Vintela,
ignorare il passaggio che segue.
4. Per utilizzare la delega vincolata aggiungere:
idm.allowS4U=true
5. Chiudere il file e salvarlo con il nome global.properties:
Nota:
accertarsi che il nome file non venga salvato con un'estensione diversa da .txt.
6. Creare un altro file nella stessa directory. Salvare il file come OpenDocument.properties o BI
launchpad.properties, a seconda dei requisiti.
296
2013-09-19
Autenticazione
7. Digitare quanto segue:
authentication.default=secWinAD
cms.default=[enter your cms name]:[Enter the CMS port number]
Ad esempio:
authentication.default=secWinAD
cms.default=mycms:6400
8. Salvare e chiudere il file.
9. Riavviare il server di applicazioni Web.
Le nuove proprietà avranno effetto solo dopo la ridistribuzione dell'applicazione Web BOE modificata
nel computer su cui è in esecuzione il server di applicazioni Web. Utilizzare WDeploy per ridistribuire
BOE sul server di applicazioni Web. Per ulteriori informazioni sull'utilizzo di WDeploy per annullare la
distribuzione delle applicazioni Web, vedere il Manuale della distribuzione in rete di applicazioni Web
della piattaforma SAP BusinessObjects BI.
Nota:
Se nella distribuzione viene utilizzato un firewall, ricordarsi di aprire tutte le porte necessarie, altrimenti
le applicazioni Web non saranno in grado di connettersi ai server della piattaforma BI.
9.4.6.2.5 Per abilitare il Single Sign-On Vintela per i servizi Web
Alcuni strumenti client richiedono l'autenticazione mediante i servizi Web. Seguire i passaggi indicati
di seguito per abilitare il Single Sign-On (SSO) per i servizi Web.
1. Creare una copia di backup di questo file: DIRINSTALL\SAP BusinessObjects Enterprise
XI 4.0\warfiles\webapps\dswsbobje\WEB-INF\web.xml e aprirlo per modificarlo.
2. Rimuovere i commenti dalle sezioni Kerberos Proxy Filter e Kerberos Filter per abilitare
l'autenticazione SSO Kerberos per Windows Active Directory (secWinAD).
È necessario specificare le opzioni seguenti (le altre sono facoltative):
• idm.realm (corrispondente al valore di default_realm specificato nel file Krb5.ini).
• idm.princ (corrispondente al valore di idm.princ specificato nel file global.properties che si
trova in DIRINSTALL\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom).
• idm.keytab (corrispondente al valore di idm.keytab specificato nel file global.properties che si
trova in DIRINSTALL\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom).
Nota:
Se si utilizza la password codificata impostata nelle opzioni Java di Tomcat, non apportare
modifiche alle righe keytab nel file web.xml.
3. Se insieme al server di applicazioni Java non viene utilizzato SSL, impostare il parametro
idm.allowUnsecured su true.
Per ulteriori informazioni su SSL Tomcat, consultare l'articolo 1484802 della Knowledge Base.
4. Creare una copia di backup di questo file: DIRINSTALL\SAP BusinessObjects Enterprise
XI 4.0\warfiles\webapps\dswsbobje\WEB-INF\classes\dsws.properties e aprirlo
per modificarlo.
297
2013-09-19
Autenticazione
5. Impostare kerberos.sso su true e salvare il file.
6. Utilizzare WDeploy per ridistribuire il file WAR sul server di applicazioni Web.
Per ulteriori informazioni sull'utilizzo di WDeploy, consultare il Manuale della distribuzione in rete di
applicazioni Web della piattaforma SAP BusinessObjects Business Intelligence.
7. Riavviare Tomcat.
8. Per verificare le impostazioni, nel computer client in cui sono installati gli strumenti client avviare
Query as a Web Service Designer.
9. Aggiungere un nuovo host gestito.
10. Immettere il nome del server di applicazioni.
11. Immettere l'URL dei servizi Web nel formato seguente: http://<ServerAppWeb>:<NumeroPor
ta>/dswsbobje/services/Session.
Esempio: http://BI4:8080/dswsbobje/services/Session.
12. Immettere il nome host CMS.
13. Cambiare il tipo di autenticazione in Windows AD.
14. Selezionare Abilita Windows Active Directory Single Sign-On.
15. Al prompt di accesso lasciare vuoti i campi Utente e Password e fare clic su OK.
9.4.6.2.6 Innalzamento del limite per le dimensioni delle intestazioni in Tomcat
Active Directory crea un token Kerberos utilizzato nel processo di autenticazione. Questo token viene
memorizzato nell'intestazione HTTP. Il server applicazioni Java presenterà dimensioni dell'intestazione
HTTP predefinite. Per evitare errori, assicurarsi che le dimensioni predefinite minime siano pari a 16384
byte. (Alcune distribuzioni potrebbero richiedere dimensioni superiori. Per ulteriori informazioni, vedere
le indicazioni sulle dimensioni di Microsoft sul sito di supporto all'indirizzo
http://support.microsoft.com/kb/327825).
1. Nel server su cui è installato Tomcat aprire il file server.xml.
In Windows, questo file si trova in <DIRINSTALLTomcat>/conf
•
•
Se si utilizza la versione di Tomcat installata con la piattaforma BI in Windows e non è stato
modificato
il percorso di installazione predefinito, sostituire <DIRINSTALLAZTomcat> con C:\Programmi
(x86)\SAP BusinessObjects\Tomcat\
Se si utilizza qualsiasi altro server di applicazioni Web supportato, consultare la documentazione
del server per determinare il percorso appropriato.
2. Individuare il tag <Connector …> corrispondente per il numero della porta configurata.
Se si utilizza la porta predefinita 8080, individuare il tag <Connector …> che contiene port=“8080”.
Ad esempio:
<Connector URIEncoding="UTF-8" acceptCount="100"
connectionTimeout="20000" debug="0"
disableUploadTimeout="true" enableLookups="false"
maxSpareThreads="75" maxThreads="150"
minSpareThreads="25" port="8080" redirectPort="8443"
/>
298
2013-09-19
Autenticazione
3. Aggiungere il seguente valore all'interno del tag <Connector …>:
maxHttpHeaderSize="16384"
Ad esempio:
<Connector URIEncoding="UTF-8" acceptCount="100"
connectionTimeout="20000" debug="0"
disableUploadTimeout="true" enableLookups="false"
maxSpareThreads="75" maxThreads="150"
maxHttpHeaderSize="16384" minSpareThreads="25" port="8080" redirectPort="8443" />
4. Salvare e chiudere il file server.xml.
5. Riavviare Tomcat.
Nota:
Per altri server di applicazioni Java, consultare la relativa documentazione.
9.4.6.2.7 Configurazione dei browser Internet
Per supportare il Single Sign On Vintela per l'autenticazione AD Kerberos, è necessario configurare i
client della piattaforma BI. Ciò comporta la configurazione del browser Web nei computer client.
Per configurare Internet Explorer nei computer client
1. Nel computer client aprire una finestra del browser Internet Explorer.
2. Abilitare l'autenticazione Windows integrata.
a. Nel menu Strumenti, fare clic su Opzioni Internet.
b. Fare clic sulla scheda Avanzate.
c. Scorrere fino a Protezione, selezionare Abilita autenticazione Windows integrata, quindi fare
clic su Applica.
3. Aggiungere il computer applicazioni Java oppure l'URL dei siti affidabili. È possibile immettere il
nome completo di dominio del sito.
a. Nel menu Strumenti, fare clic su Opzioni Internet.
b. Fare clic sulla scheda Protezione.
c. Fare clic su Siti, quindi su Avanzato.
d. Selezionare o immettere il sito e fare clic su Aggiungi.
e. Fare clic su OK fino alla chiusura della finestra di dialogo Opzioni Internet.
4. Chiudere e riaprire la finestra del browser Internet Explorer per rendere effettive queste modifiche.
5. Ripetere l'intera procedura precedente per ogni computer client della piattaforma BI.
Per configurare Firefox nei computer client
1. Modificare network.negotiate-auth.delegation-uris.
a. Nel computer client aprire un'istanza del browser Firefox.
b. Digitare about:config nel campo dell'indirizzo URL.
Viene visualizzato un elenco di proprietà configurabili.
c. Fare doppio clic su network.negotiate-auth.delegation-uris per modificare la proprietà.
299
2013-09-19
Autenticazione
d. Immettere l'URL da utilizzare per l'accesso a BI Launch Pad.
Se ad esempio l'URL di BI Launch Pad è http://machine.domain.com:8080/BOE/BI, sarà
necessario immettere http://machine.domain.com.
Nota:
Per aggiungere più URL, separarli con una virgola. Ad esempio http://computer.dominio.com,
computer2.dominio.com.
e. Fare clic su OK.
2. Modificare network.negotiate-auth.trusted-uris
a. Nel computer client aprire un'istanza del browser Firefox.
b. Digitare about:config nel campo dell'indirizzo URL.
Viene visualizzato un elenco di proprietà configurabili.
c. Fare doppio clic su network.negotiate-auth.trusted-uris per modificare la proprietà.
d. Immettere l'URL da utilizzare per l'accesso a BI Launch Pad.
Se ad esempio l'URL di BI Launch Pad è http://machine.domain.com:8080/BOE/BI, sarà
necessario immettere http://machine.domain.com.
Nota:
Per aggiungere più URL, separarli con una virgola. Ad esempio http://computer.dominio.com,
computer2.dominio.com.
e. Fare clic su OK.
3. Chiudere e riaprire la finestra del browser Firefox per rendere effettive queste modifiche.
4. Ripetere l'intera procedura precedente per ogni computer client della piattaforma BI.
9.4.6.2.8 Verifica del Single Sign On Vintela per l'autenticazione AD Kerberos
È necessario verificare l'impostazione del Single Sign On da una workstation client. Assicurarsi che il
client si trovi sullo stesso dominio della distribuzione della piattaforma BI e che l'accesso alla workstation
sia stato effettuato come un utente AD mappato. Questo account utente deve essere in grado di
accedere manualmente a BI Launch Pad.
Per verificare il Single Sign On, aprire un browser e immettere l'URL per BI Launch Pad. Se il Single
Sign On è configurato correttamente, non verrà richiesto di immettere le credenziali di accesso.
Suggerimento:
È consigliabile testare diversi scenari di utenti AD nella distribuzione in uso. Se ad esempio l'ambiente
include utenti di più sistemi operativi, è necessario testare il Single Sign On per gli utenti provenienti
da ciascuno di essi, nonché su tutti i possibili browser supportati nell'organizzazione. Se l'ambiente
include utenti provenienti da più foreste o domini, è necessario testare il Single Sign On per un account
utente di ciascun dominio o foresta.
9.4.6.2.9 Configurazione di Kerberos e di Single Sign On nel database per i server di applicazioni
Single Sign On nel database è supportato per le distribuzioni che soddisfano tutti i seguenti requisiti:
300
2013-09-19
Autenticazione
•
•
•
•
La distribuzione della piattaforma BI avviene in un server di applicazioni Web.
Il server di applicazioni Web è stato configurato per il Single Sign On Vintela per l'autenticazione
AD.
Il database per cui è necessario il Single Sign On è una versione supportata di SQL Server o Oracle.
Ai gruppi o agli utenti per i quali è necessario l'accesso al database devono essere state concesse
autorizzazioni all'interno di SQL Server o Oracle.
Il passaggio finale consiste nel modificare il file krb5.ini per supportare il Single Sign On al database
per applicazioni Web.
Per abilitare la funzionalità Single Sign On nel database per i server di applicazioni Java
1. Aprire il file krb5.ini utilizzato per la distribuzione della piattaforma BI.
La posizione predefinita di questo file è la directory WIN nel server di applicazioni Web.
Nota:
Se non è possibile trovare il file nella directory WIN, controllare il seguente argomento Java per la
posizione del file:
-Djava.security.auth.login.config
Questa variabile viene specificata quando si configura AD con Kerberos nel server di applicazioni
Web.
2. Passare alla sezione [libdefaults] del file.
3. Immettere la stringa seguente prima dell'inizio della sezione [realms] del file:
forwardable=true
4. Salvare e chiudere il file.
5. Riavviare il server di applicazioni Web.
Il Single Sign-On al database non verrà abilitato fino a quando non si seleziona la casella Contesto di
protezione della cache (richiesto per SSO al database) nella pagina di autenticazione Windows AD
della CMC.
9.4.6.3 Utilizzo di SiteMinder
9.4.6.3.1 Utilizzo di Windows AD con SiteMinder
In questa sezione viene illustrato come utilizzare AD e SiteMinder. SiteMinder è uno strumento di terzi
per l'autenticazione e l'accesso utente che è possibile utilizzare con il plug-in di protezione AD per
creare il Single Sign On nella piattaforma BI. È possibile utilizzare SiteMinder con Kerberos.
301
2013-09-19
Autenticazione
Assicurarsi che le risorse di gestione delle identità SiteMinder siano installate e configurate prima di
configurare l'autenticazione Windows AD per l'utilizzo di SiteMinder. Per ulteriori informazioni su
SiteMinder e su come eseguirne l'installazione, fare riferimento alla documentazione di SiteMinder.
Per l'abilitazione del Single Sign-On AD con SiteMinder sono richieste due attività:
•
Configurare il plug-in AD per il Single Sign-On con SiteMinder
•
Configurare le proprietà SiteMinder per l'applicazione Web BOE
Nota:
assicurarsi che l'amministratore di SiteMinder abbia abilitato il supporto per gli agenti 4.x. L'operazione
va eseguita a prescindere dalla versione in uso di SiteMinder. Per ulteriori informazioni sulla
configurazione di SiteMinder, consultare la documentazione di SiteMinder.
Per abilitare le proprietà di SiteMinder per BI Launch Pad
Oltre che per il plug-in di protezione Windows AD, le impostazioni di SiteMinder devono essere specificate
anche per le proprietà war BOE.
1. Individuare la directory DIRINSTALL\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom\ nell'installazione della piattaforma
BI.
2. Creare un nuovo file nella directory, utilizzando Blocco note o un'altra utilità di elaborazione testo.
3. Nel nuovo file, immettere i valori seguenti:
sso.enabled=true
siteminder.authentication=secWinAD
siteminder.enabled=true
4. Salvare il file con il nome global.properties.
Nota:
accertarsi che il nome file non venga salvato con un'estensione diversa da .txt.
5. Creare un altro file nella stessa directory.
6. Nel nuovo file, inserire i seguenti valori:
authentication.default=secWinAD
cms.default=[cms name]:[CMS port number]
Ad esempio:
authentication.default=LDAP
cms.default=mycms:6400
7. Salvare il file con il nome BIlaunchpad.properties, quindi chiuderlo.
Le nuove proprietà verranno applicate dopo la ridistribuzione di BOE.war nel computer su cui è in
esecuzione il server di applicazioni Web. Utilizzare WDeploy per ridistribuire il file WAR sul server di
applicazioni Web. Per ulteriori informazioni sull'utilizzo di WDeploy per annullare la distribuzione delle
applicazioni Web, vedere il Manuale della distribuzione in rete di applicazioni Web della piattaforma
SAP BusinessObjects BI.
302
2013-09-19
Autenticazione
Per configurare le impostazioni SiteMinder nella console CMC
Prima di configurare la console CMC per SiteMinder, è necessario completare le azioni prerequisite
presenti:
• Sono stati mappati i gruppi di utenti AD nella piattaforma BI.
• Le credenziali AD sono state verificate in CCM.
1. Passare all’area di gestione "Autenticazione" della CMC.
2. Fare doppio clic su Windows AD.
3. Selezionare la casella di controllo Abilita Windows Active Directory (AD).
4. In Opzioni di autenticazione selezionare Usa autenticazione NTLM oppure Usa autenticazione
Kerberos.
Per configurare la piattaforma BI per l'autenticazione Kerberos e AD mediante Kerberos, è necessario
un account di servizio. È possibile creare un nuovo account di dominio o utilizzare un account
esistente. L'account di servizio verrà utilizzato per eseguire i server della piattaforma BI.
Suggerimento:
Quando si accede manualmente a BI Launch Pad, gli utenti di altri domini devono aggiungere il
nome di dominio in lettere maiuscole dopo il nome utente. Ad esempio, in [email protected]
DOMAIN.COM, “CHILD.PARENTDOMAIN.COM” è il dominio.
5. Se si seleziona Usa autenticazione Kerberos:
a. Se si desidera configurare il Single Sign On per un database, selezionare Contesto di protezione
della cache.
b. Eliminare qualsiasi informazione nella casella Nome principale servizio.
6. Per configurare il Single Sign-On, selezionare Abilita il Single Sign-On per la modalità di
autenticazione selezionata.
Per abilitare il Single Sign On, è necessario anche configurare le proprietà generali dell'applicazione
Web e di BI Launch Pad.
7. Nell'area "Sincronizzazione delle credenziali" selezionare un'opzione per abilitare e aggiornare le
credenziali di origine dati dell'utente AD all'accesso.
Questa opzione consente di sincronizzare l'origine dati con le credenziali di accesso correnti
dell'utente.
8. Nell'area "Opzioni SiteMinder" configurare SiteMinder come opzione di Single Sign On per
l'autenticazione AD mediante Kerberos:
a. Fare clic su Disabilitato.
Viene visualizzata la pagina "Windows Active Directory".
Se non è stato configurato il plug-in Windows AD, viene visualizzato un avviso in cui viene chiesto
se si desidera continuare. Scegliere OK.
b. Fare clic su Usa il Single Sign On SiteMinder.
c. Nella casella Host del server dei criteri digitare il nome di ogni server dei criteri, quindi scegliere
Aggiungi.
303
2013-09-19
Autenticazione
d. Per ogni host del server dei criteri, immettere un numero di porta nelle caselle Contabilità,
Autenticazione e Autorizzazione.
e. Nella casella Nome dell'agente immettere il nome dell'agente.
f. Nelle caselle Segreto condiviso immettere il segreto condiviso.
Assicurarsi che l'amministratore di SiteMinder abbia abilitato il supporto per gli agenti 4.x,
indipendentemente dalla versione di SiteMinder supportata utilizzata. Per ulteriori informazioni
su SiteMinder e su come installarlo, vedere la documentazione di SiteMinder.
g. Fare clic su Aggiorna per salvare le informazioni e tornare alla pagina di autenticazione AD
principale.
9. Nell'area "Opzioni alias AD" specificare in che modo i nuovi alias vengono aggiunti e aggiornati nella
piattaforma BI.
a. Nell'area "Nuove opzioni di alias" selezionare un'opzione per la mappatura dei nuovi alias agli
account Enterprise:
• Assegna ogni nuovo alias AD a un account utente esistente con lo stesso nome
Utilizzare questa opzione quando è noto che gli utenti possiedono un account Enterprise già
esistente con lo stesso nome; in altre parole gli alias AD saranno assegnati a utenti esistenti
(la creazione di alias automatici è attivata). Gli utenti che non dispongono di un account
Enterprise esistente o che non hanno lo stesso nome nei rispettivi account Enterprise e AD,
verranno aggiunti come nuovi utenti.
•
Crea un nuovo account utente per ogni nuovo alias AD
Utilizzare questa opzione quando si desidera creare un nuovo account per ciascun utente.
b. Nell'area "Opzioni di aggiornamento alias" selezionare un'opzione per la gestione degli
aggiornamenti degli alias per gli account Enterprise:
• Crea nuovi alias all'aggiornamento dell'alias
Selezionare questa opzione per creare automaticamente un nuovo alias per ogni utente AD
mappato alla piattaforma BI. I nuovi account AD vengono aggiunti per gli utenti che non
dispongono di account della piattaforma BI o per tutti gli utenti, se è stata selezionata l'opzione
Crea un nuovo account utente per ogni nuovo alias AD e si è fatto clic su Aggiorna.
•
Crea nuovi alias solo all'accesso dell'utente
Selezionare questa opzione se la directory AD che si sta mappando include molti utenti, di
cui solo alcuni utilizzeranno la piattaforma BI. La piattaforma non crea automaticamente alias
e account Enterprise per tutti gli utenti. Creerà, invece, alias (e account, se necessario) solo
per gli utenti che accedono alla piattaforma.
c. Nell'area "Nuove opzioni utente" selezionare un'opzione per creare nuovi utenti:
• I nuovi utenti vengono creati come utenti designati
I nuovi account utente verranno configurati per utilizzare licenze utente designato. Le licenze
utente specifico sono associate a utenti specifici e consentono di accedere al sistema in base
a nome utente e password. Ciò garantisce agli utenti specifici l'accesso al sistema,
indipendentemente dal numero di persone connesse. È necessario disporre di una licenza
utente designato per ciascun account utente creato utilizzando questa opzione.
304
2013-09-19
Autenticazione
•
I nuovi utenti vengono creati come utenti simultanei
I nuovi account utente verranno configurati per utilizzare licenze utente simultaneo. Le licenze
di accesso simultaneo specificano il numero di persone che possono connettersi alla
piattaforma BI contemporaneamente. Questo tipo di licenza è estremamente flessibile, poiché
una licenza di accesso simultaneo di dimensioni ridotte può supportare un'ampia base di
utenti. A seconda della frequenza e della durata dell'accesso al sistema, una licenza di accesso
simultaneo per 100 utenti può ad esempio supportare 250, 500 o 700 utenti.
10. Per configurare come pianificare gli aggiornamenti degli Alias AD, fare clic su Pianificazione.
a. Nella finestra di dialogo "Pianificazione" selezionare una ricorrenza nell'elenco Esegui oggetto.
b. Impostare le opzioni e i parametri della pianificazione rimanenti nel modo richiesto.
c. Fare clic su Pianificazione.
All'aggiornamento degli alias vengono aggiornate anche le informazioni sul gruppo.
11. Nell'area "Opzioni di collegamento attributi" è possibile specificare la priorità di collegamento degli
attributi per il plug-in AD:
a. Selezionare la casella di controllo Importa nome completo, indirizzo di posta elettronica e
altri attributi.
I nomi completi e le descrizioni utilizzati negli account AD vengono importati e memorizzati
insieme agli oggetti utente nella piattaforma BI.
b. Specificare un'opzione per Imposta priorità collegamento attributi AD relativo ad altri
collegamenti attributi.
Se l'opzione è impostata su 1, gli attributi AD hanno la priorità negli scenari in cui sono abilitati
AD e altri plug-in (LDAP e SAP). Se l'opzione è impostata su 3, hanno la priorità gli attributi di
altri plug-in abilitati.
12. Nell'area "Opzioni gruppo AD", configurare gli aggiornamenti del gruppo AD:
a. Fare clic su Pianifica.
Viene visualizzata la finestra di dialogo "Pianificazione".
b. Selezionare una ricorrenza dall'elenco a discesa Esegui oggetto.
c. Impostare le opzioni e i parametri della pianificazione rimanenti nel modo richiesto.
d. Fare clic su Pianificazione.
Il sistema pianifica l'aggiornamento e lo esegue in base alla pianificazione specificata.
L'aggiornamento pianificato successivo per gli account del gruppo AD viene visualizzato in "Opzioni
gruppo AD".
13. Nell'area "Aggiornamento AD su richiesta" selezionare un'opzione per indicare se aggiornare gruppi
o utenti AD (o nessuno dei due) quando si fa clic su Aggiorna:
•
Aggiorna gruppi AD ora
Selezionare questa opzione se si desidera avviare l'aggiornamento di tutti i gruppi AD pianificati
quando si fa clic su Aggiorna. Il prossimo aggiornamento pianificato del gruppo AD è indicato
in "Opzioni gruppo AD".
•
305
Aggiorna alias e gruppi AD ora
2013-09-19
Autenticazione
Selezionare questa opzione se si desidera avviare l'aggiornamento di tutti i gruppi e alias utente
AD pianificati quando si fa clic su Aggiorna. I successivi aggiornamenti pianificati sono elencati
in "Opzioni gruppo AD" e "Opzioni alias AD".
•
Non aggiornare alias e gruppi AD ora
Nessun gruppo o alias utente AD verrà aggiornato quando si fa clic su Aggiorna.
14. Fare clic su Aggiorna, quindi su OK.
Disabilitazione di SiteMinder
Se si desidera impedire la configurazione di SiteMinder o disabilitarlo dopo la configurazione nella
console CMC, modificare il file di configurazione Web per BI Launch Pad.
Disabilitazione di SiteMinder per i client Java
Oltre che per il plug-in di protezione Windows AD, è necessario disabilitare le impostazioni di SiteMinder
anche per il file war BOE del server di applicazioni Web.
1. Accedere alla seguente directory nell'installazione della piattaforma BI:
<DIRINSTALL>\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom\
2. Aprire il file global.properties file.
3. Impostare siteminder.enabled su false
siteminder.enabled=false
4. Salvare le modifiche e chiudere il file.
La modifica verrà applicata solo dopo la ridistribuzione di BOE.war nel computer su cui è in esecuzione
il server di applicazioni Web. Utilizzare WDeploy per ridistribuire il file WAR sul server di applicazioni
Web. Per ulteriori informazioni sull'utilizzo di WDeploy per annullare la distribuzione delle applicazioni
Web, vedere il Manuale della distribuzione in rete di applicazioni Web della piattaforma SAP
BusinessObjects BI.
9.4.7 Risoluzione dei problemi relativi all'autenticazione Windows AD
9.4.7.1 Risoluzione dei problemi relativi alla configurazione
Se si verificano problemi durante la configurazione di Kerberos, attenersi alle seguenti procedure:
306
2013-09-19
Autenticazione
•
•
Abilitazione della registrazione
Verifica della configurazione di Kerberos Java SDK
9.4.7.1.1 Per abilitare la registrazione
1. Nel menu Start selezionare Programmi >Tomcat > Configurazione Tomcat
2. Fare clic sulla scheda Java.
3. Aggiungere le seguenti opzioni:
-Dcrystal.enterprise.trace.configuration=verbose
-sun.security.krb5.debug=true
Viene creato un file registro nella seguente posizione:
C:\Documents and Settings\<user name>\.businessobjects\jce_verbose.log
9.4.7.1.2 Per verificare la configurazione di Kerberos
•
Per verificare la configurazione di Kerberos, eseguire il comando indicato di seguito dove servant
è l'account di servizio e il dominio in cui viene eseguito CMS e password è la password associata
all'account di servizio.
<InstallDirectory>\SAP BusinessObjects Enterprise XI 4.0\win64_64\jdk\bin\[email protected] Password
Ad esempio:
C:\Program Files\SAP BusinessObjects\
SAP Business Objects Enterprise XI 4.0\win64_64\jdk\bin\
[email protected] Password
Il nome del dominio e il nome principale di servizio devono corrispondere esattamente al nome di
dominio e al nome principale di servizio di Active Directory. Se il problema persiste, verificare se è
stato immesso lo stesso nome. Tenere presente che il nome supporta la distinzione tra minuscole
e maiuscole.
9.4.7.1.3 Errore di accesso dovuto a nomi AD UPN e SAM diversi
L'ID di Active Directory di un utente è stato mappato alla piattaforma BI. Ciò nonostante, l'utente non
è in grado di accedere alla console CMC o a BI Launch Pad con l'autenticazione Windows AD e Kerberos
nel formato che segue: DOMAIN\ABC123
Questo problema può essere riscontrato quando l'utente viene impostato in Active Directory con un
nome UPN e SAM che in qualche modo non corrispondono. Gli esempi riportati di seguito possono
causare un problema:
•
•
L'UPN è [email protected] ma il nome SAM è DOMINIO\ABC123.
L'UPN è [email protected] ma il nome SAM è DOMINIO\giorgioricci.
È possibile risolvere il problema in due modi:
•
•
307
Fare accedere gli utenti utilizzando l'UPN anziché il nome SAM.
Accertarsi che il nome di account SAM e il nome UPN corrispondano.
2013-09-19
Autenticazione
9.4.7.1.4 Errore di preautenticazione
È possibile che un utente precedentemente in grado di effettuare l'accesso non riesca più ad accedere
correttamente. L'utente riceverà questo messaggio di errore: Informazioni sull'account non riconosciute.
I registri degli errori Tomcat conterranno un errore analogo al seguente "Informazioni di
preautenticazione non valide(24)"
Questo errore si può verificare poiché il database utente di Kerberos non ha ricevuto una modifica da
UPN in AD. Ciò potrebbe indicare che il database utente di Kerberos e le informazioni AD non sono
sincronizzati.
Per risolvere il problema, reimpostare la password dell'utente in AD. In questo modo le modifiche
verranno trasmesse correttamente.
Nota:
Questo problema è stato risolto in J2SE 5.0.
9.5 Autenticazione SAP
9.5.1 Configurazione dell'autenticazione SAP
In questa sezione viene spiegato come configurare l'autenticazione della piattaforma BI per l'ambiente
SAP.
L'autenticazione SAP consente agli utenti SAP di accedere alla piattaforma BI con il proprio nome
utente e la propria password SAP, senza memorizzare le password nella piattaforma BI. Consente
inoltre di preservare le informazioni sui ruoli dell'utente in SAP e utilizzare tali informazioni nella
piattaforma per assegnare i diritti per l'esecuzione delle attività amministrative o l'accesso al contenuto.
Accesso all'applicazione di autenticazione SAP
È necessario fornire alla piattaforma BI le informazioni sul sistema SAP. È possibile accedere a
un'applicazione Web dedicata tramite lo strumento amministrativo principale della piattaforma BI, ovvero
la CMC (Central Management Console). Per accedervi dalla home page della console CMC, fare clic
su Autenticazione.
Autenticazione degli utenti SAP
I plug-in di protezione espandono e personalizzano le modalità di autenticazione degli utenti della
piattaforma BI. La funzionalità di autenticazione SAP include un plug-in di protezione SAP (secSA
PR3.dll) per il componente Central Management Server (CMS) della piattaforma BI. Questo plug-in
di protezione SAP offre diversi vantaggi chiave:
308
2013-09-19
Autenticazione
•
Funge da provider di autenticazione che verifica le credenziali utente in base al sistema SAP per
conto del CMS. Quando gli utenti accedono direttamente alla piattaforma BI, possono scegliere
l'autenticazione SAP e immettere il proprio nome utente e la propria password SAP. La piattaforma
BI può inoltre convalidare i ticket di accesso Enterprise Portal nei sistemi SAP.
•
Consente di mappare i ruoli da SAP alla piattaforma BI per facilitare la creazione di account, nonché
di assegnare i diritti agli utenti e ai gruppi in modo coerente all'interno della piattaforma BI.
•
Mantiene dinamicamente gli elenchi di ruoli SAP. Ciò significa che, dopo che si è mappato un ruolo
SAP nella piattaforma, tutti gli utenti che appartengono a tale ruolo possono accedere al sistema.
Quando si apportano modifiche successive all'appartenenza ai ruoli SAP, non è necessario aggiornare
l'elenco nella piattaforma BI.
•
Il componente Autenticazione SAP include un'applicazione Web per la configurazione del plug-in.
È possibile accedere a questa applicazione nell'area "Autenticazione" della CMC.
9.5.2 Creazione di un account utente per la piattaforma BI
Il sistema della piattaforma BI richiede un account utente SAP che sia autorizzato ad accedere agli
elenchi di appartenenza ai ruoli SAP e ad autenticare gli utenti SAP. Sarà necessario utilizzare le
credenziali dell'account per connettere la piattaforma BI al sistema SAP. Per le istruzioni generali per
la creazione di account utente SAP e l'assegnazione delle autorizzazioni tramite i ruoli, consultare la
documentazione di SAP BW.
Utilizzare la transazione SU01 per creare un nuovo account utente SAP detto CRYSTAL. Utilizzare la
transazione PFCG per creare un nuovo ruolo detto CRYSTAL_ENTITLEMENT. Questi nomi sono
consigliati, ma non obbligatori. Cambiare l'autorizzazione del nuovo ruolo impostando i valori per i
seguenti oggetti autorizzazione:
Oggetto autorizzazione
Autorizzazione per l'accesso ai
file (S_DATASET)
309
Campo
Valore
Attività (ACTVT)
Lettura, scrittura (33, 34)
Nome file fisico (FILENAME)
* (indica Tutti)
Nome programma ABAP (PROGRAM)
*
2013-09-19
Autenticazione
Oggetto autorizzazione
Verifica autorizzazione per l'accesso RFC (S_RFC)
Campo
Valore
Attività (ACTVT)
16
Nome dell'RFC da proteggere
(RFC_NAME)
BDCH, STPA, SUSO, BDL5,
SUUS, SU_USER, SYST, SUNI,
RFC1, SDIFRUNTIME, PRGN_J2EE, /CRYSTAL/SECURITY
Tipo di oggetto RFC da proteggere (RFC_TYPE)
Gruppo di funzioni (FUGR)
Attività (ACTVT)
Crea o Genera, e Visualizza
(03)
*
Manutenzione master utente:
gruppi di utenti (S_USER_GRP)
Gruppo di utenti nella manutenzione master utente (CLASS)
Nota:
Per maggiore sicurezza, si consiglia di elencare esplicitamente
i gruppi di utenti i cui membri richiedono l'accesso alla piattaforma BI.
Infine aggiungere l'utente CRYSTAL al ruolo CRYSTAL_ENTITLEMENT.
Suggerimento:
se in base ai criteri di sistema gli utenti devono modificare le password quando accedono per la prima
volta al sistema, accedervi ora con l'account utente CRYSTAL e reimpostare la password.
9.5.3 Connessione ai sistemi di autorizzazione SAP
Per poter importare i ruoli o pubblicare contenuto BW nella piattaforma BI, è necessario fornire
informazioni sul sistema di autenticazione SAP in cui si desidera effettuare l'integrazione. Tali informazioni
vengono utilizzate dalla piattaforma BI per la connessione al sistema SAP di destinazione quando viene
stabilita l'appartenenza ai ruoli e viene effettuata l'autenticazione degli utenti SAP.
310
2013-09-19
Autenticazione
9.5.3.1 Aggiunta di un sistema di autorizzazione SAP
1. Passare all’area di gestione "Autenticazione" della CMC.
2. Fare doppio clic sul collegamento SAP.
Vengono visualizzate le impostazioni dei sistemi di autorizzazione.
Suggerimento:
se un sistema di autorizzazione è già visualizzato nell'elenco Nome sistema logico, fare clic su
Nuovo.
3. Nel campo Sistema immettere l'ID del sistema (SID) SAP a tre caratteri.
4. Nel campo Client digitare il numero client che la piattaforma BI deve utilizzare per accedere al
sistema SAP.
La piattaforma BI combina le informazioni sul sistema e sul client e aggiunge una voce all'elenco
Nome sistema logico.
5. Assicurarsi che la casella di controllo Disattivato sia deselezionata.
Nota:
selezionare la casella di controllo Disattivato per indicare alla piattaforma BI che un particolare
sistema SAP non è temporaneamente disponibile.
6. Se il bilanciamento del carico è stato configurato in modo tale che la piattaforma BI deve eseguire
l'accesso tramite un server messaggi, è necessario completare i campi Server messaggi e Gruppo
di accesso in modo appropriato.
Nota:
è necessario immettere le voci appropriate nel file Servizi sul computer della piattaforma BI per
consentire il bilanciamento del carico, soprattutto se la distribuzione non è stata eseguita in un unico
computer. Prestare particolare attenzione ai computer in cui è in esecuzione il CMS, al server di
applicazioni Web e ai computer che gestiscono gli account di autenticazione e le impostazioni.
7. Se il bilanciamento del carico non è stato configurato (o se si preferisce che la piattaforma BI acceda
direttamente al sistema SAP), completare i campi Server applicazioni e Numero sistema in modo
appropriato.
8. Nei campi Nome utente, Password e Linguaggio digitare il nome utente, la password e il codice
linguaggio per l'account SAP che si desidera che la piattaforma BI utilizzi quando accede a SAP.
Nota:
queste credenziali devono corrispondere all'account utente creato per la piattaforma BI.
9. Fare clic su Aggiorna.
Se si aggiungono più sistemi di autorizzazione, fare clic sulla scheda Opzioni per specificare il sistema
che la piattaforma BI utilizza per impostazione predefinita (ovvero il sistema che viene contattato per
autenticare gli utenti che tentano di accedere con le credenziali SAP ma senza specificare un sistema
SAP particolare).
311
2013-09-19
Autenticazione
Argomenti correlati
• Creazione di un account utente per la piattaforma BI
9.5.3.2 Per verificare l'aggiunta corretta di un sistema di autorizzazione
1. Fare clic sulla scheda Importazione ruolo.
2. Selezionare il sistema di autorizzazione dall'elenco Nome sistema logico.
Se il sistema di autorizzazione è stato aggiunto non correttamente, l'elenco Ruoli disponibili
contiene un elenco dei ruoli che è possibile importare.
Suggerimento:
Se nell'elenco Nome sistema logico non sono visibili ruoli, controllare la presenza di messaggi di
errore nella pagina. In questi messaggi potrebbero essere contenute le informazioni necessarie per
correggere il problema.
9.5.3.3 Per disabilitare temporaneamente una connessione a un sistema di
autorizzazione SAP
Nella CMC è possibile disabilitare temporaneamente una connessione tra la piattaforma BI e un sistema
di autorizzazione SAP. Ciò può essere utile per mantenere la capacità di risposta della piattaforma BI,
ad esempio nel caso del tempo di inattività pianificato di un sistema di autorizzazione SAP.
1. Nella CMC andare nell'area di gestione Autenticazione.
2. Fare doppio clic sul collegamento SAP.
3. Nell'elenco Nome sistema logico selezionare il sistema che si desidera disabilitare.
4. Selezionare la casella di controllo Disattivato.
5. Fare clic su Aggiorna.
9.5.4 Impostazione delle opzioni di autenticazione SAP
L'autenticazione SAP comprende numerose opzioni che è possibile specificare quando si integra la
piattaforma BI con i sistemi SAP. Le opzioni disponibili sono:
• Abilitazione o disabilitazione dell'autenticazione SAP
• Specifica delle impostazioni di connessione
312
2013-09-19
Autenticazione
•
•
Collegamenti di utenti importati a modelli di licenza della piattaforma BI.
Configurazione di Single-Sign-On nel sistema SAP
9.5.4.1 Per impostare le opzioni di autenticazione SAP
1. Passare all’area di gestione "Autenticazione" della CMC.
2. Fare doppio clic sul collegamentoSAP e fare clic sulla scheda Opzioni.
3. Rivedere e modificare le impostazioni seguenti in base alle esigenze:
313
2013-09-19
Autenticazione
Impostazione
Descrizione
Abilita autenticazione SAP
Deselezionare questa casella di controllo se si desidera disabilitare l'autenticazione SAP.
Nota:
Per disabilitare l'autenticazione SAP per un sistema
SAP specifico, selezionare la casella Disabilitato del
sistema nella scheda Sistemi di autorizzazione.
Contenuto cartella principale
Specificare dove si desidera che la piattaforma BI
dovrà iniziare a replicare la struttura delle cartelle BW
nella CMC e in BI Launch Pad.
L'impostazione predefinita è /SAP/2.0 ma è possibile scegliere una cartella diversa, se necessario. Se
si desidera modificare il valore, è necessario apportare la modifica sia nella CMC che nel workbench per
l'amministrazione dei contenuti.
Sistema predefinito
Selezionare un sistema di autorizzazione SAP che
la piattaforma BI deve contattare per autenticare gli
utenti che provano ad accedere con le credenziali
SAP ma senza specificare un sistema SAP specifico.
Nota:
Se si seleziona un sistema predefinito, gli utenti di
tale sistema non devono immettere il client o l'ID sistema quando si connettono tramite strumenti client
quali Live Office o Universe Designer utilizzando
l'autenticazione SAP. Ad esempio, se SYS~100 è
impostato come sistema predefinito, SYS~100/user1
potrebbe accedere come user1 quando viene scelta
l'autenticazione SAP.
Numero massimo di tentativi di accesso
non riusciti al sistema di autorizzazione
314
2013-09-19
Autenticazione
Impostazione
Descrizione
Digitare il numero di tentativi che la piattaforma BI
deve effettuare per tentare di contattare un sistema
SAP per soddisfare le richieste di autenticazione.
Se si imposta il valore su -1, la piattaforma BI tenta
di contattare il sistema di autorizzazione un numero
illimitato di volte. Se si imposta il valore su 0, la piattaforma BI può provare a contattare il sistema di autorizzazione una sola volta.
Nota:
Utilizzare questa impostazione insieme all'opzione
Mantieni disabilitato sistema di autorizzazione
[secondi] per configurare il modo in cui la piattaforma
BI deve gestire i sistemi di autorizzazione SAP che
sono temporaneamente non disponibili. Il sistema
utilizza le due opzioni per stabilire quando interrompere la comunicazione con un sistema SAP che non
è disponibile e quando riprendere la comunicazione
con tale sistema.
Mantieni disabilitato sistema di autorizza- Digitare il numero di secondi che la piattaforma BI
deve attendere prima di riprovare ad autenticare gli
zione [secondi]
utenti nel sistema SAP.
Se ad esempio si specifica 3 per Numero max. accessi al sistema di autorizzazione non riusciti, la
piattaforma BI consente un massimo di tre tentativi
mancati per autenticare gli utenti in qualsiasi sistema
SAP. Al quarto tentativo non riuscito, l'autenticazione
degli utenti da parte del sistema viene interrotta per
il periodo di tempo specificato.
Numero max. connessioni simultanee per Specificare quante connessioni al sistema SAP devono restare aperte contemporaneamente.
sistema
Se ad esempio si digita 2, la piattaforma BI mantiene
aperte due connessioni al sistema SAP.
Numero di utilizzi per connessione
Specificare quante operazioni consentire per ogni
connessione al sistema SAP.
Se ad esempio Numero max. connessioni simultanee per sistema è impostato su 2 e Numero di utilizzi per connessione è impostato su 3, se in una
sola connessione vengono effettuati tre accessi, la
piattaforma BI si chiude e riavvia la connessione.
315
2013-09-19
Autenticazione
Impostazione
Descrizione
Utenti simultanei e Utenti designati
Specificare se i nuovi account utente utilizzeranno licenze utente simultaneo o designato.
Le licenze di accesso simultaneo specificano il numero di persone che possono connettersi alla piattaforma
BI contemporaneamente. Questo tipo di licenza è
estremamente flessibile, poiché poche licenze di accesso simultaneo possono supportare un’ampia base
di utenti. A seconda della frequenza e della durata
dell'accesso al sistema, una licenza di accesso simultaneo per 100 utenti può ad esempio supportare 250,
500 o 700 utenti.
Le licenze utente designato sono associate a utenti
specifici e consentono di accedere al sistema in base
a nome utente e password. Ciò garantisce agli utenti
specifici l’accesso al sistema a prescindere dal numero delle altre persone connesse.
Nota:
L'opzione selezionata non modifica il numero o il tipo
di licenze utente installate nella piattaforma BI. È necessario che sul sistema siano disponibili le licenze
appropriate.
Importa nome completo, indirizzo di posta Specificare un livello di priorità per il plug-in di autenticazione SAP.
elettronica e altri attributi
I nomi completi e le descrizioni utilizzati negli account
SAP vengono importati e archiviati con gli oggetti
utente nella piattaforma BI.
Imposta priorità collegamento attributi
Specifica una priorità per il collegamento degli attributi
SAP relativo ad altri collegamenti attributi utente SAP (nome completo e indirizzo di posta elettronica).
Se l'opzione è impostata su 1, gli attributi SAP hanno
la priorità in situazioni in cui sono abilitati SAP e altri
plug-in (Windows AD e LDAP). Se l'opzione è impostata su 3, hanno la priorità gli attributi di altri plug-in
abilitati.
Impostare le opzioni seguenti per configurare il servizio Single Sign On SAP:
316
2013-09-19
Autenticazione
Impostazione
Descrizione
ID sistema
Identificatore di sistema fornito dalla piattaforma BI al sistema SAP quando si
esegue il servizio Single Sign On SAP.
Sfoglia
Fare clic per caricare il file dell'archivio chiavi generato per abilitare il
Single Sign On SAP. È possibile immettere il percorso completo del file anche
manualmente.
Password archi- Specificare la password richiesta per l'accesso al file dell'archivio chiavi.
vio chiavi
Password chiave Specificare la password richiesta per l'accesso al certificato corrispondente al
file dell'archivio chiavi. Il certificato è archiviato nel sistema SAP
privata
Alias chiave privata
Specificare l'alias richiesto per l'accesso al file dell'archivio chiavi.
4. Fare clic su Aggiorna.
Argomenti correlati
• Configurazione dell'autenticazione SAP
9.5.4.2 Modifica della cartella contenuti principale
1. Passare all’area di gestione "Autenticazione" della CMC.
2. Fare doppio clic sul collegamento SAP.
3. Fare clic su Opzioni e digitare il nome della cartella nel campo Contenuto cartella principale.
Il nome della cartella immesso corrisponde alla cartella da cui si desidera che la piattaforma BI inizi
a replicare la struttura delle cartelle BW.
4. Fare clic su Aggiorna.
5. Nel workbench per l'amministrazione dei contenuti di BW, espandere Sistema Enterprise.
6. Espandere Sistemi disponibili e fare doppio clic sul sistema a cui la piattaforma BI si sta
connettendo.
7. Fare clic sulla scheda Layout nella cartella di base del contenuto e digitare la cartella che si
desidera utilizzare come cartella SAP principale nella piattaforma BI, ad esempio /SAP/2.0/.
9.5.5 Importazione dei ruoli SAP
317
2013-09-19
Autenticazione
Se si importano ruoli SAP nella piattaforma BI, si consente ai membri dei ruoli di accedere al sistema
con le consuete credenziali SAP. È inoltre abilitata l'opzione Single Sign On per consentire agli utenti
SAP di accedere automaticamente alla piattaforma BI quando accedono ai report dalla GUI SAP o da
SAP Enterprise Portal.
Nota:
spesso è necessario soddisfare molti requisiti per abilitare SSO. Tra questi possono figurare l'utilizzo
di un driver e di un'applicazione compatibili con SSO e la garanzia che il server e il server Web siano
nello stesso dominio.
Per ciascun ruolo importato, la piattaforma BI genera un gruppo. A ciascun gruppo viene assegnato
un nome in base alla seguente convenzione: [email protected] È possibile
visualizzare i nuovi gruppi nell'area di gestione "Utenti e gruppi" della CMC. È inoltre possibile utilizzare
questi gruppi per definire la protezione degli oggetti nella piattaforma BI.
Si considerino tre categorie principali di utenti quando si configura la piattaforma BI per la pubblicazione
e quando si importano i ruoli nel sistema:
•
Amministratori della piattaforma BI
Gli amministratori Enterprise configurano il sistema per la pubblicazione di contenuto proveniente
da SAP. Importano i ruoli appropriati, creano le cartelle necessarie e assegnano i diritti ai ruoli e
alle cartelle nella piattaforma BI.
•
Publisher dei contenuti
I publisher dei contenuti sono gli utenti che dispongono dei diritti per pubblicare i contenuti nei ruoli.
Lo scopo di questa categoria di utenti è quello di separare i membri dei ruoli regolari da quegli utenti
che dispongono dei diritti per pubblicare i report.
•
Membri dei ruoli
I membri dei ruoli sono gli utenti che appartengono ai ruoli che “generano contenuti”. In altre parole
questi utenti appartengono ai ruoli in cui vengono pubblicati i report. Dispongono dei diritti di visua
lizzazione, visualizzazione su richiesta e pianificazione per tutti i report pubblicati nei ruoli di cui
sono membri. Tuttavia, i membri dei ruoli regolari non possono pubblicare nuovi contenuti, né
possono pubblicare versioni aggiornate dei contenuti.
È necessario importare tutti i ruoli di pubblicazione e di generazione dei contenuti nella piattaforma BI
prima di pubblicare i contenuti per la prima volta.
Nota:
si consiglia vivamente di distinguere le attività dei ruoli. Ad esempio, sebbene sia possibile pubblicare
da un ruolo amministrativo, è meglio provare a pubblicare solo dai ruoli di publisher dei contenuti. Inoltre
la funzione dei ruoli di pubblicazione dei contenuti è solo quella di definire quali utenti possono pubblicare
i contenuti. Ciò significa che i ruoli di pubblicazione dei contenuti non devono contenere alcun contenuto;
i publisher dei contenuti devono eseguire la pubblicazione nei ruoli di generazione dei contenuti
accessibili ai membri dei ruoli regolari.
Argomenti correlati
• Funzionamento dei diritti nella piattaforma BI
• Gestione delle impostazioni di protezione per gli oggetti nella CMC
318
2013-09-19
Autenticazione
9.5.5.1 Importazione dei ruoli SAP
1. Passare all’area di gestione "Autenticazione" della CMC.
2. Fare doppio clic sul collegamento SAP.
3. Nella scheda Opzioni selezionare Utenti simultanei o Utenti designati, a seconda del contratto
di licenza di cui si dispone.
L'opzione selezionata qui non modifica il numero o il tipo di licenze utente installate nella piattaforma
BI. È necessario che sul sistema siano disponibili le licenze appropriate.
4. Fare clic su Aggiorna.
5. Nella scheda Importazione ruolo, selezionare il sistema di autorizzazione appropriato dall'elenco
Nome sistema logico.
6. Nell'area "Ruoli disponibili" selezionare i ruoli che si desidera importare, quindi fare clic su Aggiungi.
7. Fare clic su Aggiorna.
9.5.5.2 Verifica della corretta importazione di ruoli e utenti
Prima di iniziare questa attività, prendere nota di nome utente e password di un utente SAP che
appartiene a uno dei ruoli mappati alla piattaforma BI.
1. Per Java BI Launch Pad, accedere a http://serverweb:numeroporta/BOE/BI.
Sostituire serverweb con il nome del server Web e numeroporta con il numero di porta impostato
per la piattaforma BI. Può essere necessario richiedere all'amministratore il nome del server Web,
il numero di porta o l'URL esatto per accedere.
2. Nell'elenco Tipo autenticazione selezionare SAP.
Nota:
Per impostazione predefinita, l'elenco Tipo di autenticazione è nascosto in BI Launch Pad. Se
l'elenco non è visibile, chiedere all'amministratore di sistema di abilitare l'elenco Tipo di
autenticazione nel file BIlaunchpad.properties e riavviare il server di applicazioni.
3. Immettere il sistema SAP e il client di sistema a cui si desidera accedere.
4. Immettere il nome utente e la password di un utente mappato.
5. Fare clic su Accedi.
L'utente è connesso a BI Launch Pad come utente selezionato.
319
2013-09-19
Autenticazione
9.5.5.3 Aggiornamento degli utenti e dei ruoli SAP
Dopo aver abilitato l'autenticazione SAP è necessario pianificare ed eseguire aggiornamenti regolari
sui ruoli mappati importati nella piattaforma BI. In questo modo le informazioni sui ruoli SAP verranno
riportate esattamente nella piattaforma BI.
Sono disponibili due opzioni per l'esecuzione e la pianificazione degli aggiornamenti per i ruoli SAP:
•
•
Aggiorna solo ruoli: l'uso di questa opzione determina l'aggiornamento dei soli collegamenti tra i
ruoli attualmente mappati importati nella piattaforma BI. Si consiglia di utilizzare questa opzione se
si prevede di eseguire aggiornamenti frequenti e si verificano problemi relativi all'utilizzo delle risorse
di sistema. Se si aggiornano solo i ruoli SAP, non vengono creati nuovi account utente.
Aggiorna ruoli e alias: questa opzione determina non solo l'aggiornamento dei collegamenti tra i
ruoli, ma anche la creazione di nuovi account utente nella piattaforma BI per gli alias utente aggiunti
ai ruoli nel sistema SAP.
Nota:
se non è stata specificata la creazione automatica degli alias utente per gli aggiornamenti quando è
stata abilitata l'autenticazione SAP, non verranno creati account per i nuovi alias.
9.5.5.3.1 Pianificazione degli aggiornamenti per i ruoli SAP
Una volta mappati i ruoli nella piattaforma BI, è necessario specificare in che modo vengono aggiornati
dal sistema.
1. Fare clic sulla scheda Aggiornamento utente.
2. Fare clic su Pianifica nella sezione "Aggiorna solo ruoli" o nell'area "Aggiorna ruoli e alias".
Suggerimento:
per eseguire immediatamente un aggiornamento, fare clic su Aggiorna ora.
Suggerimento:
Utilizzare l'opzione Aggiorna solo ruoli se si desidera eseguire aggiornamenti frequenti e si verificano
problemi con le risorse di sistema. Il sistema impiega più tempo per aggiornare sia i ruoli che gli
alias.
Viene visualizzata la finestra di dialogo "Ricorrenza".
3. Selezionare un'opzione nell'elenco Esegui oggetto e immettere nei campi forniti tutte le informazioni
richieste relative alla pianificazione.
Quando si pianifica un aggiornamento, è possibile scegliere tra gli schemi ricorrenti nella seguente
tabella.
320
Criterio di ricorrenza
Descrizione
Ogni ora
L'aggiornamento verrà eseguito ogni ora. È possibile specificare
l'ora in cui verrà avviato e le date di inizio e di fine.
2013-09-19
Autenticazione
Criterio di ricorrenza
Descrizione
Ogni giorno
L'aggiornamento verrà eseguito ogni giorno o ogni n giorni (in
cui n è il numero di giorni specificato). È possibile specificare
l'ora in cui verrà avviato e le date di inizio e di fine.
Ogni settimana
L'aggiornamento verrà eseguito una volta alla settimana o più
volte alla settimana. È possibile specificare i giorni in cui verrà
eseguito, l'ora in cui viene avviato e le date di inizio e di fine.
Ogni mese
L'aggiornamento verrà eseguito ogni mese oppure dopo il numero di mesi specificato. È possibile specificare l'ora in cui
verrà avviato e le date di inizio e di fine.
N-mo giorno del mese
L'aggiornamento verrà eseguito in un giorno specifico del mese.
È possibile specificare in quale giorno del mese e a che ora
verrà eseguito nonché una data di inizio e di fine.
Primo lunedì del mese
L'aggiornamento verrà eseguito il primo lunedì di ogni mese.
È possibile specificare l'ora in cui verrà eseguito nonché una
data di inizio e di fine.
Ultimo giorno del mese
L'aggiornamento verrà eseguito l'ultimo giorno di ogni mese.
È possibile specificare l'ora in cui verrà eseguito nonché una
data di inizio e di fine.
Giorno X della N-ma settimana
del mese
L'aggiornamento verrà eseguito in un giorno specifico di una
settimana specifica del mese. È possibile specificare l'ora in
cui verrà eseguito nonché una data di inizio e di fine.
Calendario
L'aggiornamento verrà eseguito nelle date specificate all'interno
di un calendario creato in precedenza.
4. Fare clic su Pianifica.
Nella scheda Aggiornamento utente viene visualizzata la data del prossimo aggiornamento di
ruolo pianificato.
Suggerimento:
Per annullare il successivo aggiornamento pianificato, fare clic su Annulla aggiornamenti pianificati
nell'area "Aggiorna solo ruoli" o"Aggiorna ruoli e alias".
9.5.6 Configurazione di Secure Network Communication (SNC)
Questa sezione descrive la procedura di configurazione di SNC come parte del processo di impostazione
dell'autenticazione SAP per la piattaforma BI
321
2013-09-19
Autenticazione
Prima di impostare l'attendibilità tra il sistema SAP e la piattaforma BI, è necessario assicurarsi che
l'agente SIA sia configurato in modo da essere avviato ed eseguito per un account impostato per SNC.
È inoltre necessario configurare il sistema SAP in modo che consideri attendibile la piattaforma BI.
Argomenti correlati
• Panoramica dell'attendibilità lato server SAP
9.5.6.1 Panoramica dell'attendibilità lato server SAP
Questa sezione include le procedure per la configurazione dell'attendibilità lato server tra server di
applicazioni Web SAP (versione 6.20 e superiori) e la piattaforma SAP BusinessObjects Business
Intelligence. È necessario impostare l'attendibilità lato server se si utilizza il bursting di report multi-pass
(per le pubblicazioni nelle quali la query di report dipende dal contesto dell'utente).
L'attendibilità lato server include la rappresentazione senza password. Per rappresentare un utente
SAP senza specificare una password, l'utente deve essere identificato con SAP mediante un metodo
più sicuro rispetto alle normali credenziali nome utente e password. (Un utente SAP con il profilo di
autorizzazione SAP_ALL non può rappresentare un altro utente SAP senza conoscere la relativa
password).
Abilitazione dell'attendibilità lato server utilizzando la libreria di crittografia SAP
Per abilitare l'attendibilità lato server per la piattaforma BI utilizzando la libreria di crittografia SAP, è
necessario eseguire i relativi server con le credenziali autenticate mediante un provider SNC (Secure
Network Communication) registrato. Queste credenziali vengono configurate in SAP in modo che sia
possibile eseguire la rappresentazione senza utilizzare una password. Per la piattaforma BI, è necessario
eseguire i server coinvolti nel report bursting utilizzando le credenziali SNC, ad esempio l'Adaptive Job
Server.
Sono necessari file binari SNC a 32 e 64 bit rispettivamente per i processi a 32 e 64 bit. Viene installata
una libreria di crittografia SAP insieme alla piattaforma BI. Tenere presente che la libreria di crittografia
SAP può essere utilizzata solo per impostare l'attendibilità lato server. La libreria di crittografia è
disponibile per Windows e UNIX.
Per ulteriori informazioni sulla libreria di crittografia, consultare le note SAP 711093, 597059 e 397175
sul sito Web SAP.
Al server SAP e alla piattaforma BI devono essere assegnati certificati che dimostrino l'identità reciproca.
Ogni server avrà il proprio certificato e un elenco di certificati per i partner attendibili. Per configurare
l'attendibilità lato server tra SAP e la piattaforma BI, è necessario creare un set di certificati protetti da
password denominato PSE (Personal Security Environment). In questa sezione viene descritto come
impostare e gestire gli ambienti PSE e come associarli in modo sicuro ai server di elaborazione della
piattaforma BI.
322
2013-09-19
Autenticazione
SNC client e SNC server
In SNC client, un identificatore di nome SNC viene mappato a uno (o più) nomi utente SAP in SU01.
Quando viene inviata una richiesta di accesso, il nome SNC e il nome SAP vengono trasmessi al
sistema SAP, ma senza password. Se il nome SNC è mappato al nome SAP, l'accesso viene consentito.
Di seguito è riportata una stringa di accesso lato client per l'accesso a un host applicazione:
ASHOST =myserver.mydomain SYSNR=37 CLIENT=066 LANG=EN USER=USER123
SNC_MODE=1 SNC_QOP=9 SNC_LIB="/usr/local/lib/libsapcrypto.so"
SNC_PARTNERNAME="p:CN=TheServer, OU=Dept., O=TheCompany, C=FR"
SNC_MYNAME="p:CN=TheUser, O=TheCompany, C=US"
L'utente SAP USER123 deve essere mappato a p:CN=TheUser, O=TheCompany, C=US in SU01
affinché l'accesso venga consentito. In SNC server, non è necessario eseguire una mappatura esplicita
tra l'identificatore del nome SNC e il nome utente SAP. Il nome SNC viene invece configurato nella
transazione SNC0 in modo da consentire di eseguire un accesso di rappresentazione per “qualsiasi”
utente senza dover specificare la password utente. Ad esempio:
ASHOST =myserver.mydomain SYSNR=37 CLIENT=066 LANG=EN SNC_MODE=1
SNC_QOP=9 SNC_LIB="/usr/local/lib/libsapcrypto.so"
SNC_PARTNERNAME="p:CN=TheServer, OU=Dept., O=TheCompany, C=FR"
SNC_MYNAME="p:CN=TheUser, O=TheCompany, C=US" EXTIDTYPE=UN EXTIDDATA=USER123
L'accesso di rappresentazione o tramite un ID esterno in SNC server è più flessibile della procedura
di accesso in SNC client in quanto consente l'accesso a qualsiasi account utente SAP nel sistema.
Altre opzioni di accesso con ID esterno includono ticket di accesso e certificati client X.509.
Responsabilità dei server della piattaforma SAP BusinessObjects BI
Il ruolo di specifici server della piattaforma BI è inerente all'integrazione SAP in termini di Single Sign
On (SSO). Tali server sono elencati nella tabella seguente insieme al tipo di SNC di cui necessitano
per particolari aree di responsabilità.
Server
Tipo SNC
Area di responsabilità
Server di applicazioni Web client
Elenco di ruoli di autenticazione SAP
Servizio Publisher BW
server
Elenchi di scelta di parametri Crystal Reports e personalizzazione
CMS
client
Elenchi di password, ticket, appartenenza ai ruoli e utenti
Page Server
server
Visualizzazione di Crystal Reports su richiesta
Job Server
server
Pianificazione di Crystal Reports
Server di elaborazione
Web Intelligence
server
Visualizzazione e pianificazione di report Web Intelligence
e prompt con elenchi di valori
Servizio di analisi multidi- server
mensionale
Analisi
Nota:
il server di applicazioni Web e CMS utilizzano SNC client e quindi richiedono una mappatura esplicita
del nome SNC al nome utente SAP. Ciò è specificato nella transazione SU01 o SM30 per la tabella
USRACL.
323
2013-09-19
Autenticazione
9.5.6.2 Configurazione SAP per l'attendibilità lato server
L'attendibilità lato server si applica solo ai report Crystal e Web Intelligence basati su Universi (.unv).
È necessario impostare SNC per l'utilizzo con la piattaforma BI. Per ulteriori informazioni o per assistenza
sulla risoluzione dei problemi, consultare la documentazione SAP fornita con il server SAP.
9.5.6.2.1 Per configurare l'attendibilità lato server SAP
1. Verificare di disporre delle credenziali di amministratore SAP per SAP e per il computer su cui è in
esecuzione SAP e delle credenziali di amministratore per la piattaforma BI e per il computer su cui
è in esecuzione.
2. Sul computer SAP verificare che la libreria di crittografia SAP e lo strumento SAPGENPSE si trovino
nella directory UNITÀ:\usr\sap\SID\SYS\exe\run\ (in Windows).
3. Creare una variabile di ambiente denominata SECUDIR che punti alla directory in cui si trova il ticket.
Nota:
Questa variabile deve essere accessibile all'utente che esegue il processo SAP disp+work.
4. Nella GUI SAP, passare alla transazione RZ10 modificare il profilo di istanza nella modalità di
gestione estesa.
5. Nella modalità di modifica del profilo, puntare le variabili di profilo SAP alla libreria di crittografia e
assegnare al sistema SAP un nome distinto. Queste variabili dovrebbero seguire la convenzione di
denominazione LDAP:
Tag
Significato
Descrizione
CN
Nome comune
Il nome del proprietario del certificato.
OU
Unità societaria
Ad esempio, PG per Product Group.
O
Organizzazione
Il nome dell'organizzazione per la quale è stato emesso il
certificato.
C
Paese
Il paese in cui si trova l'organizzazione.
Ad esempio, per R21: p:CN=R21, OU=PG, O=BOBJ, C=CA
Nota:
Il prefisso p: si riferisce alla libreria di crittografia SAP. È necessario quando si fa riferimento al nome
distinto in SAP, ma non sarà visibile durante l'esame dei certificati in STRUST oppure utilizzando
lo strumento SAPGENPSE.
6. Immettere i valori di profilo seguenti, effettuando, dove necessario, le sostituzioni in base al sistema
SAP in uso:
324
2013-09-19
Autenticazione
Variabile di profilo
Valore
ssf/name
SAPSECULIB
ssf/ssfapi_lib
Percorso completo alla libreria sapcrypto
sec/libsapsecu
Percorso completo alla libreria sapcrypto
snc/gssapi_lib
Percorso completo alla libreria sapcrypto
snc/identity/as
Il nome distinto del sistema SAP in uso
7. Riavviare l'istanza SAP.
8. Quando il sistema è nuovamente in esecuzione, eseguire l'accesso e passare allo strumento
STRUST, che ora dovrebbe avere voci aggiuntive per SNC e SSL.
9. Fare clic con il pulsante destro del mouse sul nodo SNC, quindi fare clic su Crea.
L'identità specificata nella transazione RZ10 dovrebbe ora essere visualizzata.
10. Fare clic su OK.
11. Per assegnare una password al PSE SNC, fare clic sull'icona di blocco.
Nota:
non perdere la password. Verrà infatti richiesta da STRUST ogni volta che si visualizza o si modifica
il PSE SNC.
12. Salvare le modifiche.
Nota:
se le modifiche on vengono salvate, il server di applicazioni non verrà avviato nuovamente quando
si abilita l'SNC.
13. Tornare alla transazione RZ10 e aggiungere il resto dei parametri di profilo SNC:
Variabile di profilo
Parametro
snc/accept_insecure_rfc
1
snc/accept_insecure_r3int_rfc
1
snc/accept_insecure_gui
1
snc/accept_insecure_cpic
1
snc/permit_insecure_start
1
snc/data_protection/min
1
snc/data_protection/max
3
snc/enable
1
Il livello di protezione minimo è sola autenticazione (1) e il livello massimo è privacy (3). Il valore
snc/data_protection/use indica che in questo caso deve essere utilizzata solo l'autenticazione, ma
può anche essere (2) per l'integrità, (3) per la privacy e (9) per il massimo disponibile. I valori
325
2013-09-19
Autenticazione
snc/accept_insecure_rfc, snc/accept_insecure_r3int_rfc, snc/accept_insecure_gui e snc/accept_in
secure_cpic impostati su (1) garantiscono che i precedenti metodi per le comunicazioni
(potenzialmente non sicuri) sono ancora consentiti.
14. Riavviare il sistema SAP.
È ora necessario configurare la piattaforma BI per l'attendibilità lato server.
9.5.6.3 Configurazione della piattaforma BI per l'attendibilità lato server
Attenersi alle procedure seguenti per configurare la piattaforma BI per l'attendibilità lato server. Tenere
presente che queste procedure si basano su Windows ma poiché lo strumento SAP si basa sulla riga
comandi, i passaggi sono molto simili in UNIX.
1. Impostazione dell'ambiente
2. Generazione di un ambiente PSE (Personal Security Environment)
3. Configurazione dei server della piattaforma BI
4. Configurazione dell'accesso PSE
5. Configurazione delle impostazioni SNC per l'autenticazione SAP
6. Impostazione dei gruppi di server dedicati per SAP
Argomenti correlati
• Per impostare l'ambiente
• Per generare un PSE
• Configurazione dei server della piattaforma BI
• Per configurare l'accesso al PSE
• Per configurare le impostazioni SNC di autenticazione SAP
• Utilizzo di gruppi server
9.5.6.3.1 Per impostare l'ambiente
La piattaforma BI include una libreria di crittografia SAP predefinita. Se si utilizza la libreria predefinita,
è necessario eseguire solo gli ultimi due passaggi: creare una sottocartella e aggiungere una variabile
di ambiente. In caso contrario, per configurare una copia personalizzata della libreria di crittografia
SAP, eseguire tutti i passaggi descritti di seguito.
La libreria di crittografia SAP è disponibile nel percorso seguente:
•
•
Windows: DIRINSTALL\sap\sapcrypto.dll
Unix: DIRINSTALL/sap/libsapcrypto.so
Prima di iniziare, verificare che:
•
326
La libreria di crittografia SAP sia stata distribuita sull'host su cui vengono eseguiti i server di
elaborazione della piattaforma BI.
2013-09-19
Autenticazione
•
I sistemi SAP appropriati siano stati configurati per l'utilizzo della libreria di crittografia SAP come
provider SNC.
Prima dell'inizio della gestione PSE, è necessario impostare la libreria, lo strumento e l'ambiente in cui
sono memorizzati i PSE.
1. Copiare la libreria di crittografia SAP (incluso lo strumento di gestione PSE) in una cartella del
computer su cui è in esecuzione la piattaforma BI.
Ad esempio: C:\Programmi\SAP\Crypto
2. Aggiungere la cartella alla variabile di ambiente PATH.
3. Aggiungere una variabile di ambiente di sistema SNC_LIB che punti alla libreria di crittografia.
Ad esempio: C:\Programmi\SAP\Crypto\sapcrypto.dll
Nota:
La lunghezza massima del percorso è di 100 caratteri.
4. Creare una sottocartella denominata sec.
Ad esempio: C:\Programmi\SAP\Crypto\sec
5. Aggiungere una variabile di ambiente di sistema SECUDIR che punti alla cartella sec.
Argomenti correlati
• Configurazione SAP per l'attendibilità lato server
9.5.6.3.2 Per generare un PSE
SAP accetta un server della piattaforma BI come entità attendibile quando i server della piattaforma BI
pertinenti dispongono di un PSE associato a SAP. Questa “attendibilità” tra i componenti SAP e la
piattaforma BI viene stabilita mediante la condivisione della versione pubblica dei certificati. Il primo
passo consiste nel creare un PSE per la piattaforma BI che generi automaticamente il proprio certificato.
1. Aprire un prompt dei comandi ed eseguire sapgenpse.exe gen_pse -v -p BOE.pse nella cartella
della libreria di crittografia.
2. Scegliere un PIN e un nome distinto per il sistema della piattaforma BI.
Ad esempio, CN=MyBOE01, OU=PG, O=BOBJ, C=CA.
È ora disponibile un PSE predefinito, con il relativo certificato.
3. Utilizzare il comando seguente per esportare il certificato nell'ambiente PSE:
sapgenpse.exe export_own_cert -v -p BOE.pse -o CertBOE.crt
4. Nella GUI SAP passare alla transazione STRUST e aprire il PSE di sistema associato al proprio
sistema SAP.
Potrebbe essere richiesta la password già assegnata al PSE del sistema.
5. Importare il file MyBOECert.crt creato in precedenza facendo clic sul pulsante “Importare certificato”
in basso a sinistra della schermata della transazione STRUST.
I certificati SAPGENPSE hanno la codifica Base64. Assicurarsi di selezionare Base64 durante
l'importazione.
327
2013-09-19
Autenticazione
6. Per aggiungere il certificato della piattaforma BI all'elenco dei certificati PSE del server SAP, fare
clic sul pulsante Aggiungi certificati all'elenco.
7. Salvare le modifiche in STRUST.
8. Fare clic sul pulsante Esporta e specificare un nome file per il certificato.
Ad esempio, CertSAP.crt.
Nota:
Il formato dovrebbe rimanere di tipo Base64.
9. Passare alla transazione SNC0.
10. Aggiungere una nuova voce, dove:
• L'ID di sistema è arbitrario ma riflette il sistema della piattaforma BI in uso.
• Il nome SNC dovrebbe essere il nome distinto (con prefisso p:) specificato al momento della
creazione del PSE della piattaforma BI (nel passaggio 2).
• Le caselle di controllo Voce per RFC attivata e Voce per ID est. attivata sono selezionate
entrambe:
11. Per aggiungere il certificato esportato nel PSE della piattaforma BI, eseguire il comando seguente
al prompt dei comandi:
sapgenpse.exe maintain_pk -v -a MySAPCert.crt -p BOE.pse
La libreria di crittografia SAP viene installata sul computer della piattaforma BI. È stato creato un
ambiente PSE che verrà utilizzato dai server della piattaforma BI per l'identificazione sui server SAP.
SAP e il PSE della piattaforma BI si son scambiati i certificati. SAP consente alle entità con accesso
al PSE della piattaforma BI di eseguire chiamate RFC e rappresentazioni senza password.
Argomenti correlati
• Configurazione dei server della piattaforma BI
9.5.6.3.3 Configurazione dei server della piattaforma BI
Dopo aver generato un PSE per la piattaforma BI, è necessario configurare un struttura server appropriata
per l'elaborazione SAP. La procedura seguente crea un nodo per i server di elaborazione SAP, in modo
che sia possibile impostare le credenziali del sistema operativo a livello di nodo.
Nota:
In questa versione della piattaforma BI i server non vengono più configurati in CCM (Central Configuration
Manager). Invece, è necessario creare un nuovo SIA (Server Intelligence Agent).
1. In CCM, creare un nuovo nodo per i server di elaborazione SAP.
Assegnare al nodo un nome appropriato, ad esempio SAPProcessor.
2. In CMC, aggiungere i server di elaborazione necessari nel nuovo nodo, quindi avviare i nuovi server.
328
2013-09-19
Autenticazione
9.5.6.3.4 Per configurare l'accesso al PSE
Dopo aver configurato i server e il nodo della piattaforma BI, è necessario configurare l'accesso PSE
utilizzando lo strumento SAPGENPSE.
1. Eseguire il comando seguente dal prompt dei comandi:
sapgenpse.exe seclogin -p SBOE.pse
Nota:
Verrà richiesta l'immissione del PIN PSE. Se lo strumento viene eseguito con le stesse credenziali
utilizzate dai server di elaborazione SAP della piattaforma BI, non è necessario specificare un nome
utente.
2. Per verificare che sia stato stabilito il collegamento SSO, elencare i contenuti del PSE utilizzando
il comando seguente:
sapgenpse.exe maintain_pk -l
I risultati dovrebbero essere simili ai seguenti:
C:\Documents and Settings\username\Desktop\sapcrypto.x86\ntintel>sapgenpse.exe
maintain_pk -l
maintain_pk for PSE "C:\Documents and Settings\username\My Documents\snc\sec\bobjsapproc.pse"
*** Object <PKList> is of the type <PKList_OID> ***
1. ------------------------------------------------------------Version:
0 (X.509v1-1988)
SubjectName:
CN=R21Again, OU=PG, O=BOBJ, C=CA
IssuerName:
CN=R21Again, OU=PG, O=BOBJ, C=CA
SerialNumber:
00
Validity - NotBefore:
Wed Nov 28 16:23:53 2007 (071129002353Z)
NotAfter:
Thu Dec 31 16:00:01 2037 (380101000001Z)
Public Key Fingerprint:
851C 225D 1789 8974 21DB 9E9B 2AE8 9E9E
SubjectKey:
Algorithm RSA (OID 1.2.840.113549.1.1.1), NULL
C:\Documents and Settings\username\Desktop\sapcrypto.x86\ntintel>
Dopo l'esecuzione regolare del comando seclogin non viene richiesta nuovamente l'immissione del
PIN PSE.
Nota:
In caso di problemi di accesso al PSE, utilizzare l'argomento -O per specificare tale accesso. Ad
esempio, per consentire l'accesso al PSE a un utente specifico in un determinato dominio, digitare
il seguente comando in Windows:
sapgenpse seclogin -p SBOE.pse -O SYSTEM
9.5.6.3.5 Per configurare le impostazioni SNC di autenticazione SAP
Dopo aver configurato l'accesso PSE, è necessario configurare le impostazioni di autenticazione SAP
nella CMC.
1. Passare all’area di gestione "Autenticazione" della CMC.
2. Fare doppio clic sul collegamento SAP.
Vengono visualizzate le impostazioni dei sistemi di autorizzazione.
329
2013-09-19
Autenticazione
3. Fare clic sulla scheda Impostazioni SNC nella pagina di "autenticazione SAP".
4. Selezionare il sistema di autorizzazione dall'elenco Nome sistema logico.
5. Selezionare Abilita Secure Network Communication (SNC) in "Impostazioni base".
6. Selezionare l'opzione Usa predefinito per accettare il percorso predefinito per la libreria o selezionare
l'opzione Definisci percorso personalizzato per scegliere un'altra posizione.
7. Selezionare un livello di protezione in "Qualità di protezione".
Ad esempio, selezionare Autenticazione.
Nota:
Non superare il livello di protezione configurato nel sistema SAP. il livello di protezione è
personalizzabile ed è determinato in base alle necessità dell'organizzazione e alle funzionalità della
relativa libreria SNC.
8. Immettere il nome SNC del sistema SAP in "Impostazioni autenticazione reciproca".
Il formato del nome SNC dipende dalla libreria SNC. Se si utilizza la libreria di crittografia SAP, si
consiglia di seguire le convenzioni di denominazione LDAP per il nome distinto apponendo p: come
prefisso.
9. Verificare che il nome SNC delle credenziali sotto cui vengono eseguiti i server della piattaforma BI
venga visualizzato nella casella Nome SNC del sistema Enterprise.
in scenari in cui vengono configurati diversi nomi SNC, è consigliabile lasciare vuoto questo campo.
10. Fornire il nome distinto (DN) del sistema SAP e del PSE della piattaforma BI.
9.5.6.3.6 Utilizzo di gruppi server
Se i server di elaborazione (Crystal Reports or Web Intelligence) non vengono eseguiti in base a
credenziali che hanno accesso a PSE, è necessario creare uno specifico gruppo di server che includa
solo quei server e i server di supporto necessari. Per ulteriori informazioni e descrizioni relative ai vari
server della piattaforma BI, consultare il capitolo “Architettura”.
È possibile eseguire la configurazione dei server di elaborazione di contenuto SAP in tre modi:
1. Utilizzare un singolo SIA, che includa tutti i server della piattaforma BI, eseguito in base a credenziali
che hanno accesso a PSE Questo è il metodo più semplice, in quanto non è necessario creare
gruppi di server. Ma è anche quello meno sicuro poiché un numero non necessario di server ha
accesso a PSE.
2. Creare un secondo SIA con accesso a PSE e aggiungerlo ai server di elaborazione Crystal Reports
o Web Intelligence. Eliminare i server duplicati dal SIA di origine. Non è necessario creare gruppi
di server ma l'accesso a PSE è garantito a un numero minore di server.
3. Creare un SIA esclusivamente per SAP con accesso a PSE. Aggiungerlo ai server di elaborazione
Crystal Reports o Web Intelligence. Tale opzione prevede che su questi server venga eseguito solo
contenuto SAP ma, soprattutto, che il contenuto SAP venga eseguito solo su questi server. Poiché
con questo metodo il contenuto deve essere indirizzato a determinati server, è necessario creare
gruppi di server per il SIA.
Linee guida per l'utilizzo di un gruppo di server
Il gruppo di server deve fare riferimento al SIA utilizzato esclusivamente per la gestione del contenuto
SAP nonché ai seguenti server:
330
2013-09-19
Autenticazione
•
•
Adaptive Server
Adaptive Job Server
Tutto il contenuto SAP, i documenti Web Intelligence e i report Crystal devono essere associati al
gruppo di server mediante l'associazione più rigorosa, ovvero devono essere eseguiti sui server del
gruppo. Dopo la creazione dell'associazione a un livello oggetto, l'impostazione del gruppo di server
deve essere propagata nelle impostazioni per la pianificazione diretta e le pubblicazioni.
Per impedire che altro contenuto (non SAP) venga elaborato nei server di elaborazione specifici di
SAP, creare un altro gruppo di server che includa tutti i server nel SIA di origine. È importante creare
un'associazione rigorosa tra questo contenuto e il gruppo di server non SAP.
9.5.6.4 Configurazione delle pubblicazioni multi-pass
Risoluzione dei problemi relativi alle pubblicazioni multi-pass
Se si riscontrano problemi con le pubblicazioni multi-pass, abilitare il tracciamento per i driver Crystal
Reports (CR) o Multidimensional Data Access (MDA) per SAP ed esaminare la stringa di accesso
utilizzata per ogni processo o destinatario. Le stringhe di accesso dovrebbero essere simili alla seguente:
SAP: Successfully logged on to SAP server.
Logon handle: 1. Logon string: CLIENT=800 LANG=en
ASHOST="vanrdw2k107.sap.crystald.net" SYSNR=00 SNC_MODE=1 SNC_QOP=1
SNC_LIB="C:\WINDOWS\System32\sapcrypto.dll"
SNC_PARTNERNAME="p:CN=R21Again, OU=PG, O=BOBJ, C=CA" EXTIDDATA=HENRIKRPT3 EXTIDTYPE=UN
La stringa di accesso deve contenere EXTIDTYPE=UN (per il nome utente) e EXTIDDATA dovrebbe
essere il nome utente SAP del destinatario. In questo esempio, il tentativo di accesso è riuscito.
9.5.6.5 Workflow per l'integrazione con Secure Network Communication
La piattaforma BI supporta gli ambienti che implementano SNC (Secure Network Communication) per
l'autenticazione e per la crittografia dei dati tra componenti SAP. Se è stata distribuita la libreria di
crittografia SAP (o un altro prodotto di protezione esterna che utilizza l'interfaccia SNC), è necessario
impostare valori aggiuntivi per integrare in modo efficace la piattaforma BI nell'ambiente protetto.
Per configurare la piattaforma BI per l'utilizzo di Secure Network Communication, è necessario eseguire
le seguenti attività:
1. Configurare i server della piattaforma BI per consentirne l'avvio e l'esecuzione con un account utente
appropriato.
2. Configurare il sistema SAP affinché consideri attendibile la piattaforma BI.
3. Configurare le impostazioni SNC nel collegamento SNC nella Central Management Console.
331
2013-09-19
Autenticazione
4. Importare utenti e ruoli SAP nella piattaforma BI.
Argomenti correlati
• Importazione dei ruoli SAP
• Configurazione SAP per l'attendibilità lato server
• Configurazione della piattaforma BI per l'attendibilità lato server
9.5.6.6 Per configurare le impostazioni SNC nella Central Management Console
Per poter configurare le impostazioni SNC, è necessario aggiungere un nuovo sistema di autorizzazione
alla piattaforma BI, verificare che il file della libreria SNC si trovi in una directory nota e creare una
variabile di ambiente RFC_LIB che punti al file.
1. Fare clic sulla scheda Impostazioni SNC nella pagina di "autenticazione SAP".
2. Selezionare il sistema di autorizzazione dall'elenco Nome sistema logico.
3. Selezionare Abilita Secure Network Communication (SNC) in "Impostazioni base".
4. Se si sta configurando l'autenticazione SAP per l'utilizzo di universi .unx o di connessioni OLAP
BICS e si intende utilizzare STS, selezionare la casella di controllo Blocca connessioni RFC in
entrata non protette.
5. Selezionare l'opzione Usa predefinito per accettare il percorso predefinito per la libreria o selezionare
l'opzione Definisci percorso personalizzato per scegliere un'altra posizione.
Il server di applicazioni e il server CMS devono trovarsi sullo stesso tipo di sistema operativo con
lo stesso percorso della libreria crypto.
6. Selezionare un livello di protezione in "Qualità di protezione".
Ad esempio, selezionare Autenticazione.
Nota:
il livello di protezione è personalizzabile ed è determinato in base alle necessità dell'organizzazione
e alle funzionalità della relativa libreria SNC.
7. Immettere il nome SNC del sistema SAP in "Impostazioni autenticazione reciproca".
Il formato del nome SNC dipende dalla libreria SNC. Se si utilizza la libreria di crittografia SAP, si
consiglia di seguire le convenzioni di denominazione LDAP per il nome distinto apponendo p: come
prefisso.
8. Verificare che il nome SNC delle credenziali sotto cui vengono eseguiti i server della piattaforma BI
venga visualizzato nella casella Nome SNC del sistema Enterprise.
In scenari in cui vengono configurati diversi nomi SNC, lasciare vuota questa casella.
9. Fare clic su Aggiorna.
10. Fare clic sulla scheda Sistemi di autorizzazione nella pagina di "autenticazione SAP".
L'opzione Nome SNC viene visualizzata sotto l'opzione Lingua.
332
2013-09-19
Autenticazione
11. Nella casella Nome SNC immettere il nome SNC configurato sul server SAP BW.
Il nome deve essere uguale a quello utilizzato per configurare il sistema SAP affinché la piattaforma
BI sia considerata attendibile.
Se si utilizza il framework Insight to Action per abilitare l'interfaccia report-report, potrebbero essere
necessari anche 10 minuti per l'abilitazione di SNC o perché le modifiche alle impostazioni SNC
diventino effettive. Per attivare un aggiornamento immediato, riavviare il server Adaptive Processing
Server su cui è in esecuzione il servizio Insight to Action.
Argomenti correlati
• Connessione ai sistemi di autorizzazione SAP
9.5.6.7 Per associare l'utente di autorizzazione a un nome SNC
1. Accedere al sistema SAP BW ed eseguire la transazione SU01.
Viene visualizzata la schermata iniziale Manutenzione utente.
2. Nel campo Utente digitare il nome dell'account SAP designato come utente di autorizzazione, quindi
fare clic sul pulsante Modifica sulla barra degli strumenti.
Viene visualizzata la schermata Manutenzione utente.
3. Fare clic sulla scheda SNC.
4. Nel campo Nome SNC digitare l'ACCOUNT UTENTE SNC immesso in precedenza al punto 2.
5. Fare clic su Salva.
9.5.6.8 Aggiunta di un ID di sistema all'elenco di controllo di accesso SNC
1. Accedere al sistema SAP BW ed eseguire la transazione SNC0.
Viene visualizzata la finestra Cambia vista "SNC: Elenco di controllo di accesso (ACL) per sistemi".
2. Fare clic su New Entries sulla barra degli strumenti.
Viene visualizzata la finestra Nuove voci: Dettagli delle voci aggiunte.
3. Digitare il nome del computer della piattaforma BI nel campo ID sistema.
4. Digitare p:<NOME UTENTE SNC> nel campo Nome SNC dove NOME UTENTE SNC rappresenta
l'account utilizzato per la configurazione dei server della piattaforma BI.
333
2013-09-19
Autenticazione
Nota:
se il provider SNC è gssapi32.dll, specificare il NOME UTENTE SNC in lettere maiuscole. Quando
si specifica l'account utente, è necessario includere il nome di dominio. Ad esempio: dominio\nome
utente.
5. Selezionare Voce per RFC attivata e Voce per ID est. attivata.
6. Deselezionare tutte le altre opzioni e fare clic su Salva.
9.5.7 Impostazione del Single Sign On nel sistema SAP
Diversi servizi client ed esterni della piattaforma BI interagiscono con i sistemi esterni NetWeaver ABAP
in un ambiente integrato. È utile impostare Single Sign On dalla piattaforma BI a questi sistemi esterni
(in genere BW). Dopo avere configurato un sistema ABAP come sistema di autenticazione esterno,
vengono utilizzati token SAP proprietari per fornire un meccanismo che supporta Single Sign On per
tutti i client e i servizi della piattaforma BI che si collegano ai sistemi NetWeaver ABAP.
Per abilitare il Single Sign On nel sistema SAP, è necessario creare un file archivio chiavi e un
certificato corrispondente. Utilizzare il programma da riga di comando keytool per generare il file e
il certificato. Per impostazione predefinita, il programma keytool viene installato nella directory sdk/bin
per ciascuna piattaforma.
È necessario aggiungere il certificato al sistema ABAP BW SAP e alla piattaforma BI utilizzando la
CMC.
Nota:
Per potere impostare il Single Sign On nel database utilizzato da SAP BW, è necessario configurare il
plug-in dell'autenticazione SAP.
9.5.7.1 Generazione del file archivio chiavi
Il programma PKCS12Tool viene utilizzato per generare i file archivio chiavi e i certificati necessari per
l'impostazione di Single Sign On nel database SAP. Nella seguente tabella sono elencati i percorsi
predefiniti per il file PKCS12Tool.jar per ogni piattaforma supportata:
Piattaforma
Posizione predefinita
Windows
<DIRINSTALL>\SAP BusinessObjects Enterprise XI
4.0\java\lib
Unix
sap_bobj/enterprise_xi40/java/lib
1. Avviare un prompt dei comandi e passare alla directory in cui si trova il programma PKCS12Tool
334
2013-09-19
Autenticazione
2. Per generare il file archivio chiavi con le impostazioni predefinite, eseguire il seguente comando:
java -jar PKCS12Tool.jar
I file cert.der e keystore.p12 vengono generati nella stessa directory e contengono i seguenti
valori predefiniti:
Parametro
Valore predefinito
-keystore
keystore.p12
-alias
myalias
-storepass
123456
-dname
CN=CA
-validity
365
-cert
cert.der
Suggerimento:
per sostituire i valori predefiniti, eseguire lo strumento insieme al parametro -?. Viene visualizzato
il seguente messaggio:
Usage: PKCS12Tool <options>
-keystore <filename(keystore.p12)>
-alias <key entry alias(myalias)>
-storepass <keystore password(123456)>
-dname <certificate subject DN(CN=CA)>
-validity <number of days(365)>
-cert <filename (cert.der)>
(No certificate is generated when importing a keystore)
-disablefips
-importkeystore <filename>
È possibile utilizzare i parametri per sostituire i valori predefiniti.
9.5.7.2 Esportazione del certificato di chiave pubblica
È necessario creare ed esportare un certificato per il file archivio chiavi.
1. Avviare un prompt dei comandi e passare alla directory in cui si trova il programma keytool
2. Per esportare il certificato chiave per il file archivio chiavi, utilizzare il comando seguente:
keytool -exportcert -keystore <keystore> -storetype pkcs12 -file <filename>
-alias <alias>
335
2013-09-19
Autenticazione
Sostituire <keystore> con il nome del file archivio chiavi.
Sostituire <filename> con il nome del certificato.
Sostituire <alias> con l'alias utilizzato per creare il file archivio chiavi.
3. Quando richiesto, immettere la password fornita per il file archivio chiavi.
A questo punto nella directory in cui si trova il programma keytool sono presenti un file archivio chiavi
e un certificato.
9.5.7.3 Importazione del file certificato nel sistema ABAP SAP
Per consentire alla distribuzione della piattaforma BI di eseguire l'attività seguente, è necessario disporre
di un file archivio chiavi con un certificato associato.
Nota:
questa azione può essere eseguita solo in un sistema ABAP SAP.
1. Connettersi al sistema ABAP BW SAP utilizzando la GUI SAP.
Nota:
è consigliabile connettersi come utente con privilegi amministrativi.
2. Eseguire STRUSTSSO2 nella GUI SAP.
Il sistema è preparato per importare il file di certificato.
3. Accedere alla scheda Certificate.
4. Assicurarsi che sia selezionata la casella di controllo Use Binary option.
5. Fare clic sul pulsante del percorso del file per individuare il percorso in cui si trova il file di certificato.
6. Fare clic sul segno di spunta verde.
Il file di certificato viene caricato.
7. Fare clic su Add to Certificate List.
Il certificato viene visualizzato nell'elenco certificati.
8. Fare clic su Add to ACL e specificare un client e un ID di sistema.
L'ID sistema deve corrispondere a quello utilizzato per identificare la piattaforma BI per SAP BW.
Il certificato viene aggiunto all'Elenco di controllo di accesso. Il client deve essere specificato come
“000”.
9. Salvare le impostazioni e chiudere.
Le modifiche vengono salvate nel sistema SAP.
336
2013-09-19
Autenticazione
9.5.7.4 Impostazione di Single Sign On nel database SAP nella CMC
Per eseguire la procedura seguente, è necessario accedere al plug-in di protezione SAP utilizzando
un account amministratore.
1. Passare all’area di gestione "Autenticazione" della CMC.
2. Fare doppio clic sulla scheda SAP e quindi sulla scheda Opzioni.
Se non sono stati importati certificati, nella sezione "Servizio SAP SSO " dovrebbe essere visualizzato
il messaggio seguente:
Non è stato caricato alcun file archivio chiavi
3. Specificare l'ID sistema per la piattaforma BI nel campo appropriato.
Questo valore dovrebbe essere identico a quello utilizzato per l'importazione del certificato nel
sistema ABAP SAP.
4. Fare clic sul pulsante Sfoglia per individuare il file archivio chiavi.
5. Specificare i dettagli obbligatori seguenti:
Campo
Informazione richiesta
"Password archivio chiavi"
Specificare la password richiesta per l'accesso al file dell'archivio chiavi. Questa password è stata specificata durante la creazione del file archivio chiavi.
"Password chiave Specificare la password richiesta per l'accesso al certificato corrispondente al
privata"
file dell'archivio chiavi. Questa password è stata specificata durante la creazione
del certificato per il file archivio chiavi.
"Alias chiave priva- Specificare l'alias richiesto per l'accesso al file dell'archivio chiavi. L'alias è
ta"
stato specificato durante la creazione del file archivio chiavi.
6. Fare clic su Aggiorna per salvare le impostazioni.
Dopo aver salvato le impostazioni, nel campo ID sistema viene visualizzato il messaggio seguente:
È stato caricato un file archivio chiavi
9.5.7.5 Aggiunta del Servizio token di protezione ad Adaptive Processing Server
In un ambiente cluster, i Servizi token di protezione vengono aggiunti separatamente a ogni Adaptive
Processing Server.
1. Passare all’area di gestione "Server" della CMC.
2. Fare doppio clic su Servizi principali.
In "Servizi principali" viene visualizzato l'elenco dei server.
337
2013-09-19
Autenticazione
3. Fare clic con il pulsante destro del mouse su Adaptive Processing Server e selezionare Arresta
server.
Non continuare fino a quando lo stato del server diventa Interrotto.
4. Fare clic con il pulsante destro del mouse su Adaptive Processing Server e scegliere Interrompi.
Viene visualizzata la finestra di dialogo "Seleziona servizi".
5. Utilizzare il pulsante Aggiungi per spostare il servizio token di protezione dall'elenco Servizi
disponibili all'elenco Servizi.
6. Fare clic su OK.
7. Riavviare l'Adaptive Processing Server.
9.5.8 Configurazione di SSO per SAP Crystal Reports e SAP NetWeaver
Per impostazione predefinita, la piattaforma BI viene configurata per consentire agli utenti di SAP Crystal
Reports di accedere ai dati SAP utilizzando il Single Sign On (SSO).
9.5.8.1 Disattivazione di SSO per SAP NetWeaver e SAP Crystal Reports
1. Nella Central Management Console (CMC) fare clic su Applicazioni.
2. Fare doppio clic su Configurazione di Crystal Reports.
3. Fare clic su Opzioni Single Sign On.
4. Selezionare uno dei driver seguenti:
Driver
Nome visualizzato
Driver Operational Data Store
crdb_ods
Driver Open SQL
crdb_opensql
Driver Infoset
crdb_infoset
Driver BW MDX Query
crdb_bwmdx
5. Fare clic su Rimuovi.
6. Fare clic su Salva e chiudi.
7. Riavviare SAP Crystal Reports.
338
2013-09-19
Autenticazione
9.5.8.2 Riattivazione di SSO per SAP NetWeaver e SAP Crystal Reports
Per riattivare SSO per SAP NetWeaver (ABAP) e SAP Crystal Reports, seguire la procedura riportata
di seguito.
1. Nella Central Management Console (CMC) fare clic su Applicazioni.
2. Fare doppio clic su Configurazione di Crystal Reports.
3. Fare clic su Opzioni Single Sign On.
4. In "Utilizza il contesto SSO per accedere al database" digitare:
crdb_ods
Per attivare il driver ODS
crdb_opensql
Per attivare il driver Open SQL
crdb_bwmdx
Per attivare il driver SAP BW MDX Query
crdb_infoset
Per attivare il driver InfoSet
5. Fare clic su Aggiungi.
6. Fare clic su Salva e chiudi.
7. Riavviare SAP Crystal Reports.
9.6 Autenticazione PeopleSoft
9.6.1 Panoramica
Per utilizzare i dati di PeopleSoft Enterprise con la piattaforma BI, è necessario fornire al programma
le informazioni relative alla distribuzione. Tali informazioni consentono alla piattaforma BI di autenticare
gli utenti in modo che essi possano accedere al programma utilizzando le credenziali di PeopleSoft.
9.6.2 Abilitazione dell'autenticazione PeopleSoft Enterprise
339
2013-09-19
Autenticazione
Per consentire l'uso delle informazioni di PeopleSoft Enterprise nella piattaforma BI, è necessario
indicare nella piattaforma BI le modalità di autenticazione per il sistema PeopleSoft Enterprise.
9.6.2.1 Abilitazione dell'autenticazione PeopleSoft Enterprise nella piattaforma
BI
1. Eseguire l'accesso alla console CMC (Central Management Console) come amministratore.
2. Fare clic su Autenticazione nell'area Gestisci.
3. Fare doppio clic su PeopleSoft Enterprise.
Viene visualizzata la pagina "PeopleSoft Enterprise". Contiene quattro schede: Opzioni, Domini,
Ruoli e Aggiornamento utente.
4. Nella scheda Opzioni selezionare la casella di controllo Abilita autenticazione PeopleSoft
Enterprise.
5. Apportare le modifiche appropriate in Nuovo alias, Opzioni di aggiornamento e Nuove opzioni
utente a seconda della distribuzione della piattaforma BI.
Fare clic su Aggiorna per salvare le modifiche prima di passare alla scheda Domini.
6. Fare clic sulla scheda Domini.
7. Nell'area "Utente di sistema PeopleSoft Enterprise" digitare un nome utente di database e una
password per la piattaforma BI da utilizzare per l'accesso al database PeopleSoft Enterprise.
8. Nell'area "Domini PeopleSoft Enterprise" immettere il nome dominio e l'indirizzo QAS utilizzati per
connettersi all'ambiente PeopleSoft Enterprise, quindi fare clic su Aggiungi.
Nota:
nel caso di più domini PeopleSoft, ripetere la procedura per tutti i domini aggiuntivi cui si desidera
accedere. Il primo dominio cui si accede diventa il dominio predefinito.
9. Fare clic su Aggiorna per salvare le modifiche.
9.6.3 Mappatura di ruoli PeopleSoft alla piattaforma BI
La piattaforma BI crea automaticamente un gruppo per ogni ruolo PeopleSoft mappato. Crea inoltre
alias che rappresentano i membri dei ruoli PeopleSoft mappati.
È possibile creare un account utente per ogni alias creato.
Tuttavia, se si utilizzano più sistemi e gli utenti dispongono di account su più di un sistema, è possibile
assegnare a ciascun utente un alias con lo stesso nome prima di creare gli account nella piattaforma
BI.
In questo modo viene ridotto il numero di account creati per lo stesso utente nella piattaforma BI.
340
2013-09-19
Autenticazione
Ad esempio, se si utilizza PeopleSoft HR 8.3 e PeopleSoft Financials 8.4 e 30 utenti possono accedere
ad entrambi i sistemi, verranno creati solamente 30 account per tali utenti. Se si decide di non assegnare
un alias con lo stesso nome a ciascun utente, verranno creati 60 account per i 30 utenti nella piattaforma
BI.
Tuttavia, se vengono eseguiti più sistemi e i nomi utente coincidono, è necessario creare un nuovo
account del membro per ciascun alias creato.
Ad esempio, se si utilizza PeopleSoft HR 8.3 con l'account utente di Roberto Antinori (nome utente
"rantinori") e PeopleSoft Financials 8.4 con l'account utente di Renato Antinori (nome utente " rantinori
"), è necessario creare un account diverso per ogni alias dell'utente. In caso contrario, i due utenti
verranno aggiunti allo stesso account della piattaforma BI, potranno accedere alla piattaforma BI con
le proprie credenziali PeopleSoft e avranno accesso ai dati da entrambi i sistemi PeopleSoft.
9.6.3.1 Mappatura di un ruolo PeopleSoft alla piattaforma BI
Se la JVM (Java virtual machine) della piattaforma BI non dispone di un certificato per il server
PeopleSoft, sarà necessario eseguire questi passaggi aggiuntivi prima dei passaggi principali indicati
di seguito:
1. Ottenere il file .cer dal server PeopleSoft.
2. Copiare il file .cer in DIRINSTALLAZ\SAP BusinessObjects Enterprise XI
4.0\win64_x64\sapjvm\jre\lib\security.
3. Eseguire il comando riportato di seguito dalla directory di protezione: "DIRINSTALLAZ\SAP
BusinessObjects Enterprise XI 4.0\win64_x64\sapjvm\bin\keytool.exe" -import
-file serverpeoplesoft.cer -keystore cacerts -alias serverpeoplesoft.
4. Riavviare il server di applicazioni Web.
Passaggi principali:
1. Eseguire l'accesso alla CMC (Central Management Console) come amministratore.
2. Fare clic su Autenticazione.
3. Fare doppio clic su PeopleSoft Enterprise.
4. Nella scheda Ruoli, nell'area Domini PeopleSoft Enterprise, selezionare il dominio associato al
ruolo che si desidera mappare nella piattaforma BI.
5. Utilizzare una delle seguenti opzioni per selezionare i ruoli da mappare:
• Nell'area "Ruoli PeopleSoft Enterprise", nella casella Cerca ruoli, immettere il ruolo da individuare,
eseguire la mappatura nella piattaforma BI e fare clic su >.
• Dall'elenco "Ruoli disponibili" selezionare il ruolo che si desidera mappare alla piattaforma BI e
fare clic su >.
Nota:
•
341
Per la ricerca di un particolare utente o ruolo, è possibile utilizzare il carattere jolly %. Ad esempio,
per cercare tutti i ruoli che iniziano con "A", digitare A%. La ricerca fa distinzione tra maiuscole
e minuscole.
2013-09-19
Autenticazione
•
Se si desidera mappare un ruolo da un altro dominio, è necessario selezionare il nuovo dominio
dall'elenco di domini disponibili per individuare la corrispondenza di un ruolo da un dominio
diverso.
6. Accedere alla scheda Aggiornamento utente e fare clic sul pulsante Aggiorna oppure pianificare
gli aggiornamenti.
7. Nella scheda Opzioni accedere all'area "Nuove opzioni utente" e selezionare una delle opzioni
seguenti:
• Assegna ogni alias aggiunto a un account con lo stesso nome
Selezionare questa opzione se si utilizzano più sistemi PeopleSoft Enterprise con utenti che
dispongono di account in più sistemi (due utenti non possono avere lo stesso nome utente per
sistemi diversi).
•
Crea un nuovo account per ogni alias aggiunto
Selezionare questa opzione se si utilizza solo un sistema PeopleSoft Enterprise, se la maggior
parte degli utenti dispone di account su uno solo dei sistemi utilizzati oppure se i nomi utente di
diversi utenti coincidono su due o più dei sistemi in uso.
8. Nell'area "Opzioni di aggiornamento alias" selezionare una delle opzioni seguenti:
• Crea nuovi alias all'aggiornamento dell'alias
Selezionare questa opzione per creare un nuovo alias per ciascun utente mappato nella
piattaforma BI. Se è stata selezionata l'opzione Crea nuovo account per ogni alias aggiunto,
verranno aggiunti nuovi account per gli utenti senza account della piattaforma BI o per tutti gli
utenti.
•
Crea nuovi alias solo all'accesso dell'utente
Selezionare questa opzione se il ruolo che si desidera mappare contiene molti utenti, ma solo
una parte di essi utilizzerà la piattaforma BI. La piattaforma non crea automaticamente gli alias
e gli account per gli utenti. Crea invece alias (e account, se necessario) solo per utenti che
accedono alla piattaforma BI per la prima volta. Si tratta dell'opzione predefinita.
9. Nell'area "Nuove opzioni utente" specificare la modalità di creazione dei nuovi utenti.
Selezionare una delle seguenti opzioni:
•
I nuovi utenti vengono creati come utenti specifici.
I nuovi account utente verranno configurati per utilizzare licenze utente designato. Le licenze
utente designato sono associate a utenti specifici e consentono di accedere al sistema in base
a nome utente e password. Ciò garantisce agli utenti specifici l’accesso al sistema a prescindere
dal numero delle altre persone connesse. È necessario disporre di una licenza utente designato
per ciascun account utente creato utilizzando questa opzione.
•
I nuovi utenti vengono creati come utenti simultanei.
I nuovi account utente verranno configurati per utilizzare licenze utente simultaneo. Le licenze
di accesso simultaneo specificano il numero di persone che possono connettersi alla piattaforma
BI contemporaneamente. Questo tipo di licenza è estremamente flessibile, poiché una licenza
di accesso simultaneo di dimensioni ridotte può supportare un'ampia base di utenti. Ad esempio,
342
2013-09-19
Autenticazione
in base alla frequenza e alla durata dell'accesso alla piattaforma BI, una licenza di accesso
simultaneo per 100 utenti può supportare 250, 500 o 700 utenti.
I ruoli selezionati vengono ora vengono visualizzati come gruppi nella piattaforma BI.
9.6.3.2 Considerazioni sulla rimappatura
Se si aggiungono utenti a un ruolo che è stato già mappato nella piattaforma BI, sarà necessario
rimappare il ruolo per aggiungere gli utenti alla piattaforma BI. Quando si rimappa il ruolo, l'opzione
relativa alla mappatura di utenti come utenti titolari o simultanei riguarda solamente i nuovi utenti che
sono stati aggiunti al ruolo.
Ad esempio, prima si mappa un ruolo nella piattaforma BI selezionando l'opzione "I nuovi utenti vengono
creati come utenti specifici", quindi si aggiungono gli utenti allo stesso ruolo e si rimappa il ruolo
selezionando l'opzione "I nuovi utenti vengono creati come utenti simultanei".
In questa situazione, solo i nuovi utenti del ruolo vengono mappati nella piattaforma BI come utenti
simultanei; gli utenti mappati in precedenza rimangono utenti specifici. Questo avviene anche quando
gli utenti vengono prima mappati come simultanei e, in seguito, vengono modificate le impostazioni per
rimappare i nuovi utenti come utenti designati.
9.6.3.3 Eliminazione della mappatura di un ruolo
1. Eseguire l'accesso alla CMC (Central Management Console) come amministratore.
2. Fare clic su Autenticazione.
3. Fare clic su PeopleSoft Enterprise.
4. Fare clic su Ruoli.
5. Selezionare il ruolo che si desidera rimuovere e fare clic su <.
6. Fare clic su Aggiorna.
I membri del ruolo non saranno più in grado di accedere alla piattaforma BI finché non disporranno
di altri account o alias.
Nota:
è inoltre possibile eliminare singoli account o rimuovere gli utenti dai ruoli prima di eseguire la
mappatura nella piattaforma BI, impedendo così l'accesso a determinati utenti.
343
2013-09-19
Autenticazione
9.6.4 Pianificazione degli aggiornamenti utente
Per garantire che le modifiche ai dati utente per il sistema ERP vengano riportate nei dati utente della
piattaforma BI, è possibile pianificare aggiornamenti utente regolari. Questi aggiornamenti
sincronizzeranno automaticamente gli utenti ERP e la piattaforma BI in base alle impostazioni delle
mappature configurate nella CMC (Central Management Console).
Sono disponibili due opzioni per l'esecuzione e la pianificazione degli aggiornamenti per i ruoli importati:
•
•
Aggiorna solo ruoli: l'uso di questa opzione determina l'aggiornamento dei soli collegamenti tra i
ruoli attualmente mappati importati nella piattaforma BI. Utilizzare questa opzione se si prevede di
eseguire aggiornamenti frequenti e si desidera evitare problemi di utilizzo delle risorse di sistema.
Se si aggiornano solo i ruoli, non vengono creati nuovi account utente.
Aggiorna ruoli e alias: questa opzione determina non solo l'aggiornamento dei collegamenti tra i
ruoli, ma anche la creazione di nuovi account utente nella piattaforma BI per i nuovi alias utente
aggiunti al sistema ERP.
Nota:
se non è stata specificata la creazione automatica degli alias utente per gli aggiornamenti quando è
stata abilitata l'autenticazione, non verranno creati account per i nuovi alias.
9.6.4.1 Pianificazione degli aggiornamenti utente
Una volta mappati i ruoli nella piattaforma BI, è necessario specificare in che modo vengono aggiornati
dal sistema.
1. Fare clic sulla scheda Aggiornamento utente.
2. Fare clic su Pianifica nella sezione "Aggiorna solo ruoli" o "Aggiorna ruoli e alias".
Suggerimento:
se si desidera eseguire immediatamente un aggiornamento, fare clic su Aggiorna ora.
Suggerimento:
utilizzare l'opzione "Aggiorna solo ruoli" se si desidera eseguire aggiornamenti frequenti e si verificano
problemi con le risorse di sistema. Il sistema impiega più tempo per aggiornare sia i ruoli che gli
alias.
Viene visualizzata la finestra di dialogo "Ricorrenza".
3. Selezionare un'opzione nell'elenco "Esegui oggetto" e fornire tutte le informazioni richieste relative
alla pianificazione.
Quando si pianifica un aggiornamento, è possibile scegliere tra gli schemi ricorrenti nella seguente
tabella.
344
2013-09-19
Autenticazione
Criterio di ricorrenza
Descrizione
Ogni ora
L'aggiornamento verrà eseguito ogni ora. È possibile specificare
l'ora di inizio nonché una data di inizio e di fine.
Giornaliero
L'aggiornamento verrà eseguito ogni giorno oppure dopo il
numero di giorni specificato. È possibile specificare l'ora in cui
verrà eseguito nonché una data di inizio e di fine.
Settimanale
L'aggiornamento verrà eseguito ogni settimana. e può essere
eseguito una o più volte a settimana È possibile specificare in
quali giorni e a che ora verrà eseguito nonché una data di inizio
e di fine.
Mensile
L'aggiornamento verrà eseguito ogni mese oppure dopo il numero di mesi specificato. È possibile specificare l'ora in cui
verrà eseguito nonché una data di inizio e di fine.
Il N° giorno del mese
L'aggiornamento verrà eseguito in un giorno specifico del mese.
È possibile specificare in quale giorno del mese e a che ora
verrà eseguito nonché una data di inizio e di fine.
Il primo lunedì del mese
L'aggiornamento verrà eseguito il primo lunedì di ogni mese.
È possibile specificare l'ora in cui verrà eseguito nonché una
data di inizio e di fine.
Ultimo giorno del mese
L'aggiornamento verrà eseguito l'ultimo giorno di ogni mese.
È possibile specificare l'ora in cui verrà eseguito nonché una
data di inizio e di fine.
Giorno X della N° settimana del
mese
L'aggiornamento verrà eseguito in un giorno specifico di una
settimana specifica del mese. È possibile specificare l'ora in
cui verrà eseguito nonché una data di inizio e di fine.
Calendario
L'aggiornamento verrà eseguito nelle date specificate all'interno
di un calendario creato in precedenza.
4. Fare clic su Pianifica dopo aver completato l'inserimento delle informazioni sulla pianificazione.
Nella scheda Aggiornamento utente viene visualizzata la data del successivo ruolo pianificato.
Nota:
è sempre possibile annullare il successivo aggiornamento pianificato facendo clic su Annulla
aggiornamenti pianificati nella sezione "Aggiorna solo ruoli" o "Aggiorna ruoli e alias".
9.6.5 Utilizzo del Ponte di protezione PeopleSoft
345
2013-09-19
Autenticazione
La funzionalità Ponte di protezione della piattaforma BI consente di importare le impostazioni di
protezione di PeopleSoft EPM nella piattaforma BI.
Ponte di protezione funziona in due modalità diverse:
•
Modalità di configurazione
In modalità di configurazione fornisce un'interfaccia che consente all'utente di creare un file di
risposta. Questo file regola il funzionamento di Ponte di protezione in modalità di esecuzione.
•
Modalità di esecuzione
In base ai parametri definiti dall'utente nel file di risposta, Ponte di protezione importa le impostazioni
di protezione delle tabelle di dimensioni di PeopleSoft EPM negli universi della piattaforma BI.
9.6.5.1 Importazione delle impostazioni di protezione
Per importare le impostazioni di protezione è necessario eseguire nell'ordine le seguenti attività:
•
Definire gli oggetti che dovranno essere gestiti da Ponte di protezione.
•
Creare un file di risposta.
•
Eseguire l'applicazione Ponte di protezione.
Per informazioni sulla gestione della protezione dopo l'importazione delle impostazioni, vedere Gestione
delle impostazioni di protezione.
9.6.5.1.1 Definizione degli oggetti gestiti
Prima di eseguire Ponte di protezione, è importante determinare gli oggetti gestiti dall'applicazione.
Ponte di protezione gestisce uno o più ruoli PeopleSoft, un gruppo della piattaforma BI e uno o più
universi.
•
Ruoli PeopleSoft gestiti
Questi sono i ruoli del sistema PeopleSoft in uso. I membri di questi ruoli utilizzano i dati PeopleSoft
mediante PeopleSoft EPM. È necessario selezionare i ruoli che includono i membri per i quali si
desidera assegnare o aggiornare i privilegi di accesso agli universi gestiti nella piattaforma BI.
I diritti di accesso definiti per i membri di questi ruoli si basano sui rispettivi diritti in PeopleSoft EPM.
Ponte di protezione importa queste impostazioni di protezione nella piattaforma BI.
•
Gruppo della piattaforma BI gestito
Quando si esegue Ponte di protezione, il programma crea un utente nella piattaforma BI per ogni
membro di un ruolo PeopleSoft gestito.
Il gruppo in cui vengono creati gli utenti è il gruppo della piattaforma BI gestito. I membri di questo
gruppo sono utenti i cui diritti di accesso agli universi gestiti sono gestiti da Ponte di protezione.
346
2013-09-19
Autenticazione
Poiché gli utenti vengono creati in un solo gruppo, è possibile configurare Ponte di protezione in
modo da non eseguire l'aggiornamento delle impostazioni di protezione per alcuni utenti mediante
la semplice rimozione di tali utenti dal gruppo della piattaforma BI gestito.
Prima di eseguire Ponte di protezione, è necessario selezionare un gruppo della piattaforma BI, che
sarà la posizione in cui verranno creati gli utenti. Se si specifica un gruppo inesistente, Ponte di
protezione creerà il gruppo nella piattaforma BI.
•
Universi gestiti
Gli universi gestiti sono gli universi in cui Ponte di protezione importa le impostazioni di protezione
da PeopleSoft EPM. È necessario selezionare tra gli universi archiviati nella propria piattaforma BI
quelli che dovranno essere gestiti da Ponte di protezione. I membri di ruoli PeopleSoft gestiti che
sono anche membri del gruppo della piattaforma BI gestito non possono accedere mediante questi
universi ai dati il cui accesso è impossibile da PeopleSoft EPM.
9.6.5.1.2 Per creare un file di risposta
1. Accedere alla cartella specificata durante l'installazione del Ponte di protezione ed eseguire il file
crpsepmsecuritybridge.bat (in Windows) e il file crpsepmsecuritybridge.sh (in Unix).
Nota:
Per impostazione predefinita, in Windows il file si trova in C:\Programmi\Business Objects\Kit
di integrazione di BusinessObjects 12.0 per PeopleSoft\epm
Viene visualizzata la finestra di dialogo Ponte di protezione per PeopleSoft EPM.
2. Selezionare Nuovo per creare un file di risposta oppure selezionare Apri e fare clic su Sfoglia per
specificare il file di risposta che si desidera modificare. Selezionare la lingua da utilizzare per il file.
3. Fare clic su Avanti.
4. Indicare le posizioni dell'SDK di PeopleSoft EPM e dell'SDK della piattaforma BI.
Nota:
•
•
L'SDK di PeopleSoft EPM di solito si trova nel server PeopleSoft in <PS_HOME>/class/com.peo
plesoft.epm.pf.jar.
L'SDK della piattaforma BI di solito si trova nel percorso C:\Programmi(x86)\SAP
BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\java\lib.
5. Fare clic su Avanti.
La finestra di dialogo richiede all'utente informazioni relative alla connessione e al driver per il
database di PeopleSoft.
6. Dall'elenco Database, selezionare il tipo di database appropriato e fornire le informazioni per i
seguenti campi:
347
Campo
Descrizione
Database
Nome del database PeopleSoft.
2013-09-19
Autenticazione
Campo
Descrizione
Host
Nome del server sul quale è installato il database.
Numero di porta
Il numero della porta per accedere al server.
Posizione classe
Posizione dei file di classe del driver di database.
Nome utente
Il nome dell'utente.
Password
La password.
7. Fare clic su Avanti.
La finestra di dialogo visualizza un elenco di tutte le classi necessarie per l'esecuzione di Ponte di
protezione. Se necessario, è possibile aggiungere o rimuovere classi dall'elenco.
8. Fare clic su Avanti.
La finestra di dialogo richiede le informazioni di connessione per la piattaforma BI.
9. Fornire le informazioni appropriate per i seguenti campi:
Campo
Descrizione
Server
Nome del server nel quale è posizionato il Central Management Server (CMS).
Nome utente
Il nome dell'utente.
Password
La password.
Autenticazione
Il tipo di autenticazione.
10. Fare clic su Avanti.
11. Scegliere un gruppo della piattaforma BI e fare clic su Avanti.
Nota:
•
•
Il gruppo specificato in questo campo è quello in cui Ponte di protezione crea utenti per i membri
dei ruoli PeopleSoft gestiti.
Se viene specificato un gruppo che non esiste ancora, Ponte di protezione procederà alla sua
creazione.
La finestra di dialogo visualizza un elenco di ruoli dal sistema PeopleSoft.
12. Selezionare l'opzione Importato per i ruoli che il Ponte di protezione deve gestire, quindi fare clic
su Avanti.
348
2013-09-19
Autenticazione
Nota:
Ponte di protezione crea un utente nel gruppo della piattaforma BI gestito (specificato nella fase
precedente) per ciascun membro dei ruoli selezionati.
Nella finestra di dialogo è visualizzato un elenco di universi della piattaforma BI.
13. Selezionare gli universi nei quali si desidera che Ponte di protezione importi le impostazioni di
protezione, quindi fare clic su Avanti.
14. Specificare il nome e la posizione in cui salvare il file di registro di Ponte di protezione. È possibile
utilizzare il file di registro per determinare se Ponte di protezione esegue correttamente l'importazione
delle impostazioni di protezione da PeopleSoft EPM.
15. Fare clic su Avanti.
La finestra di dialogo visualizza un'anteprima del file di risposta che verrà utilizzato da Ponte di
protezione in modalità di esecuzione.
16. Fare clic su Salva e selezionare la posizione in cui si desidera salvare il file di risposta.
17. Fare clic su Avanti.
Il file di risposta per Ponte di protezione è stato creato correttamente.
18. Fare clic su Esci.
Nota:
Il file di risposta è un file di proprietà Java che può anche essere creato e/o modificato manualmente.
Per ulteriori dettagli, vedere la sezione “File di risposta PeopleSoft”.
9.6.5.2 Applicazione delle impostazioni di protezione
Per applicare le impostazioni di protezione, eseguire il file batch crpsepmsecuritybridge.bat (in
Windows) o crpsempsecuritybridge.sh (in Unix) e utilizzare il file di risposta creato come
argomento. Digitare ad esempio crpsepmsecuritybridge.bat myresponsefile.properties in Windows o
crpsempsecuritybridge.sh myresponsefile.properties in Unix.
Viene eseguita l'applicazione Ponte di protezione, che consente di creare utenti nella piattaforma BI
per i membri dei ruoli PeopleSoft specificati nel file di risposta e di importare le impostazioni di protezione
da PeopleSoft EPM negli universi appropriati.
9.6.5.2.1 Considerazioni sulla mappatura
In modalità di esecuzione, Ponte di protezione crea un utente nella piattaforma BI per ciascun membro
di un ruolo PeopleSoft gestito.
Gli utenti creati dispongono unicamente di alias di autenticazione Enterprise e la piattaforma BI assegna
loro le password in modo casuale. In questo modo gli utenti non possono accedere alla piattaforma BI
finché l'amministratore non assegna manualmente nuove password oppure mappa i ruoli alla piattaforma
349
2013-09-19
Autenticazione
BI mediante il plug-in di protezione PeopleSoft, consentendo così agli utenti di accedere utilizzando le
proprie credenziali PeopleSoft.
9.6.5.3 Gestione delle impostazioni di protezione
È possibile gestire le impostazioni di protezione applicate modificando gli oggetti gestiti da Ponte di
protezione.
9.6.5.3.1 Utenti gestiti
Ponte di protezione gestisce gli utenti sulla base dei seguenti criteri:
•
Appartenenza o meno di un utente ad un ruolo PeopleSoft gestito.
•
Appartenenza o meno di un utente al gruppo della piattaforma BI gestito.
Se si desidera consentire a un utente di accedere ai dati PeopleSoft mediante gli universi nella
piattaforma BI, assicurarsi che l'utente appartenga sia a un ruolo PeopleSoft gestito sia al gruppo della
piattaforma BI gestito.
•
•
Ponte di protezione crea account e assegna in modo casuale le password ai membri di ruoli
PeopleSoft gestiti che non dispongono di account nella piattaforma BI. L'amministratore deve decidere
se assegnare manualmente o meno nuove password oppure se mappare i ruoli alla piattaforma BI
mediante il plug-in di protezione PeopleSoft, in modo da consentire agli utenti di accedere alla
piattaforma BI.
Per i membri di ruoli PeopleSoft che appartengono anche ai gruppi della piattaforma BI gestiti, Ponte
di protezione aggiorna le impostazioni di protezione applicate all'utente, consentendo così l'accesso
ai dati appropriati dagli universi gestiti.
Se un membro di un ruolo PeopleSoft gestito dispone di un account nella piattaforma BI ma non è
membro del gruppo della piattaforma BI gestito, Ponte di protezione non aggiorna le impostazioni di
protezione applicate all'utente. In genere questo avviene solo quando l'amministratore rimuove
manualmente dal gruppo della piattaforma BI gestito gli account utente creati da Ponte di protezione.
Nota:
Si tratta di un metodo efficace per la gestione della protezione: rimuovendo gli utenti dal gruppo della
piattaforma BI gestito, è possibile configurarne le impostazioni di protezione in modo che siano diverse
da quelle impostate in PeopleSoft.
Al contrario, se un membro del gruppo della piattaforma BI gestito non è un membro di un ruolo
PeopleSoft gestito, Ponte di protezione non fornirà l'accesso agli universi gestiti. In genere questo si
verifica solo quando gli amministratori PeopleSoft rimuovono gli utenti precedentemente mappati alla
piattaforma BI dai ruoli PeopleSoft gestiti mediante Ponte di protezione.
Nota:
Si tratta di un altro metodo per la gestione della protezione: rimuovendo gli utenti dai ruoli PeopleSoft
gestiti, tali utenti non potranno accedere ai dati da PeopleSoft.
350
2013-09-19
Autenticazione
9.6.5.3.2 Universi gestiti
Ponte di protezione gestisce gli universi mediante set di restrizioni che limitano i dati ai quali gli utenti
gestiti possono accedere dagli universi gestiti.
Queste restrizioni sono gruppi di limitazione (ad esempio, limitazioni a Query Controls, SQL Generation
e così via). Ponte di protezione applica/aggiorna le limitazioni di accesso alle righe o agli oggetti degli
universi gestiti:
•
•
applica infatti delle limitazioni di accesso alle righe per le tabelle di dimensione definite in PeopleSoft
EPM. Queste limitazioni sono specifiche dell'utente e possono essere configurate con una delle
seguenti impostazioni:
•
Accesso dell'utente a tutti i dati.
•
Accesso negato a tutti i dati.
•
L'accesso ai dati da parte dell'utente dipende dalle autorizzazioni a livello di riga in PeopleSoft,
indicate nelle tabelle SJT (Security Join Tables) definite in PeopleSoft EPM.
Le limitazioni di accesso agli oggetti sono applicate agli oggetti indicatore sulla base dei campi ai
quali è possibile accedere mediante gli indicatori stessi.
Se un oggetto indicatore accede a campi definiti come metriche in PeopleSoft, l'accesso all'oggetto
indicatore sarà consentito o meno in base alla possibilità da parte dell'utente di accedere alla metrica
di riferimento in PeopleSoft. Se l'utente non può accedere a nessuna metrica, l'accesso all'oggetto
indicatore verrà negato. Se l'utente ha accesso a tutte le metriche, sarà possibile accedere all'oggetto
indicatore.
L'amministratore può anche decidere di limitare i dati ai quali gli utenti possono accedere dal sistema
PeopleSoft riducendo il numero degli universi gestiti da Ponte di protezione.
9.6.5.4 File di risposta PeopleSoft
La funzionalità Ponte di protezione della piattaforma BI opera in base alle impostazioni specificate in
un file di risposta.
In genere, il file di risposta viene creato utilizzando l'interfaccia fornita da Ponte di protezione in modalità
di configurazione. Inoltre, trattandosi di un file di proprietà Java, è possibile crearlo o modificarlo
manualmente.
In questa appendice vengono fornite informazioni circa i parametri da includere nel file di risposta per
la creazione manuale.
Nota:
Quando si crea il file, è necessario rispettare i requisiti di escape indicati nel file delle proprietà (ad
esempio, l'escape per ':' è '\:').
351
2013-09-19
Autenticazione
9.6.5.4.1 Parametri del file di risposta
La seguente tabella contiene una descrizione dei parametri inclusi nel file di risposta:
Parametro
Descrizione
Il percorso della classe per il caricamento dei file
.jar necessari. Più percorsi devono essere separati da un ';' sia in Windows che in UNIX.
classpath
Sono necessari i percorsi di classe per i file
com.peoplesoft.epm.pf.jar e per i file .jar
del driver JDBC.
352
db.driver.name
Il nome del driver JDBC utilizzato per connettersi
al database PeopleSoft (ad esempio, com.micro
soft.jdbc.sqlserver.SQLServerDriver).
db.connect.str
La stringa di connessione JDBC utilizzata per
connettersi al database PeopleSoft (ad esempio,
jdbc:microsoft:sqlserver://vanrdp
sft01:1433;DatabaseName=PRDMO)
db.user.name
Il nome utente utilizzato per accedere al database
PeopleSoft.
db.password
La password utilizzata per accedere al database
PeopleSoft.
db.password.encrypted
Il valore di questo parametro determina se il parametro della password nel file di risposta è codificato o meno. Il valore può essere impostato su
True o su False. Se non viene specificato alcun
valore, viene assunto il valore predefinito False.
enterprise.cms.name
Il CMS in cui vengono posizionati gli universi.
enterprise.user.name
Il nome utente utilizzato per accedere al CMS.
enterprise.password
La password utilizzata per accedere al CMS.
2013-09-19
Autenticazione
Parametro
Descrizione
enterprise.password.encrypted
Il valore di questo parametro determina se il parametro della password nel file di risposta è codificato o meno. Il valore può essere impostato su
True o su False. Se non viene specificato alcun
valore, viene assunto il valore predefinito False.
enterprise.authMethod
Il metodo di autenticazione per l'accesso al CMS.
enterprise.role
Il gruppo della piattaforma BI gestito. Per ulteriori
informazioni, consultare Definizione degli oggetti
gestiti.
enterprise.license
Controlla il tipo di licenza quando si importano gli
utenti da Peoplesoft. "0" imposta la licenza utente
designato, "1" imposta la licenza di accesso simultaneo.
L'elenco dei ruoli PeopleSoft gestiti. Per ulteriori
informazioni, consultare Definizione degli oggetti
gestiti.
n è un numero intero e ciascuna voce occupa
una proprietà con il prefisso peoplesoft.role.
peoplesoft.role.n
Nota:
n è a base 1.
È possibile utilizzare '*' per identificare tutti ruoli
PeopleSoft disponibili, stabilito che n è 1 ed è
l'unica proprietà con il prefisso peoplesoft.role nel
file di risposta.
353
2013-09-19
Autenticazione
Parametro
Descrizione
L'elenco degli universi che si desidera aggiornare
tramite la funzione Ponte di protezione. Per ulteriori informazioni, consultare Definizione degli
oggetti gestiti.
mapped.universe.n
n è un numero intero e ciascuna voce occupa
una proprietà con il prefisso mapped.universe.
Nota:
n è a base 1.
È possibile utilizzare ‘*’ per identificare tutti gli
universi disponibili, stabilito che n è 1 ed è l'unica
proprietà con il prefisso mapped.universe nel file
di risposta.
log4j.appender.file.File
Il file di registro scritto dalla funzione Ponte di
protezione.
Le proprietà log4j predefinite necessarie per il
funzionamento corretto di log4j:
log4j.rootLogger=INFO, file, stdout
log4j.appender.file=org.apache.log4j.RollingFile
Appender
log4j.appender.file.layout=org.apache.log4j.Pat
ternLayout
log4j.appender.file.MaxFileSize=5000KB
log4j.*
log4j.appender.file.MaxBackupIndex=100
log4j.appender.file.layout.ConversionPattern=%d
[ %-5 ] %c{1} - %m%n
log4j.appender.stdout=org.apache.log4j.Conso
leAppender
log4j.appender.stdout.layout=org.apache.log4j.Pat
ternLayout
log4j.appender.stdout.layout.ConversionPat
tern=%d [ %-5 ] %c{1} - %m%n
354
2013-09-19
Autenticazione
Parametro
Descrizione
peoplesoft classpath
Il percorso della classe per i file .jar API di PeopleSoft EPM.
Questo parametro è facoltativo.
enterprise.classpath
Il percorso della classe per i file .jar SDK della
piattaforma BI.
Questo parametro è facoltativo.
Il tipo di database PeopleSoft. Questo parametro
potrebbe assumere uno dei seguenti valori:
Microsoft SQL Server 2000
Oracle Database 10.1
db.driver.type
DB2 UDB 8.2 Fixpack 7
Personalizzato
Il valore Custom può essere utilizzato per specificare i database, oltre che per distinguerne i tipi o
le versioni.
Questo parametro è facoltativo.
sql.db.class.location
La posizione dei file .jar del driver JDB, il computer host SQL Server, la porta SQL Server e il
nome del database SQL Server.
sql.db.host
sql.db.port
sql.db.database
Questi parametri possono essere utilizzati solo
se db.driver.type corrisponde a Microsoft SQL
Server 2000.
Questi parametri sono facoltativi.
oracle.db.class.location
La posizione dei file .jar del driver JDBC Oracle,
il computer host Oracle, la porta e il SID del database Oracle.
oracle.db.host
oracle.db.port
oracle.db.sid
Questi parametri possono essere utilizzati solo
se db.driver.type corrisponde a Oracle Database
10.1.
Questi parametri sono facoltativi.
355
2013-09-19
Autenticazione
Parametro
Descrizione
db2.db.class.location
La posizione dei file .jar del driver JDBC DB2, il
computer host DB2, la porta e il SID del database
DB2.
db2.db.host
db2.db.port
db2.db.sid
Questi parametri possono essere utilizzati solo
se db.driver.type corrisponde a DB2 UDB 8.2
Fixpack 7
Questi parametri sono facoltativi.
custom.db.class.location
custom.db.drivername
custom.db.connectStr
La posizione, il nome e la stringa di connessione
del driver JDBC personalizzato.
Questi parametri possono essere utilizzati solo
se db.driver.type corrisponde a Custom.
Questi parametri sono facoltativi.
9.7 Autenticazione JD Edwards
9.7.1 Panoramica
Per utilizzare i dati JD Edwards con la piattaforma BI, è necessario fornire al sistema le informazioni
relative alla distribuzione. Queste informazioni consentono alla piattaforma BI di autenticare gli utenti
in modo che essi possano utilizzare le credenziali di JD Edwards EnterpriseOne per accedere alla
piattaforma BI.
9.7.2 Abilitazione dell'autenticazione JD Edwards EnterpriseOne
Per fare in modo che nella piattaforma BI vengano utilizzate le informazioni di JD Edwards EnterpiseOne,
è necessario configurare l'applicazione per l'autenticazione nel sistema JD Edwards EnterpriseOne.
356
2013-09-19
Autenticazione
9.7.2.1 Abilitazione dell'autenticazione JD Edwards nella piattaforma BI
1. Eseguire l'accesso alla console CMC (Central Management Console) come amministratore.
2. Fare clic su Autenticazione nell'area Gestisci.
3. Fare doppio clic su JD Edwards EnterpriseOne.
Viene visualizzata la pagina "JD Edwards EnterpriseOne".
4. Nella scheda Opzioni selezionare la casella di controllo Abilita autenticazione JD Edwards
EnterpriseOne.
5. Apportare le modifiche appropriate in Nuovo alias, Opzioni di aggiornamento e Nuove opzioni
utente a seconda della distribuzione della piattaforma BI. Fare clic su Aggiorna per salvare le
modifiche prima di passare alla scheda Sistemi.
6. Fare clic sulla scheda Server.
7. Copiare jdeutil.jar, kernel.jar e log4j.jar dall'installazione di JD Edwards in questi
percorsi (in Windows): <DIRINSTALLAZ>\SAP BusinessObjects Enterprise XI
4.0\java\lib\jdedwards\default\jdedwards\ e <DIRINSTALLAZ>\Tomcat\lib\.
8. Riavviare Tomcat e Server Intelligence Agent.
9. Nell'area "Utente di sistema JD Edwards EnterpriseOne" digitare un nome utente e una password
per la piattaforma BI da utilizzare per accedere al database JD Edwards EnterpriseOne.
10. Nell'area "Dominio JD Edwards EnterpriseOne" immettere il nome, l'host e la porta utilizzati per la
connessione all'ambiente JD Edwards EnterpriseOne, immettere un nome per l'ambiente e fare clic
su Aggiungi.
11. Fare clic su Aggiorna per salvare le modifiche.
9.7.3 Mappatura dei ruoli JD Edwards EnterpriseOne alla piattaforma BI
La piattaforma BI crea automaticamente un gruppo per ogni ruolo JD Edwards EnterpriseOne mappato.
Crea inoltre alias che rappresentano i membri dei ruoli JD Edwards EnterpriseOne mappati.
È possibile creare un account utente per ogni alias creato.
Tuttavia, se si utilizzano più sistemi e gli utenti dispongono di account su più di un sistema, è possibile
assegnare a ciascun utente un alias con lo stesso nome prima di creare gli account nella piattaforma
BI.
In questo modo viene ridotto il numero di account creati per lo stesso utente nella piattaforma BI.
Ad esempio, se si utilizza un ambiente di verifica e un ambiente di produzione JD Edwards EnterpriseOne
e 30 utenti possono accedere ad entrambi gli ambienti, per tali utenti verranno creati solo 30 account.
357
2013-09-19
Autenticazione
Se si decide di non assegnare un alias con lo stesso nome a ciascun utente, verranno creati 60 account
per i 30 utenti nella piattaforma BI.
Tuttavia, se vengono eseguiti più sistemi e i nomi utente coincidono, è necessario creare un nuovo
account del membro per ciascun alias creato.
Ad esempio, se si utilizza l'ambiente di verifica con l'account utente di Roberto Antinori (nome utente
"rantinori") e l'ambiente di produzione con l'account utente di Renato Antinori (nome utente " rantinori
"), è necessario creare un account diverso per ogni alias dell'utente. In caso contrario, i due utenti
verranno aggiunti allo stesso account della piattaforma BI e non potranno accedere alla piattaforma BI
con le proprie credenziali JD Edwards EnterpriseOne.
9.7.3.1 Mappatura di un ruolo JD Edwards EnterpriseOne
1. Eseguire l'accesso alla console CMC (Central Management Console) come amministratore.
2. Fare clic su "Autenticazione" nell'area Gestisci.
3. Fare doppio clic su JD Edwards EnterpriseOne.
4. Nell'area Nuove opzioni di alias, selezionare una delle seguenti opzioni:
•
Assegna ogni alias aggiunto a un account con lo stesso nome
Selezionare questa opzione se si utilizzano più sistemi JD Edwards EnterpriseOne Enterprise
con utenti che dispongono di account su più sistemi (due utenti non possono avere lo stesso
nome utente per sistemi diversi).
•
Crea un nuovo account per ogni alias aggiunto
Selezionare questa opzione se si utilizza solo un sistema JD Edwards EnterpriseOne, se la
maggior parte degli utenti dispone di account su uno solo dei sistemi utilizzati oppure se i nomi
utente di diversi utenti coincidono su due o più dei sistemi in esecuzione.
5. Nell'area Opzioni di aggiornamento, selezionare una delle seguenti opzioni:
•
Nuovi alias verranno aggiunti e nuovi utenti verranno creati
Selezionare questa opzione per creare un nuovo alias per ciascun utente mappato nella
piattaforma BI. Se è stata selezionata l'opzione Crea nuovo account per ogni alias aggiunto,
verranno aggiunti nuovi account per gli utenti senza account della piattaforma BI o per tutti gli
utenti.
•
Non verranno aggiunti nuovi alias e non verranno creati nuovi utenti
Selezionare questa opzione se il ruolo che si desidera mappare contiene molti utenti, ma solo
una parte di essi utilizzerà la piattaforma BI. Il sistema non crea automaticamente gli alias e gli
account per gli utenti. Crea invece alias (e account, se necessario) solo per utenti che accedono
alla piattaforma BI per la prima volta. Si tratta dell'opzione predefinita.
6. Nell'area Nuove opzioni utente specificare la modalità di creazione dei nuovi utenti.
Selezionare una delle seguenti opzioni:
358
2013-09-19
Autenticazione
•
I nuovi utenti vengono creati come utenti specifici.
I nuovi account utente verranno configurati per utilizzare licenze utente designato. Le licenze
utente designato sono associate a utenti specifici e consentono di accedere al sistema in base
a nome utente e password. Ciò garantisce agli utenti specifici l’accesso al sistema a prescindere
dal numero delle altre persone connesse. È necessario disporre di una licenza utente designato
per ciascun account utente creato utilizzando questa opzione.
•
I nuovi utenti vengono creati come utenti simultanei.
I nuovi account utente verranno configurati per utilizzare licenze utente simultaneo. Le licenze
di accesso simultaneo specificano il numero di persone che possono connettersi alla piattaforma
BI contemporaneamente. Questo tipo di licenza è estremamente flessibile, poiché una licenza
di accesso simultaneo di dimensioni ridotte può supportare un'ampia base di utenti. Ad esempio,
in base alla frequenza e alla durata dell'accesso alla piattaforma BI, una licenza di accesso
simultaneo per 100 utenti può supportare 250, 500 o 700 utenti.
I ruoli selezionati vengono ora vengono visualizzati come gruppi nella piattaforma BI.
7. Fare clic sulla scheda Ruoli.
8. In Elenco domini selezionare il server JD Edwards che contiene i ruoli da mappare.
9. In "Ruoli disponibili" selezionare i ruoli da mappare alla piattaforma BI e fare clic su <.
10. Fare clic su Aggiorna.
I ruoli verranno mappati nella piattaforma BI.
9.7.3.2 Considerazioni sulla rimappatura
Se si aggiungono utenti a un ruolo che è stato già mappato nella piattaforma BI, sarà necessario
rimappare il ruolo per aggiungere gli utenti alla piattaforma BI. Quando si rimappa il ruolo, l'opzione
relativa alla mappatura di utenti come utenti titolari o simultanei riguarda solamente i nuovi utenti che
sono stati aggiunti al ruolo.
Ad esempio, prima si mappa un ruolo nella piattaforma BI selezionando l'opzione "I nuovi utenti vengono
creati come utenti specifici", quindi si aggiungono gli utenti allo stesso ruolo e si rimappa il ruolo
selezionando l'opzione "I nuovi utenti vengono creati come utenti simultanei".
In questa situazione, solo i nuovi utenti del ruolo vengono mappati nella piattaforma BI come utenti
simultanei; gli utenti mappati in precedenza rimangono utenti specifici. Questo avviene anche quando
gli utenti vengono prima mappati come simultanei e, in seguito, vengono modificate le impostazioni per
rimappare i nuovi utenti come utenti designati.
9.7.3.3 Per eliminare la mappatura di un ruolo
359
2013-09-19
Autenticazione
1. Eseguire l'accesso alla console CMC (Central Management Console) come amministratore.
2. Fare clic su "Autenticazione" nell'area Gestisci.
3. Fare clic sulla scheda relativa a JD Edwards EnterpriseOne.
4. Nell'area "Ruoli", selezionare il ruolo che si desidera rimuovere e fare clic su <.
5. Fare clic su Aggiorna.
I membri del ruolo non saranno più in grado di accedere alla piattaforma BI finché non disporranno
di altri account o alias.
Nota:
è inoltre possibile eliminare singoli account o rimuovere gli utenti dai ruoli prima di eseguire la
mappatura nella piattaforma BI, impedendo così l'accesso a determinati utenti.
9.7.4 Pianificazione degli aggiornamenti utente
Per garantire che le modifiche ai dati utente per il sistema ERP vengano riportate nei dati utente della
piattaforma BI, è possibile pianificare aggiornamenti utente regolari. Questi aggiornamenti
sincronizzeranno automaticamente gli utenti ERP e la piattaforma BI in base alle impostazioni delle
mappature configurate nella CMC (Central Management Console).
Sono disponibili due opzioni per l'esecuzione e la pianificazione degli aggiornamenti per i ruoli importati:
•
•
Aggiorna solo ruoli: l'uso di questa opzione determina l'aggiornamento dei soli collegamenti tra i
ruoli attualmente mappati importati nella piattaforma BI. Utilizzare questa opzione se si prevede di
eseguire aggiornamenti frequenti e si desidera evitare problemi di utilizzo delle risorse di sistema.
Se si aggiornano solo i ruoli, non vengono creati nuovi account utente.
Aggiorna ruoli e alias: questa opzione determina non solo l'aggiornamento dei collegamenti tra i
ruoli, ma anche la creazione di nuovi account utente nella piattaforma BI per i nuovi alias utente
aggiunti al sistema ERP.
Nota:
se non è stata specificata la creazione automatica degli alias utente per gli aggiornamenti quando è
stata abilitata l'autenticazione, non verranno creati account per i nuovi alias.
9.7.4.1 Pianificazione degli aggiornamenti utente
Una volta mappati i ruoli nella piattaforma BI, è necessario specificare in che modo vengono aggiornati
dal sistema.
1. Fare clic sulla scheda Aggiornamento utente.
2. Fare clic su Pianifica nella sezione "Aggiorna solo ruoli" o "Aggiorna ruoli e alias".
360
2013-09-19
Autenticazione
Suggerimento:
se si desidera eseguire immediatamente un aggiornamento, fare clic su Aggiorna ora.
Suggerimento:
utilizzare l'opzione "Aggiorna solo ruoli" se si desidera eseguire aggiornamenti frequenti e si verificano
problemi con le risorse di sistema. Il sistema impiega più tempo per aggiornare sia i ruoli che gli
alias.
Viene visualizzata la finestra di dialogo "Ricorrenza".
3. Selezionare un'opzione nell'elenco "Esegui oggetto" e fornire tutte le informazioni richieste relative
alla pianificazione.
Quando si pianifica un aggiornamento, è possibile scegliere tra gli schemi ricorrenti nella seguente
tabella.
361
Criterio di ricorrenza
Descrizione
Ogni ora
L'aggiornamento verrà eseguito ogni ora. È possibile specificare
l'ora di inizio nonché una data di inizio e di fine.
Giornaliero
L'aggiornamento verrà eseguito ogni giorno oppure dopo il
numero di giorni specificato. È possibile specificare l'ora in cui
verrà eseguito nonché una data di inizio e di fine.
Settimanale
L'aggiornamento verrà eseguito ogni settimana. e può essere
eseguito una o più volte a settimana È possibile specificare in
quali giorni e a che ora verrà eseguito nonché una data di inizio
e di fine.
Mensile
L'aggiornamento verrà eseguito ogni mese oppure dopo il numero di mesi specificato. È possibile specificare l'ora in cui
verrà eseguito nonché una data di inizio e di fine.
Il N° giorno del mese
L'aggiornamento verrà eseguito in un giorno specifico del mese.
È possibile specificare in quale giorno del mese e a che ora
verrà eseguito nonché una data di inizio e di fine.
Il primo lunedì del mese
L'aggiornamento verrà eseguito il primo lunedì di ogni mese.
È possibile specificare l'ora in cui verrà eseguito nonché una
data di inizio e di fine.
Ultimo giorno del mese
L'aggiornamento verrà eseguito l'ultimo giorno di ogni mese.
È possibile specificare l'ora in cui verrà eseguito nonché una
data di inizio e di fine.
Giorno X della N° settimana del
mese
L'aggiornamento verrà eseguito in un giorno specifico di una
settimana specifica del mese. È possibile specificare l'ora in
cui verrà eseguito nonché una data di inizio e di fine.
Calendario
L'aggiornamento verrà eseguito nelle date specificate all'interno
di un calendario creato in precedenza.
2013-09-19
Autenticazione
4. Fare clic su Pianifica dopo aver completato l'inserimento delle informazioni sulla pianificazione.
Nella scheda Aggiornamento utente viene visualizzata la data del successivo ruolo pianificato.
Nota:
è sempre possibile annullare il successivo aggiornamento pianificato facendo clic su Annulla
aggiornamenti pianificati nella sezione "Aggiorna solo ruoli" o "Aggiorna ruoli e alias".
9.8 Autenticazione Siebel
9.8.1 Abilitazione dell'autenticazione Siebel
Per fare in modo che nella piattaforma BI vengano utilizzate le informazioni di Siebel, è necessario
configurare la piattaforma per l'autenticazione nel sistema Siebel.
9.8.1.1 Abilitazione dell'autenticazione Siebel nella piattaforma BI
1. Eseguire l'accesso alla console CMC (Central Management Console) come amministratore.
2. Fare clic su Autenticazione nell'area Gestisci.
3. Fare doppio clic su Siebel.
Viene visualizzata la pagina "Siebel". Nella pagina sono presenti quattro schede: Opzioni, Sistemi,
Responsabilità e Aggiornamento utente.
4. Nella scheda Opzioni selezionare la casella di controllo Abilita autenticazione Siebel.
5. Apportare le modifiche appropriate in Nuovo alias, Opzioni di aggiornamento e Nuove opzioni
utente a seconda della distribuzione della piattaforma BI. Fare clic su Aggiorna per salvare le
modifiche prima di passare alla scheda Sistemi.
6. Fare clic sulla scheda Domini.
7. Nel campo Nome dominio immettere il nome del dominio del sistema Siebel con cui si desidera
stabilire la connessione.
8. In Connessione immettere la stringa di connessione per il dominio in questione.
9. Nell'area Nome utente digitare un nome utente di database e una password per la piattaforma BI
da utilizzare per accedere al database Siebel.
10. Nell'area Password immettere la password per l'utente selezionato.
11. Fare clic su Aggiungi per aggiungere le informazioni relative al sistema all'elenco "Domini correnti".
362
2013-09-19
Autenticazione
12. Fare clic su Aggiorna per salvare le modifiche.
9.8.2 Mappatura di ruoli alla piattaforma BI
La piattaforma BI crea automaticamente un gruppo per ogni ruolo Siebel mappato. Crea inoltre alias
che rappresentano i membri dei ruoli Siebel mappati.
È possibile creare un account utente per ogni alias creato.
Tuttavia, se si utilizzano più sistemi e gli utenti dispongono di account su più di un sistema, è possibile
assegnare a ciascun utente un alias con lo stesso nome prima di creare gli account nella piattaforma
BI.
In questo modo, viene ridotto il numero degli account creati per lo stesso utente nel programma.
Ad esempio, se si utilizza un ambiente di verifica e un ambiente di produzione eBusiness Siebel e 30
utenti possono accedere ad entrambi gli ambienti, per tali utenti verranno creati solo 30 account. Se si
decide di non assegnare un alias con lo stesso nome a ciascun utente, verranno creati 60 account per
i 30 utenti nella piattaforma BI.
Tuttavia, se vengono eseguiti più sistemi e i nomi utente coincidono, è necessario creare un nuovo
account del membro per ciascun alias creato.
Ad esempio, se si utilizza l'ambiente di verifica con l'account utente di Roberto Antinori (nome utente
"rantinori") e l'ambiente di produzione con l'account utente di Renato Antinori (nome utente " rantinori
"), è necessario creare un account diverso per ogni alias dell'utente. In caso contrario, i due utenti
verranno aggiunti allo stesso account e non potranno accedere alla piattaforma BI con le proprie
credenziali Siebel eBusiness.
9.8.2.1 Mappatura di un ruolo Siebel eBusiness alla piattaforma BI
1. Eseguire l'accesso alla CMC (Central Management Console) come amministratore.
2. Fare clic su Autenticazione.
3. Fare doppio clic su Siebel.
4. Selezionare la casella di controllo Abilita autenticazione Siebel.
5. Nell'area Nuove opzioni di alias, selezionare una delle seguenti opzioni:
•
Assegna ogni alias aggiunto a un account con lo stesso nome
Selezionare questa opzione se si utilizzano più sistemi Siebel eBusiness con utenti che dispongono
di account in più sistemi (due utenti non possono avere lo stesso nome utente per sistemi diversi).
•
363
Crea un nuovo account per ogni alias aggiunto
2013-09-19
Autenticazione
Selezionare questa opzione se si utilizza solo un sistema Siebel eBusiness, se la maggior parte
degli utenti dispone di account su uno solo dei sistemi utilizzati oppure se i nomi utente di diversi
utenti coincidono su due o più dei sistemi in uso.
6. Nell'area Opzioni di aggiornamento alias selezionare una delle opzioni seguenti:
•
Crea nuovi alias all'aggiornamento dell'alias
Selezionare questa opzione per creare un nuovo alias per ciascun utente mappato nella
piattaforma BI. Se è stata selezionata l'opzione Crea nuovo account per ogni alias aggiunto,
verranno aggiunti nuovi account per gli utenti senza account della piattaforma BI o per tutti gli
utenti.
•
Crea nuovi alias solo all'accesso dell'utente
Selezionare questa opzione se il ruolo che si desidera mappare contiene molti utenti, ma solo
una parte di essi utilizzerà la piattaforma BI. Il programma non crea automaticamente gli alias e
gli account per gli utenti. Crea invece alias (e account, se necessario) solo per utenti che accedono
alla piattaforma BI per la prima volta. Si tratta dell'opzione predefinita.
7. Nell'area Nuove opzioni utente specificare la modalità di creazione dei nuovi utenti.
Se la licenza della piattaforma BI di cui si dispone si basa sui ruoli utente, selezionare una delle
opzioni seguenti:
Selezionare una delle seguenti opzioni:
•
I nuovi utenti vengono creati come utenti designati
I nuovi account utente verranno configurati per utilizzare licenze utente designato. Le licenze
utente designato sono associate a utenti specifici e consentono di accedere al sistema in base
a nome utente e password. Ciò garantisce agli utenti specifici l’accesso al sistema a prescindere
dal numero delle altre persone connesse. È necessario disporre di una licenza utente designato
per ciascun account utente creato utilizzando questa opzione.
•
I nuovi utenti vengono creati come utenti simultanei
I nuovi account utente verranno configurati per utilizzare licenze utente simultaneo. Le licenze
di accesso simultaneo specificano il numero di persone che possono connettersi alla piattaforma
BI contemporaneamente. Questo tipo di licenza è estremamente flessibile, poiché una licenza
di accesso simultaneo di dimensioni ridotte può supportare un'ampia base di utenti. Ad esempio,
in base alla frequenza e alla durata dell'accesso alla piattaforma BI, una licenza di accesso
simultaneo per 100 utenti può supportare 250, 500 o 700 utenti.
8. Fare clic sulla scheda Ruoli.
9. Selezionare il dominio che corrisponde al server Siebel per il quale si desidera mappare i ruoli.
10. In "Ruoli disponibili" selezionare i ruoli da mappare e fare clic su >.
Nota:
•
•
364
se i ruoli sono molto numerosi, è possibile utilizzare il campo Cerca ruoli che iniziano con: per
limitare la ricerca. Immettere i caratteri iniziali del ruolo o dei ruoli seguiti dal carattere jolly (%)
e fare clic su Cerca.
Per consentire il corretto funzionamento della funzionalità di ricerca, è necessario che sia distribuito
un file jar di plug-in nella directory lib Tomcat: DIRINSTALLAZ\tomcat\webapps\BOE\WEB-
2013-09-19
Autenticazione
INF\lib e in DIRINSTALLAZ\SAP BusinessObjects Enterprise XI
4.0\java\lib\siebel\default\siebel. Riavviare quindi il server Tomcat e Server
Intelligence Agent.
11. Fare clic su Aggiorna.
I ruoli verranno mappati nella piattaforma BI.
9.8.2.2 Considerazioni sulla rimappatura
Per attivare la sincronizzazione di utenti e gruppi tra la piattaforma BI e Siebel, selezionare la casella
di controllo Imponi sincronizzazione dell'utente.
Nota:
per selezionare Imponi sincronizzazione utente, è necessario selezionare prima Verranno aggiunti
nuovi alias e verranno creati nuovi utenti.
Quando si rimappa il ruolo, l'opzione relativa alla mappatura di utenti come utenti titolari o simultanei
riguarda solamente i nuovi utenti che sono stati aggiunti al ruolo.
Ad esempio, prima si mappa un ruolo nella piattaforma BI selezionando l'opzione "I nuovi utenti vengono
creati come utenti specifici", quindi si aggiungono gli utenti allo stesso ruolo e si rimappa il ruolo
selezionando l'opzione "I nuovi utenti vengono creati come utenti simultanei".
In questa situazione, solo i nuovi utenti del ruolo vengono mappati nella piattaforma BI come utenti
simultanei; gli utenti mappati in precedenza rimangono utenti specifici. Questo avviene anche quando
gli utenti vengono prima mappati come simultanei e, in seguito, vengono modificate le impostazioni per
rimappare i nuovi utenti come utenti designati.
9.8.2.3 Per eliminare la mappatura di un ruolo
1. Eseguire l'accesso alla console CMC (Central Management Console) come amministratore.
2. Fare clic su "Autenticazione" nell'area Gestisci.
3. Fare doppio clic su Siebel.
4. Nella scheda Dominio selezionare il dominio Siebel corrispondente al ruolo o i ruoli per il quale si
desidera annullare la mappatura.
5. Nella scheda Ruoli selezionare il ruolo che si desidera rimuovere e fare clic su <.
6. Fare clic su Aggiorna.
I membri della responsabilità non saranno più in grado di accedere alla piattaforma BI finché non
disporranno di altri account o alias.
365
2013-09-19
Autenticazione
Nota:
è inoltre possibile eliminare singoli account o rimuovere gli utenti dai ruoli prima di eseguire la
mappatura nella piattaforma BI, impedendo così l'accesso a determinati utenti.
9.8.3 Pianificazione degli aggiornamenti utente
Per garantire che le modifiche ai dati utente per il sistema ERP vengano riportate nei dati utente della
piattaforma BI, è possibile pianificare aggiornamenti utente regolari. Questi aggiornamenti
sincronizzeranno automaticamente gli utenti ERP e la piattaforma BI in base alle impostazioni delle
mappature configurate nella CMC (Central Management Console).
Sono disponibili due opzioni per l'esecuzione e la pianificazione degli aggiornamenti per i ruoli importati:
•
•
Aggiorna solo ruoli: l'uso di questa opzione determina l'aggiornamento dei soli collegamenti tra i
ruoli attualmente mappati importati nella piattaforma BI. Utilizzare questa opzione se si prevede di
eseguire aggiornamenti frequenti e si desidera evitare problemi di utilizzo delle risorse di sistema.
Se si aggiornano solo i ruoli, non vengono creati nuovi account utente.
Aggiorna ruoli e alias: questa opzione determina non solo l'aggiornamento dei collegamenti tra i
ruoli, ma anche la creazione di nuovi account utente nella piattaforma BI per i nuovi alias utente
aggiunti al sistema ERP.
Nota:
se non è stata specificata la creazione automatica degli alias utente per gli aggiornamenti quando è
stata abilitata l'autenticazione, non verranno creati account per i nuovi alias.
9.8.3.1 Pianificazione degli aggiornamenti utente
Una volta mappati i ruoli nella piattaforma BI, è necessario specificare in che modo vengono aggiornati
dal sistema.
1. Fare clic sulla scheda Aggiornamento utente.
2. Fare clic su Pianifica nella sezione "Aggiorna solo ruoli" o "Aggiorna ruoli e alias".
Suggerimento:
se si desidera eseguire immediatamente un aggiornamento, fare clic su Aggiorna ora.
Suggerimento:
utilizzare l'opzione "Aggiorna solo ruoli" se si desidera eseguire aggiornamenti frequenti e si verificano
problemi con le risorse di sistema. Il sistema impiega più tempo per aggiornare sia i ruoli che gli
alias.
Viene visualizzata la finestra di dialogo "Ricorrenza".
366
2013-09-19
Autenticazione
3. Selezionare un'opzione nell'elenco "Esegui oggetto" e fornire tutte le informazioni richieste relative
alla pianificazione.
Quando si pianifica un aggiornamento, è possibile scegliere tra gli schemi ricorrenti nella seguente
tabella.
Criterio di ricorrenza
Descrizione
Ogni ora
L'aggiornamento verrà eseguito ogni ora. È possibile specificare
l'ora di inizio nonché una data di inizio e di fine.
Giornaliero
L'aggiornamento verrà eseguito ogni giorno oppure dopo il
numero di giorni specificato. È possibile specificare l'ora in cui
verrà eseguito nonché una data di inizio e di fine.
Settimanale
L'aggiornamento verrà eseguito ogni settimana. e può essere
eseguito una o più volte a settimana È possibile specificare in
quali giorni e a che ora verrà eseguito nonché una data di inizio
e di fine.
Mensile
L'aggiornamento verrà eseguito ogni mese oppure dopo il numero di mesi specificato. È possibile specificare l'ora in cui
verrà eseguito nonché una data di inizio e di fine.
Il N° giorno del mese
L'aggiornamento verrà eseguito in un giorno specifico del mese.
È possibile specificare in quale giorno del mese e a che ora
verrà eseguito nonché una data di inizio e di fine.
Il primo lunedì del mese
L'aggiornamento verrà eseguito il primo lunedì di ogni mese.
È possibile specificare l'ora in cui verrà eseguito nonché una
data di inizio e di fine.
Ultimo giorno del mese
L'aggiornamento verrà eseguito l'ultimo giorno di ogni mese.
È possibile specificare l'ora in cui verrà eseguito nonché una
data di inizio e di fine.
Giorno X della N° settimana del
mese
L'aggiornamento verrà eseguito in un giorno specifico di una
settimana specifica del mese. È possibile specificare l'ora in
cui verrà eseguito nonché una data di inizio e di fine.
Calendario
L'aggiornamento verrà eseguito nelle date specificate all'interno
di un calendario creato in precedenza.
4. Fare clic su Pianifica dopo aver completato l'inserimento delle informazioni sulla pianificazione.
Nella scheda Aggiornamento utente viene visualizzata la data del successivo ruolo pianificato.
Nota:
è sempre possibile annullare il successivo aggiornamento pianificato facendo clic su Annulla
aggiornamenti pianificati nella sezione "Aggiorna solo ruoli" o "Aggiorna ruoli e alias".
367
2013-09-19
Autenticazione
9.9 Autenticazione Oracle EBS
9.9.1 Abilitazione dell'autenticazione Oracle EBS
Per fare in modo che nella piattaforma BI vengano utilizzate le informazioni di Oracle EBS, è necessario
configurare il sistema per l'autenticazione nel sistema Oracle EBS.
9.9.1.1 Abilitazione dell'autenticazione Oracle E-Business Suite
Prima di eseguire la procedura, è necessario distribuire i file DLL Oracle e JAR nella piattaforma BI:
1. Scaricare ojdbc11.dll dall'applicazione client del database Oracle.
2. Copiare il file in questa posizione:
• Windows: <DIRINSTALLAZ>\SAP BusinessObjects Enterprise XI 4.0\win64_x64
• UNIX: <DIRINSTALLAZ>/sap_bobj/enterprise_xi40/platform
3. Scaricare ojdbc5.jar dall'applicazione client del database Oracle.
4. Copiare il file in questa posizione:
• Windows: <DIRINSTALLAZ>\Tomcat\lib
• UNIX: <DIRINSTALLAZ>/sap_bobj/tomcat/lib
1. Eseguire l'accesso alla console CMC (Central Management Console) come amministratore.
2. Fare clic su Autenticazione nell'area Gestisci.
3. Fare clic su Oracle EBS.
Viene visualizzata la pagina "Oracle EBS". Nella pagina sono presenti quattro schede: Opzioni,
Sistemi, Responsabilità e Aggiornamento utente.
4. Nella scheda Opzioni, selezionare la casella di controllo L'autenticazione Oracle EBS è abilitata.
5. Apportare le modifiche appropriate in Nuovo alias, Opzioni di aggiornamento e Nuove opzioni
utente a seconda della distribuzione della piattaforma BI. Fare clic su Aggiorna per salvare le
modifiche prima di passare alla scheda Sistemi.
6. Fare clic sulla scheda Sistemi.
7. Nell'area "Utente di sistema Oracle EBS" digitare un nome utente di database e una password per
la piattaforma BI da utilizzare per accedere al database Oracle E-Business Suite.
8. Nell'area "Servizi Oracle EBS ", immettere il nome del servizio utilizzato dall'ambiente Oracle EBS
e fare clic su Aggiungi.
368
2013-09-19
Autenticazione
9. Fare clic su Aggiorna per salvare le modifiche.
A questo punto è necessario mappare i ruoli Oracle EBS al sistema.
Argomenti correlati
• Mappatura di ruoli Oracle E-Business Suite
9.9.2 Mappatura dei ruoli Oracle E-Business Suite alla piattaforma BI
La piattaforma BI crea automaticamente un gruppo per ciascun ruolo Oracle E-Business Suite (EBS)
mappato. Il sistema crea anche alias che rappresentano i membri dei ruoli Oracle E-Business Suite
mappati.
È possibile creare un account utente per ogni alias creato. Tuttavia, se si utilizzano più sistemi e gli
utenti dispongono di account su più di un sistema, è possibile assegnare a ciascun utente un alias con
lo stesso nome prima di creare gli account nella piattaforma BI.
In questo modo viene ridotto il numero degli account creati per lo stesso utente nel sistema.
Ad esempio, se si utilizza un ambiente di verifica e un ambiente di produzione EBS e 30 utenti possono
accedere ad entrambi gli ambienti, per tali utenti verranno creati solo 30 account. Se si decide di non
assegnare un alias con lo stesso nome a ciascun utente, verranno creati 60 account per i 30 utenti
nella piattaforma BI.
Tuttavia, se vengono eseguiti più sistemi e i nomi utente coincidono, è necessario creare un nuovo
account del membro per ciascun alias creato.
Ad esempio, se si utilizza l'ambiente di verifica con l'account utente di Roberto Antinori (nome utente
"rantinori") e l'ambiente di produzione con l'account utente di Renato Antinori (nome utente " rantinori
"), è necessario creare un account diverso per ogni alias dell'utente. In caso contrario, i due utenti
verranno aggiunti allo stesso account della piattaforma BI, potranno accedere al sistema con le proprie
credenziali Oracle EBS e avranno accesso ai dati da entrambi i sistemi EBS.
9.9.2.1 Mappatura di ruoli Oracle E-Business Suite
1. Eseguire l'accesso alla console CMC (Central Management Console) come amministratore.
2. Fare clic su Autenticazione nell'area Gestisci.
3. Fare clic su Oracle EBS.
Nella pagina "Oracle EBS" viene visualizzata la scheda Opzioni.
4. Nell'area "Nuove opzioni di alias", selezionare una delle seguenti opzioni:
• Assegna ciascun alias Oracle EBS aggiunto a un account con lo stesso nome
369
2013-09-19
Autenticazione
Selezionare questa opzione se si utilizzano più sistemi Oracle E-Business Suite con utenti che
dispongono di account in più sistemi (e se non ci sono utenti che utilizzano lo stesso nome utente
per sistemi diversi).
•
Crea un nuovo account per ciascun alias Oracle EBS aggiunto
Selezionare questa opzione se si utilizza solo un sistema Oracle E-Business Suite, se la maggior
parte degli utenti dispone di account in uno solo dei sistemi utilizzati oppure se i nomi utente di
diversi utenti coincidono in due o più dei sistemi in uso.
5. Nell'area "Opzioni di aggiornamento", selezionare una delle seguenti opzioni:
• Crea nuovi alias all'aggiornamento dell'alias
Selezionare questa opzione per creare un nuovo alias per ciascun utente mappato nella
piattaforma BI. Se è stata selezionata l'opzione Crea un nuovo account per ciascun alias
Oracle EBS aggiunto, verranno aggiunti nuovi account per gli utenti senza account della
piattaforma BI o per tutti gli utenti.
•
Crea nuovi alias solo all'accesso dell'utente
Selezionare questa opzione se il ruolo che si desidera mappare contiene molti utenti, ma solo
una parte di essi utilizzerà la piattaforma BI. La piattaforma non crea automaticamente gli alias
e gli account per gli utenti. Crea invece alias (e account, se necessario) solo per utenti che
accedono alla piattaforma BI per la prima volta. Si tratta dell'opzione predefinita.
6. In "Nuove opzioni utente" specificare la modalità di creazione dei nuovi utenti, quindi fare clic su
Aggiorna.
Selezionare una delle seguenti opzioni:
•
I nuovi utenti vengono creati come utenti specifici.
I nuovi account utente verranno configurati per utilizzare licenze utente designato. Le licenze
utente designato sono associate a utenti specifici e consentono di accedere al sistema in base
a nome utente e password. Ciò garantisce agli utenti specifici l’accesso al sistema a prescindere
dal numero delle altre persone connesse. È necessario disporre di una licenza utente designato
per ciascun account utente creato utilizzando questa opzione.
•
I nuovi utenti vengono creati come utenti simultanei.
I nuovi account utente verranno configurati per utilizzare licenze utente simultaneo. Le licenze
di accesso simultaneo specificano il numero di persone che possono connettersi alla piattaforma
BI contemporaneamente. Questo tipo di licenza è estremamente flessibile, poiché una licenza
di accesso simultaneo di dimensioni ridotte può supportare un'ampia base di utenti. A seconda
della frequenza e della durata dell'accesso alla piattaforma, una licenza di accesso simultaneo
per 100 utenti può ad esempio supportare 250, 500 o 700 utenti.
I ruoli selezionati vengono ora vengono visualizzati come gruppi nella piattaforma BI.
7. Fare clic sulla scheda Responsabilità.
8. In Servizi Oracle EBS correnti, selezionare il servizio Oracle EBS che contiene i ruoli da mappare.
9. È possibile specificare i filtri per gli utenti Oracle EBS in "Ruoli Oracle EBS mappati".
370
2013-09-19
Autenticazione
a. Selezionare le applicazioni che gli utenti possono utilizzare per il nuovo ruolo dall'elenco
Applicazione.
b. Nell'elenco Responsabilità, selezionare le applicazioni, le funzioni, i report e i programmi
simultanei Oracle che gli utenti possono utilizzare.
c. Nell'elenco Gruppo di protezione selezionare il gruppo di protezione a cui è assegnato il nuovo
ruolo.
d. Utilizzare i pulsanti Aggiungi ed Elimina in "Ruolo corrente" per modificare le assegnazioni del
gruppo di protezione del ruolo.
10. Fare clic su Aggiorna.
I ruoli verranno mappati nella piattaforma BI.
Una volta mappati i ruoli nella piattaforma BI, è necessario specificare in che modo vengono aggiornati
dal sistema.
9.9.2.1.1 Aggiornamento degli utenti e dei ruoli Oracle EBS
Dopo aver abilitato l'autenticazione Oracle EBS, è necessario pianificare ed eseguire aggiornamenti
regolari sui ruoli mappati importati nella piattaforma BI. In questo modo le informazioni sui ruoli Oracle
EBS aggiornate verranno riportate con precisione nella piattaforma BI.
Sono disponibili due opzioni per l'esecuzione e la pianificazione degli aggiornamenti per i ruoli Oracle
EBS:
•
•
Aggiorna solo ruoli: l'uso di questa opzione determina l'aggiornamento dei soli collegamenti tra i
ruoli attualmente mappati importati nella piattaforma BI. Si consiglia di utilizzare questa opzione se
si prevede di eseguire aggiornamenti frequenti e si verificano problemi relativi all'utilizzo delle risorse
di sistema. Se si aggiornano solo ruoli Oracle EBS, non vengono creati nuovi account utente.
Aggiorna ruoli e alias: questa opzione determina non solo l'aggiornamento dei collegamenti tra i
ruoli, ma anche la creazione di nuovi account utente nella piattaforma BI per gli alias utente aggiunti
ai ruoli nel sistema Oracle EBS.
Nota:
se non è stata specificata la creazione automatica degli alias utente per gli aggiornamenti quando è
stata abilitata l'autenticazione Oracle EBS, non verranno creati account per i nuovi alias.
9.9.2.1.2 Pianificazione degli aggiornamenti per i ruoli Oracle EBS
Una volta mappati i ruoli nella piattaforma BI, è necessario specificare in che modo vengono aggiornati
dal sistema.
1. Fare clic sulla scheda Aggiornamento utente.
2. Fare clic su Pianifica nella sezione "Aggiorna solo ruoli" o "Aggiorna ruoli e alias".
Suggerimento:
Se si desidera eseguire immediatamente un aggiornamento, fare clic su Aggiorna ora.
Suggerimento:
Utilizzare l'opzione "Aggiorna solo ruoli" se si desidera eseguire aggiornamenti frequenti e si verificano
problemi con le risorse di sistema. Il sistema impiega più tempo per aggiornare sia i ruoli che gli
alias.
371
2013-09-19
Autenticazione
Viene visualizzata la finestra di dialogo "Ricorrenza".
3. Selezionare un'opzione dall'elenco a discesa "Esegui oggetto" e fornire tutte le informazioni richieste
relative alla pianificazione nei campi disponibili.
Quando si pianifica un aggiornamento, è possibile scegliere tra gli schemi ricorrenti nella seguente
tabella.
Criterio di ricorrenza
Descrizione
Ogni ora
L'aggiornamento verrà eseguito ogni ora. È possibile specificare
l'ora di inizio nonché una data di inizio e di fine.
Giornaliero
L'aggiornamento verrà eseguito ogni giorno oppure dopo il
numero di giorni specificato. È possibile specificare l'ora in cui
verrà eseguito nonché una data di inizio e di fine.
Settimanale
L'aggiornamento verrà eseguito ogni settimana. Può essere
eseguito una o più volte a settimana. È possibile specificare in
quali giorni e a che ora verrà eseguito nonché una data di inizio
e di fine.
Mensile
L'aggiornamento verrà eseguito ogni mese oppure dopo il numero di mesi specificato. È possibile specificare l'ora in cui
verrà eseguito nonché una data di inizio e di fine.
Il N° giorno del mese
L'aggiornamento verrà eseguito in un giorno specifico del mese.
È possibile specificare in quale giorno del mese e a che ora
verrà eseguito nonché una data di inizio e di fine.
Il primo lunedì del mese
L'aggiornamento verrà eseguito il primo lunedì di ogni mese.
È possibile specificare l'ora in cui verrà eseguito nonché una
data di inizio e di fine.
Ultimo giorno del mese
L'aggiornamento verrà eseguito l'ultimo giorno di ogni mese.
È possibile specificare l'ora in cui verrà eseguito nonché una
data di inizio e di fine.
Giorno X della N° settimana del
mese
L'aggiornamento verrà eseguito in un giorno specifico di una
settimana specifica del mese. È possibile specificare l'ora in
cui verrà eseguito nonché una data di inizio e di fine.
Calendario
L'aggiornamento verrà eseguito nelle date specificate all'interno
di un calendario creato in precedenza.
4. Fare clic su Pianifica dopo aver completato l'inserimento delle informazioni sulla pianificazione.
Nella scheda Aggiornamento utente viene visualizzata la data del successivo ruolo pianificato.
Nota:
è sempre possibile annullare il successivo aggiornamento pianificato facendo clic su Annulla
aggiornamenti pianificati nella sezione "Aggiorna solo ruoli" o "Aggiorna ruoli e alias".
372
2013-09-19
Autenticazione
9.9.3 Eliminazione mappatura ruoli
Per impedire a determinati gruppi di utenti di accedere alla piattaforma BI, è possibile eliminare la
mappatura dei ruoli ai quali appartengono.
9.9.3.1 Per eliminare la mappatura di un ruolo
1. Eseguire l'accesso alla console CMC (Central Management Console) come amministratore.
2. Fare clic su Autenticazione nell'area Gestisci.
3. Fare doppio clic sul nome del sistema ERP di cui si desidera annullare la mappatura dei ruoli.
Nella pagina del sistema ERP viene visualizzata la scheda Opzioni.
4. Fare clic sulla scheda Responsabilità.
5. Selezionare Servizi Oracle EBS correnti.
6. In "Ruolo corrente" selezionare un ruolo, quindi fare clic sul pulsante Elimina.
7. Fare clic su Aggiorna.
I membri del ruolo non saranno più in grado di accedere alla piattaforma BI finché non disporranno
di altri account o alias.
Nota:
è inoltre possibile eliminare singoli account o rimuovere gli utenti dai ruoli prima di eseguire la
mappatura nella piattaforma BI, impedendo così l'accesso a determinati utenti.
9.9.4 Personalizzazione dei diritti per gruppi e utenti Oracle EBS mappati
Quando si mappano ruoli alla piattaforma BI, è possibile impostare i diritti o concedere autorizzazioni
per i gruppi e gli utenti creati.
9.9.4.1 Per assegnare i diritti di amministrazione
373
2013-09-19
Autenticazione
Per consentire agli utenti di gestire la piattaforma BI, è necessario renderli membri del gruppo
Amministratori predefinito. I membri di questo gruppo hanno il pieno controllo di tutti gli aspetti del
sistema, quali account, server, cartelle, oggetti, impostazioni e altro ancora.
1. Eseguire l'accesso alla Central Management Console come amministratore.
2. Nell'area "Organizza" fare clic su Utenti e gruppi.
3. Nella colonna "Nome" fare clic con il pulsante destro del mouse suAmministratori e scegliere
Aggiungi membri a gruppi.
Viene visualizzata la pagina "Utenti o gruppi disponibili".
4. Dall'area Elenco utenti o Elenco gruppi, selezionare il ruolo mappato al quale si desidera concedere
diritti amministrativi.
5. Fare clic su > per rendere il ruolo un sottogruppo del gruppo Administrators, quindi fare clic su OK.
I membri del ruolo dispongono ora di diritti di amministrazione nella piattaforma BI.
Nota:
È anche possibile creare un ruolo in Oracle EBS, aggiungere a tale ruolo gli utenti appropriati, mappare
il ruolo nella piattaforma BI e rendere il ruolo mappato un sottogruppo del gruppo Amministratori
predefinito, concedendo così i diritti amministrativi ai membri del ruolo.
9.9.4.2 Per assegnare i diritti di pubblicazione
Se nel sistema utilizzato sono presenti utenti designati come creatori di contenuti all'interno
dell'organizzazione, è possibile concedere loro le autorizzazioni per la pubblicazione di oggetti nella
piattaforma BI.
1. Eseguire l'accesso alla console CMC (Central Management Console) come amministratore.
2. Dall'area "Organizza", fare clic su Cartelle.
3. Accedere alla cartella nella quale gli utenti sono autorizzati ad aggiungere oggetti.
4. Fare clic su Gestisci, Protezione livello principale, quindi su Tutte le cartelle.
5. Fare clic su Aggiungi principali.
Viene visualizzata la finestra Aggiungi principali.
6. Nell'elenco Utenti o gruppi disponibili selezionare il gruppo che include i membri ai quali si desidera
concedere i diritti di pubblicazione.
7. Fare clic su > per consentire ai gruppi di accedere alla cartella, quindi fare clic su Aggiungi e
assegna protezione.
Viene visualizzata la pagina Assegna protezione.
8. Nell'elenco Livelli di accesso disponibili selezionare il livello di accesso desiderato e fare clic su
> per assegnare esplicitamente il livello di accesso.
9. Se le opzioni Eredita da cartella principale ed Eredita da gruppo principale sono selezionate,
deselezionarle e fare clic su Applica.
374
2013-09-19
Autenticazione
10. Fare clic su OK.
I membri dei ruoli dispongono ora delle autorizzazioni per aggiungere oggetti nella cartella e in tutte le
relative sottocartelle. Per rimuovere le autorizzazioni assegnate, selezionare un gruppo e fare clic su
Rimuovi.
9.9.5 Configurazione del Single Sign On (SSO) per SAP Crystal Reports e Oracle EBS
Per impostazione predefinita, la piattaforma BI verrà configurata in modo da consentire agli utenti di
SAP Crystal Reports di accedere ai dati di Oracle EBS mediante il Single Sign On (SSO).
9.9.5.1 Disattivazione di SSO per Oracle EBS e SAP Crystal Reports
1. Nella CMC (Central Management Console), fare clic su Applicazioni.
2. Fare doppio clic su Configurazione di Crystal Reports.
3. Fare clic su Opzioni Single Sign On.
4. Selezionare crdb_oraapps.
5. Fare clic su Rimuovi.
6. Fare clic su Salva e chiudi.
7. Accedere alla pagina "Server" nella CMC e selezionare Servizi Crystal Reports.
8. Fare clic sul pulsante Riavvia server.
9.9.5.2 Riattivazione di SSO per Oracle EBS e SAP Crystal Reports
Seguire la procedura riportata di seguito per riattivare SSO per Oracle EBS e SAP Crystal Reports.
1. Nella CMC (Central Management Console) fare clic su Applicazioni.
2. Fare doppio clic su Configurazione di Crystal Reports.
3. Fare clic su Opzioni Single Sign On.
4. In "Utilizza il contesto SSO per accedere al database con i driver seguenti" digitare crdb_oraapps.
5. Fare clic su Aggiungi.
6. Fare clic su Salva e chiudi.
7. Accedere alla pagina "Server" nella CMC e selezionare Servizi Crystal Reports.
8. Fare clic sul pulsante Riavvia server.
375
2013-09-19
Autenticazione
376
2013-09-19
Amministrazione del server
Amministrazione del server
10.1 Utilizzo dell'area di gestione Server della console CMC
L'area di gestione Server della console CMC è lo strumento principale per i task di gestione dei server.
Viene fornito un elenco di tutti i server della distribuzione. Per la maggior parte dei task di gestione e
configurazione, è necessario selezionare un server nell'elenco e scegliere un comando dal menu
Gestisci o Azioni.
Informazioni sull'albero di spostamento
L'albero di spostamento sul lato sinistro dell'area di gestione Server offre diversi modi per visualizzare
l'elenco Server. Selezionare gli elementi nell'albero di spostamento per modificare le informazioni
visualizzate nel riquadro "Dettagli".
377
Opzione dell'albero di
spostamento
Descrizione
Elenco Server
Viene visualizzato un elenco completo di tutti i server nella distribuzione.
Elenco gruppi server
Visualizza un elenco semplice di tutti i gruppi di server disponibili nel riquadro Dettagli. Selezionare questa opzione per configurare la protezione
o le impostazioni dei gruppi server.
Gruppi server
Vengono elencati i gruppi server e i server in ogni gruppo. Quando si
seleziona un gruppo di server, i relativi server e gruppi vengono visualizzati nel riquadro Dettagli in una vista gerarchica.
Nodi
Viene visualizzato un elenco dei nodi presenti nella distribuzione. I nodi
vengono configurati in CCM. È possibile selezionare un nodo facendo
clic su di esso per visualizzare o gestire i relativi server.
2013-09-19
Amministrazione del server
Opzione dell'albero di
spostamento
Descrizione
Viene fornito un elenco dei tipi di servizi disponibili nella distribuzione.
Le categorie di servizio si suddividono in servizi della piattaforma BI principali e servizi associati a componenti SAP Business Objects specifici.
Di seguito sono elencate le categorie di servizio:
Categorie di servizio
•
•
•
•
•
•
•
•
Servizi di connessione
Servizi principali
Servizi Crystal Reports
Servizi Data Federation
Servizi Lifecycle Management
Servizi Analysis
Servizi Web Intelligence
Servizi Dashboard Design
Selezionare una categoria di servizio nell'elenco di navigazione per visualizzare o gestire i relativi server.
Nota:
un server può ospitare servizi appartenenti a più categorie di servizio. È
quindi possibile che un server venga visualizzato in diverse categorie di
servizio.
Vengono visualizzati i server in base al relativo stato corrente. Si tratta
di uno strumento importante per individuare i server in esecuzione e
quelli interrotti. Se le prestazioni del sistema non sono ottimali, è possibile
utilizzare l'elenco "Stato server" per determinare rapidamente gli eventuali server che presentano uno stato anomalo. Gli stati del server includono:
Stato server
378
•
•
•
•
•
•
•
•
Interrotto
Avvio in corso
Inizializzazione in corso
In esecuzione
Interruzione
Avviato con errori
Terminato in errore
In attesa delle risposte (per informazioni dettagliate, vedere Gestione
delle connessioni di database di sistema CMS)
2013-09-19
Amministrazione del server
Informazioni sul riquadro Dettagli
A seconda delle opzioni selezionate nell'albero di navigazione, il riquadro "Dettagli" sul lato destro
dell'area di gestione Server mostra un elenco di server, gruppi server, stati, categorie o nodi. Nella
seguente tabella vengono descritte le informazioni elencate per i server nel riquadro "Dettagli".
Nota:
per nodi, gruppi server, categorie e stati, il riquadro "Dettagli" mostra in genere nomi e descrizioni.
Colonna del riquadro Dettagli
Descrizione
Nome server o Nome
Visualizza il nome del server.
Visualizza lo stato corrente del server. È possibile ordinare in base allo
stato del server utilizzando l'elenco "Stato server" nell'albero di navigazione. Gli stati del server includono:
Stato
379
•
•
•
•
•
•
•
•
Interrotto
Avvio in corso
Inizializzazione in corso
In esecuzione
Interruzione
Avviato con errori
Terminato in errore
In attesa delle risorse
Attivato
Indica se il server è abilitato o meno.
Non aggiornato
Se il server è contrassegnato come Non aggiornato, è necessario
riavviarlo. Ad esempio, se si modificano determinate impostazioni del
server nella schermata "Proprietà del server", potrebbe essere necessario riavviare il server per rendere effettive le modifiche.
Tipo
Visualizza il tipo di server.
Nome host
Visualizza il nome host del server.
2013-09-19
Amministrazione del server
Colonna del riquadro Dettagli
Descrizione
Indica lo stato generale del server.
Gli stati del server includono:
• Verde (integro)
• Ambra (attenzione)
• Rosso (pericolo)
Stato
Lo stato di integrità di un server dipende direttamente dallo stato del
controllo del server. Lo stato di integrità del Central Management Server
dipende ad esempio dallo stato di <NOMENODO>.CentralManageme
ntServer Watch.
È possibile accedere ai dettagli dei controlli nella pagina "Monitoraggio"
della CMC: nella scheda "Elenco di controlli" selezionare il controllo e
fare clic su Modifica. Vengono visualizzate la "Regola di attenzione"
e la "Regola di pericolo" del controllo, mappate rispettivamente agli
stati di integrità giallo e rosso.
PID
Visualizza il numero ID di processo univoco del server.
Descrizione
Visualizza una descrizione del server. È possibile modificare questa
descrizione nella pagina "Proprietà del server".
Data ultima modifica
Visualizza la data dell'ultima modifica apportata al server o dell'ultima
modifica dello stato del server. Questa colonna è molto utile per verificare lo stato dei server modificati di recente.
Argomenti correlati
• Gestione di gruppi di server
• Utilizzo dei nodi
• Visualizzazione dello stato dei server
• Avvio, arresto e riavvio dei server
• Per modificare le proprietà di un server
10.2 Gestione dei server mediante gli script in Windows
380
2013-09-19
Amministrazione del server
Il file eseguibile ccm.exe consente di avviare, arrestare, riavviare, abilitare e disabilitare i server nella
distribuzione Windows mediante la riga di comando.
Argomenti correlati
• ccm.exe
10.3 Gestione dei server in Unix
Il file eseguibile ccm.sh consente di avviare, arrestare, riavviare, abilitare e disabilitare i server nella
distribuzione Unix mediante la riga di comando.
Argomenti correlati
• ccm.sh
10.4 Visualizzazione e modifica dello stato del server
10.4.1 Visualizzazione dello stato dei server
Lo stato di un server è lo stato operativo corrente: un server può essere in esecuzione, in avvio, in
arresto, arrestato, non riuscito, in stato di inizializzazione, avviato con errori o in attesa di risorse. Per
rispondere alle richieste della piattaforma BI, un server deve essere in esecuzione e abilitato. Un server
disabilitato è ancora in esecuzione come processo; tuttavia, non accetta richieste dal resto della
piattaforma BI. Un server in arresto non è più in esecuzione come processo.
In questa sezione viene illustrato come modificare lo stato dei server utilizzando la console CMC.
Argomenti correlati
• Per visualizzare lo stato di un server
• Per visualizzare lo stato dei servizi
• Avvio, arresto e riavvio dei server
• Abilitazione e disabilitazione dei server
• Arresto di Central Management Server
• Per avviare automaticamente un server
381
2013-09-19
Amministrazione del server
10.4.1.1 Per visualizzare lo stato di un server
1. Passare all’area di gestione "Server" della CMC.
Nel riquadro "Dettagli" sono visualizzate le categorie di servizi della distribuzione.
2. Per visualizzare l'elenco dei server di un gruppo di server, un nodo o una categoria di servizi specifici,
selezionare il gruppo, il nodo o la categoria nell'albero di spostamento.
Nel riquadro "Dettagli" viene visualizzato l'elenco dei server nella propria distribuzione. La colonna
Stato indica lo stato di ciascun server nell'elenco.
3. Per visualizzare un elenco di tutti i server con uno stato particolare, espandere l'opzione Stato
server nella struttura di spostamento e selezionare lo stato desiderato.
Nel riquadro Dettagli viene visualizzato un elenco dei server aventi lo stato selezionato.
Nota:
Questo può essere particolarmente utile per visualizzare rapidamente un elenco di server che non
si avviano correttamente o si sono arrestati in modo imprevisto.
Argomenti correlati
• Per visualizzare lo stato dei servizi
10.4.1.2 Per visualizzare lo stato dei servizi
In caso di errore di un servizio, lo stato del server host viene impostato su "Avviato con errori" (a indicare
che almeno un servizio è stato avviato correttamente) o su "Non riuscito" (a indicare che nessuno dei
servizi è stato avviato correttamente). È possibile visualizzare gli stati del server nella CMC e in CCM.
Tuttavia, è anche possibile visualizzare lo stato di singoli servizi nella pagina "Proprietà" del server
nella CMC.
1. Passare all’area di gestione "Server" della CMC.
Nel riquadro "Dettagli" sono visualizzate le categorie di servizi della distribuzione.
2. Per visualizzare l'elenco dei server di un gruppo di server, un nodo o una categoria di servizi specifici,
selezionare il gruppo, il nodo o la categoria nell'albero di spostamento.
Nel riquadro "Dettagli" viene visualizzato l'elenco dei server nella propria distribuzione.
3. Fare doppio clic su un server per aprirne la pagina "Proprietà".
Nella pagina "Proprietà" vengono visualizzate le proprietà del server e dei servizi che ospita. Per i
servizi in errore vengono visualizzati anche i messaggi di errore.
382
2013-09-19
Amministrazione del server
Argomenti correlati
• Visualizzazione dello stato dei server
10.4.2 Avvio, arresto e riavvio dei server
L'avvio, l'interruzione e il riavvio dei server sono azioni comuni che vengono eseguite quando si
configurano server o si disattiva la modalità in linea. Se si desidera modificare il nome di un server, è
necessario innanzitutto arrestare il server. Una volta apportate le modifiche, occorre riavviare il server
per renderle effettive. Se si apportano modifiche alle impostazioni di configurazione di un server, sulla
console CMC verrà visualizzato un prompt in cui viene chiesto di riavviare il server.
Nella parte restante della sezione viene indicato quando una determinata modifica alla configurazione
richiede l’interruzione e il riavvio del server. Tuttavia, poiché queste attività sono estremamente frequenti,
vengono descritti per primi i concetti e le differenze, quindi vengono indicate le procedure generali per
riferimento.
383
Azione
Descrizione
Arresto di un server
Può essere necessario arrestare i server della
piattaforma BI prima di poter modificare alcune
proprietà e impostazioni.
Avvio di un server
Se si è arrestato un server per configurarlo, per
rendere effettive le modifiche è necessario riavviarlo prima che riprenda l'elaborazione delle richieste.
Riavvio di un server
Riavviare un server è un’azione più rapida che
arrestare un server completamente per poi avviarlo di nuovo. Se è necessario riavviare un server
dopo averne modificato un'impostazione, viene
visualizzato un prompt sulla console CMC.
Avvio automatico di un server
È possibile impostare i server per l'avvio automatico all'avvio di Server Intelligence Agent.
2013-09-19
Amministrazione del server
Azione
Descrizione
Forza terminazione
Arresta il server immediatamente (mentre quando
è l'utente ad arrestarlo, il server si arresta solo
dopo avere completato le attività di elaborazione
correnti). Arrestare forzatamente un server solo
quando l'arresto del server non è riuscito ed è
necessario arrestarlo immediatamente.
Suggerimento:
Quando si interrompe (o riavvia) un server, si interrompe anche il processo del server, arrestando
completamente il server. Prima di arrestare un server, si consiglia di
• disabilitare il server in modo che possa terminare l'elaborazione di eventuali processi in corso e
• assicurarsi che non siano rimasti in coda eventi di controllo. Per visualizzare il numero di eventi di
controllo rimasti in coda, passare alla schermata "Metriche" del server e visualizzare la metrica
"Numero corrente degli eventi di controllo in coda".
Argomenti correlati
• Abilitazione e disabilitazione dei server
10.4.2.1 Avvio, arresto o riavvio dei server con la console CMC
1. Passare all’area di gestione "Server" della CMC.
Nel riquadro "Dettagli" sono visualizzate le categorie di servizi della distribuzione.
2. Per visualizzare un elenco dei server di un gruppo di server, un nodo o una categoria di servizi
specifici, selezionare il gruppo, il nodo o la categoria nel pannello di spostamento.
Nel riquadro "Dettagli" viene visualizzato un elenco di server.
3. Per visualizzare un elenco di tutti i server con uno stato particolare, espandere l'opzione Stato
server nella struttura di spostamento e selezionare lo stato desiderato.
Nel riquadro "Dettagli" viene visualizzato un elenco dei server aventi lo stato selezionato.
Nota:
Questo può essere particolarmente utile per visualizzare rapidamente un elenco di server che non
si avviano correttamente o si sono arrestati in modo imprevisto.
4. Fare clic con il pulsante destro del mouse sul server di cui si desidera modificare lo stato e, a seconda
dell'azione che si intende eseguire, scegliere Avvia server, Riavvia server, Arresta server o Forza
terminazione.
384
2013-09-19
Amministrazione del server
Argomenti correlati
• Visualizzazione dello stato dei server
10.4.2.2 Per avviare, interrompere o riavviare un server Windows con il CCM
1. In CCM, fare clic sul pulsante Gestisci server nella barra degli strumenti.
2. Quando viene richiesto, accedere al CMS con un account di amministratore.
3. Nella finestra di dialogo "Gestisci server", selezionare il server da avviare, interrompere o riavviare.
4. Fare clic su Avvia, Arresta, Riavvia o Imponi chiusura.
5. Fare clic su Chiudi per tornare a CCM.
10.4.2.3 Per avviare automaticamente un server
Per impostazione predefinita, i server della distribuzione vengono avviati automaticamente all'avvio di
Server Intelligence Agent. Questa attività mostra dove impostare l'opzione di avvio automatico.
1. Passare all'area di gestione "Server" della CMC.
2. Fare doppio clic sul server da avviare automaticamente.
Viene visualizzata la schermata "Proprietà".
3. In "Impostazioni comuni" selezionare la casella di controllo Avvia automaticamente questo server
all'avvio di Server Intelligence Agent e fare clic su Salva o su Salva e chiudi.
Nota:
Se la casella di controllo Avvia automaticamente questo server all'avvio di Server Intelligence
Agent è deselezionata per tutti i CMS del cluster, è necessario riavviare il sistema con CCM. Dopo
aver utilizzato CCM per arrestare l'agente SIA, fare clic con il pulsante destro del mouse su tale
agente e scegliere Proprietà. Nella scheda Avvio fare clic su Proprietà per aprire la pagina Proprietà
server per il CMS. Selezionare Avvio automatico, fare clic su OK per chiudere la pagina Proprietà
server e quindi di nuovo su OK. Riavviare il SIA. L'opzione Avvio automatico è disponibile solo se
la casella di controllo Avvia automaticamente questo server all'avvio di Server Intelligence
Agent è deselezionata per tutti i CMS del cluster.
10.4.3 Arresto di Central Management Server
385
2013-09-19
Amministrazione del server
Se l'installazione della piattaforma BI prevede più Central Management Server (CMS) attivi, è possibile
spegnere un singolo CMS senza perdere dati o influire sul funzionamento del sistema. Un altro server
CMS nel nodo acquisirà il carico di lavoro del server arrestato. Il clustering di più CMS consente di
eseguire la manutenzione sui singoli Central Management Server in sequenza senza arrestare la
piattaforma BI.
Tuttavia, se la distribuzione della piattaforma BI prevede un solo CMS e questo viene arrestato, la
piattaforma non sarà disponibile per gli utenti e l'elaborazione di report e programmi verrà interrotta.
Per evitare questo problema, il Server Intelligence Agent di ogni nodo assicura che almeno un server
CMS sia sempre in esecuzione. È comunque possibile arrestare un server CMS arrestando il relativo
agente SIA, ma prima di arrestare l'agente SIA è necessario disabilitare i server di elaborazione mediante
la console CMC in modo che possano terminare gli eventuali processi in esecuzione prima dell'arresto
della piattaforma BI, a causa del quale anche tutti gli altri server nel nodo verranno arrestati.
Nota:
È possibile che si verifichino situazioni in cui il server CMS è stato arrestato e occorre riavviare il sistema
da CCM. Ad esempio, se si arrestano tutti i CMS di un nodo e al momento dell'avvio dell'agente SIA
la casella di controllo Avvia automaticamente questo server all'avvio di Server Intelligence Agent
è deselezionata per tutti i CMS del cluster, è necessario riavviare il sistema con CCM. In CCM fare clic
con il pulsante destro del mouse sull'agente SIA e scegliere Proprietà. Nella scheda Avvio fare clic
su Proprietà per aprire la pagina Proprietà server per il CMS. Selezionare Avvio automatico, fare clic
su OK per chiudere la pagina Proprietà server e quindi di nuovo su OK. Riavviare il SIA. L'opzione
Avvio automatico è disponibile solo se la casella di controllo Avvia automaticamente questo server
all'avvio di Server Intelligence Agent è deselezionata per tutti i CMS del cluster.
Se si desidera configurare il sistema in modo da poter avviare e arrestare il server CMS nel cluster
senza avviare e arrestare altri server, inserire il CMS in un altro nodo. Creare un nuovo nodo e duplicare
il server CMS sul nodo. Con il CMS sul rispettivo nodo, è possibile arrestare con semplicità il nodo
senza influenzare altri server.
Argomenti correlati
• Utilizzo dei nodi
• Duplicazione di server
• Cluster di Central Management Server
10.4.4 Abilitazione e disabilitazione dei server
Quando si disabilita un server della piattaforma BI, si evita che tale server riceva e risponda a nuove
richieste della piattaforma BI, senza tuttavia arrestarne realmente il processo. Questa possibilità si
rivela utile se si desidera consentire a un server di portare a termine l'elaborazione di tutte le richieste
correnti prima che venga interrotto del tutto.
Ad esempio, può verificarsi la necessità di interrompere un Job Server prima di riavviare il computer
in cui è in esecuzione. Tuttavia, si desidera che il server soddisfi prima tutte le richieste di report in
coda. In questo caso, si disabilita il Job Server in modo che non possa accettare altre richieste. Quindi,
386
2013-09-19
Amministrazione del server
utilizzare Central Management Console per verificare quando il server completa i processi in corso
(Nell'area di gestione "Server", fare clic con il pulsante destro del mouse sul server e scegliere "Metrica").
Quindi, una volta terminata l’elaborazione delle richieste correnti, si può arrestare il server in modo
sicuro.
Nota:
•
•
il server CMS deve essere in esecuzione affinché sia possibile abilitare e/o disabilitare gli altri server.
Non è possibile abilitare o disabilitare un server CMS.
10.4.4.1 Abilitazione e disabilitazione dei server con la console CMC
1. Passare all’area di gestione "Server" della CMC.
2. Fare clic con il pulsante destro del mouse sul server di cui si desidera modificare lo stato e, in base
all'azione che si intende eseguire, fare clic su Abilita server oppure su Disabilita server.
10.4.4.2 Per abilitare o disabilitare un server Windows con CCM.
1. In CCM, fare clic su Gestisci server.
2. Quando richiesto, accedere al CMS con le credenziali che garantiscono privilegi amministrativi per
la piattaforma BI.
3. Nella finestra di dialogo "Gestione server", selezionare il server che si desidera abilitare o disabilitare.
4. Fare clic su Abilita o su Disabilita.
5. Fare clic su Chiudi per tornare a CCM.
10.5 Aggiunta, duplicazione o eliminazione di server
10.5.1 Aggiunta, duplicazione ed eliminazione di server
Se si desidera aggiungere nuovo hardware alla piattaforma BI installando componenti server su nuovi
computer supplementari, eseguire il programma di installazione della piattaforma BI su tali computer.
Il programma di installazione consente di eseguire un'installazione personalizzata. Durante l'installazione
personalizzata, specificare il server CMS per la distribuzione esistente e selezionare i componenti che
387
2013-09-19
Amministrazione del server
si desidera installare sul computer locale. Per informazioni dettagliate sulle opzioni di installazione
personalizzata, consultare il Manuale d'installazione della piattaforma SAP BusinessObjects Business
Intelligence.
10.5.1.1 Aggiunta di un server
È possibile eseguire più istanze dello stesso server della piattaforma BI nel medesimo computer. Per
aggiungere un server:
1. Passare all’area di gestione "Server" della CMC.
2. Nel menu Gestisci, fare clic su Nuovo > Nuovo server.
Viene visualizzata la finestra di dialogo "Crea nuovo server".
3. Scegliere la Categoria di servizio.
4. Scegliere un tipo di servizio necessario dall'elenco Selezionare un servizio, quindi fare clic su
Avanti.
5. Per aggiungere un servizio aggiuntivo al server, selezionare il servizio nell'elenco Servizi aggiuntivi
disponibili e fare clic su >.
Nota:
i servizi aggiuntivi non sono disponibili per tutti i tipi di server.
6. Dopo aver aggiunto i servizi aggiuntivi desiderati, fare clic su Avanti.
7. Se l'architettura della piattaforma BI è composta da più nodi, scegliere il nodo in cui si desidera
aggiungere il nuovo server dall'elenco Nodo.
8. Digitare un nome per il server nella casella Nome server.
Ogni server nel sistema deve avere un nome univoco. La convenzione di denominazione predefinita
è NOMENODO.tiposerver (se esiste più di un server dello stesso tipo nel medesimo computer host,
viene aggiunto un numero).
9. Se si desidera includere una descrizione per il server, digitarla nella casella Descrizione.
10. Se si sta aggiungendo un nuovo Central Management Server, specificare il numero di una porta nel
campo Porta server dei nomi.
11. Fare clic su Crea.
Il nuovo server viene visualizzato nell'elenco dei server nell'area Server della CMC, ma non viene
avviato né abilitato.
12. Utilizzare la CMC per avviare e abilitare il nuovo server quando si desidera che inizi a rispondere
alle richieste della piattaforma BI.
Argomenti correlati
• Server, servizi, nodi e host
• Configurazione delle impostazioni server
• Configurazione dei numeri di porta
• Visualizzazione dello stato dei server
388
2013-09-19
Amministrazione del server
10.5.1.2 Duplicazione di server
Se si desidera aggiungere una nuova istanza di server per la distribuzione, è possibile duplicare un
server esistente. Il server duplicato mantiene le impostazioni di configurazione del server originale. Può
essere particolarmente utile se si desidera espandere la distribuzione e si desidera creare nuove istanze
di server che utilizzano quasi tutte le stesse impostazioni di configurazione di un server esistente.
La duplicazione semplifica il processo di spostamento dei server tra nodi. Per spostare un CMS esistente
in un altro nodo, è possibile duplicarlo nel nodo desiderato. Il CMS duplicato comparirà nel nuovo nodo
e manterrà tutte le impostazioni di configurazione del CMS originale.
Per duplicare server è necessario fare alcune considerazioni. Se non si desidera duplicare tutte le
impostazioni, è opportuno verificare il server duplicato per assicurarsi che soddisfi le esigenze. Se ad
esempio si desidera duplicare un server CMS nello stesso computer, assicurarsi di modificare le
impostazioni dei numeri di porta copiate dal server CMS originale al server CMS duplicato.
Nota:
•
•
•
prima di duplicare i server, assicurarsi che tutti i computer della distribuzione presentino la stessa
versione della piattaforma SAP BusinessObjects Business Intelligence (ed eventuali aggiornamenti,
se presenti).
è possibile duplicare i server da qualsiasi computer. È tuttavia possibile duplicare i server solo su
computer in cui sono installati i binari richiesti per il server.
Quando si duplica un server, non significa necessariamente che il nuovo server utilizzi le stesse
credenziali del sistema operativo. L'account utente è controllato da Server Intelligence Agent in cui
viene eseguito il server.
10.5.1.2.1 Utilizzo di segnaposto per le impostazioni del server
I segnaposto sono variabili a livello di nodo utilizzate dai server in esecuzione nel nodo. I segnaposto
sono elencati in una pagina dedicata nella console CMC. Quando si fa doppio clic su un server elencato
in "Server" nella console CMC, viene fornito un collegamento sul riquadro di spostamento sinistro per
“Segnaposto”. Nella pagina "Segnaposto" sono elencati tutti i nomi di segnaposto disponibili e i valori
associati per il server selezionato. I segnaposto contengono valori di sola lettura e i nomi dei segnaposto
iniziano e terminano con il carattere percentuale %.
Nota:
È sempre possibile sovrascrivere un'impostazione segnaposto con una stringa specifica nella pagina
"Proprietà server" della console CMC.
Esempio:
I segnaposto sono utili per duplicare i server. Ad esempio, nel computer A, che dispone di più unità,
la piattaforma BI è installata in C:\Programmi (x86)\SAP BusinessObjects\SAP
BusinessObjects Enterprise XI 4.0. Quindi il segnaposto %DefaultAuditingDir% sarà
389
2013-09-19
Amministrazione del server
D:\Programmi (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI
4.0\Auditing\.
Su un altro computer, il computer B, è invece presente una sola unità disco (non esiste l'unità D) e la
piattaforma BI piattaforma BI è installata in C:\Programmi (x86)\SAP BusinessObjects\SAP
BusinessObjects Enterprise XI 4.0. In questo caso, il segnaposto %DefaultAuditingDir%
sarà C:\Programmi (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise
XI 4.0\Auditing\.
Per duplicare Event Server dal computer A al computer B, l'utilizzo dei segnaposto per Directory
temporanea di controllo garantisce il funzionamento corretto di Event Server, poiché i segnaposto si
risolvono automaticamente. Se invece non si utilizzano i segnaposto, Event Server non funzionerà a
meno che non si sovrascriva manualmente l'impostazione Directory temporanea di controllo.
10.5.1.2.2 Duplicazione di un server
1. Nel computer sul quale si desidera aggiungere il server duplicato, andare all'area di gestione "Server"
della CMC.
2. Fare clic con il pulsante destro del mouse sul server che si desidera duplicare e selezionare Duplica
Server .
Verrà visualizzata la finestra di dialogo "Duplica server".
3. Digitare un nome per il server nel campo Nuovo nome server oppure utilizzare il nome predefinito.
4. Se si sta duplicando un Central Management Server, specificare il numero di una porta nel campo
Porta server dei nomi.
5. Nell'elenco Duplica su nodo scegliere il nodo in cui si desidera aggiungere il server duplicato,
quindi fare clic su OK.
Il nuovo server verrà visualizzato nell'area di gestione "Server" della CMC.
Nota:
Anche le impostazioni dei numeri di porta vengono duplicate. In molti casi, ad esempio quando si
duplica un server CMS, potrebbe essere necessario modificare il numero di porta per evitare conflitti
di porte tra il server originale e il relativo duplicato.
10.5.1.3 Eliminazione di un server
1. Passare all’area di gestione "Server" della CMC.
2. Arrestare il server che si desidera eliminare.
3. Fare clic con il pulsante destro del mouse sul server e selezionare Elimina.
4. Quando viene richiesto di confermare l'operazione, fare clic su OK.
390
2013-09-19
Amministrazione del server
10.6 Cluster di Central Management Server
10.6.1 Cluster di Central Management Server
Se si dispone di un’implementazione della piattaforma SAP BusinessObjects Business Intelligence di
grandi dimensioni o mission-critical è probabile che si desideri eseguire diversi computer CMS
contemporaneamente in un cluster. Un cluster è costituito da due o più server CMS che operano insieme
rispetto a un database di sistema CMS. Se si verifica un errore in un computer in cui è in esecuzione
un CMS, il computer con un altro CMS continuerà a rispondere alle richieste della piattaforma BI. Questo
supporto "a disponibilità elevata" garantisce che gli utenti della piattaforma BI possano accedere alle
informazioni anche quando si verifica un guasto delle apparecchiature.
In questa sezione viene illustrato come aggiungere un nuovo membro del cluster CMS a un sistema
di produzione già in funzione. Quando un nuovo CMS viene aggiunto a un cluster esistente, si indica
al nuovo CMS di connettersi al database di sistema CMS esistente e di condividere il carico di lavoro
di elaborazione con tutti gli altri computer in uso. Per informazioni sul CMS corrente, accedere all'area
di gestione "Server" della CMC.
Prima di eseguire il clustering dei computer CMS, è necessario verificare che ogni server CMS sia
installato in un sistema conforme ai dettagliati requisiti (inclusi i livelli di versione e di patch) per il sistema
operativo, il server del database, il metodo di accesso al database, il driver di database e il client di
database indicato nella Product Availability Matrix.
Inoltre, è necessario soddisfare i seguenti requisiti di clustering:
391
•
Per garantire prestazioni ottimali, è necessario che il server del database scelto per l'hosting del
database di sistema sia in grado di elaborare le query di piccole dimensioni in modo estremamente
rapido. Il server CMS comunica frequentemente con il database di sistema per inviare numerose
query di piccole dimensioni. Se il server di database non è in grado di elaborare queste richieste in
modo tempestivo, le prestazioni della piattaforma BI verranno ridotte in modo significativo.
•
Per ottenere prestazioni ottimali, eseguire ogni membro del cluster CMS in un computer con la
stessa quantità di memoria e lo stesso tipo di CPU.
•
Configurare ogni computer in modo simile:
•
Installare lo stesso sistema operativo, inclusa la stessa versione dei service pack e delle patch
del sistema operativo.
•
Installare la stessa versione della piattaforma BI (incluse le patch, se necessario).
•
Accertarsi che ogni CMS sia connesso al database di sistema CMS nello stesso modo a
prescindere dal fatto che si utilizzino driver nativi o driver ODBC. Accertarsi che i driver siano gli
stessi su ogni computer e che la relativa versione sia supportata.
2013-09-19
Amministrazione del server
•
Accertarsi che ogni CMS utilizzi lo stesso client del database per connettersi al relativo database
di sistema e che la versione in uso sia supportata.
•
Verificare che ogni CMS utilizzi lo stesso account utente e la stessa password per la connessione
al database di sistema CMS. Questo account deve disporre di diritti di creazione, eliminazione
e aggiornamento nel database di sistema.
•
Assicurarsi che i nodi in cui si trova ogni server CMS siano in esecuzione nello stesso account
del sistema operativo. In Windows l'account predefinito è “LocalSystem”.
•
Verificare che la data e l'ora correnti siano impostati correttamente in ogni computer CMS (incluse
le impostazioni dell'ora legale).
•
Assicurarsi che tutti i computer di un cluster (inclusi quelli che ospitano il CMS) siano impostati
sulla stessa ora di sistema. Per ottenere i risultati migliori, sincronizzare i computer con un server
di riferimento orario, ad esempio time.nist.gov, o utilizzare una soluzione di monitoraggio
centrale.
•
Assicurarsi che in tutti i server di applicazioni Web del cluster siano installati gli stessi file WAR.
Per ulteriori informazioni sulla distribuzione del file WAR, consultare il Manuale di installazione
della piattaforma SAP BusinessObjects Business Intelligence.
•
Assicurarsi che ogni CMS di un cluster sia connesso alla stessa rete LAN.
•
I thread fuori banda (-oobthreads) sono utilizzati dai ping e dalle notifiche di clustering. Entrambe
le operazioni sono molto rapide (le notifiche sono asincrone), di conseguenza la piattaforma BI non
deve più disporre di più oobthreads e viene creato un solo oobthread.
Se un cluster dispone di più di otto membri del cluster CMS, assicurarsi che la riga di comando per
ogni CMS includa l'opzione -oobthreads numCMS, in cui numCMS è il numero di server CMS
collegati nel cluster. Questa opzione assicura che il cluster sia in grado di gestire carichi di lavoro
rilevanti. Per informazioni sulla configurazione delle righe di comando del server, consultare
l'appendice sulle righe di comando del server nel Manuale dell'amministratore della piattaforma SAP
BusinessObjects Business Intelligence.
•
Se si desidera abilitare il controllo, è necessario configurare ogni CMS affinché utilizzi lo stesso
database di controllo e stabilisca la connessione a tale database nello stesso modo. I requisiti per
il database di controllo sono gli stessi del database di sistema per quanto riguarda i server del
database, i client, i metodi di accesso, i driver e gli ID utente.
Suggerimento:
Per impostazione predefinita, il nome di un cluster riproduce il nome host del primo CMS installato.
Argomenti correlati
• Modifica del nome di un cluster CMS
10.6.1.1 Aggiunta di un CMS a un cluster
392
2013-09-19
Amministrazione del server
Sono disponibili diversi modi per aggiungere un nuovo membro del cluster CMS. Eseguire la procedura
appropriata:
•
È possibile installare un nuovo nodo con una CMC in un nuovo computer.
•
Se si dispone già di un nodo con file binari CMS, è possibile aggiungere un nuovo server CMS dalla
console CMC.
•
Se si dispone già di un nodo con file binari CMS, è possibile aggiungere un nuovo server CMS
duplicando un server CMS esistente.
Nota:
prima di apportare qualsiasi modifica, eseguire il backup del database di sistema CMS corrente, della
configurazione del server e dei contenuti di Input File Repository e di Output File Repository. Se
necessario, contattare l’amministratore del database.
Argomenti correlati
• Aggiunta di un nuovo nodo a un cluster
• Aggiunta di un server
• Duplicazione di server
• Panoramica di backup e ripristino
10.6.1.2 Aggiunta di un nuovo nodo a un cluster
Quando si aggiunge un nodo, ovvero una raccolta di server della piattaforma BI gestiti da un unico
Server Intelligence Agent (SIA), viene richiesto di creare un nuovo CMS o di creare il cluster del nodo
in un CMS esistente.
Per aggregare un nodo a un CMS esistente, è anche possibile utilizzare il programma di installazione.
Eseguire il programma di installazione e configurazione della piattaforma BI sul computer in cui si
desidera installare il nuovo membro del cluster CMS. Il programma di installazione consente di eseguire
un'installazione personalizzata. Durante l'installazione personalizzata, specificare il CMS esistente di
cui si desidera espandere il sistema e selezionare i componenti da installare nel computer locale. In
questo caso, specificare il nome del CMS in esecuzione nel sistema esistente quindi scegliere di
installare un nuovo CMS nel computer locale e fornire al programma di installazione le informazioni
necessarie per collegarsi al database di sistema CMS esistente. Quando programma di installazione
installa il nuovo CMS nel computer locale aggiunge automaticamente il server al cluster esistente.
Nota:
Prima di creare il cluster di un nuovo nodo in un CMS esistente, se il nodo è un nuovo server, assicurarsi
che l'installazione della piattaforma BI in tale server sia allo stesso livello di patch dell'ambiente esistente
della piattaforma BI.
Argomenti correlati
• Utilizzo dei nodi
393
2013-09-19
Amministrazione del server
10.6.1.3 Aggiunta di cluster ai file delle proprietà delle applicazioni Web
Se sono stati aggiunti ulteriori CMS alla distribuzione e si utilizza un server di applicazioni Java, è
necessario modificare il file PlatformServices.properties nella directory \webapps\BOE\WEBINF\config\custom della distribuzione dell'applicazione Web.
10.6.1.3.1 Definizione delle proprietà dei cluster per l'applicazione Web BOE
1. Accedere alla cartella personalizzata contenente il file BOE.war nel computer che ospita le
applicazioni Web.
<DIR_INSTALLAZ>\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom\.
Successivamente sarà necessario ridistribuire il file BOE.war modificato.
2. Creare un nuovo file in un editor di testo.
3. Specificare le proprietà del cluster CMS.
La proprietà cms.clusters consente di specificare tutti i cluster della distribuzione. I nomi dei
cluster devono essere preceduti da caratteri @ e separati da virgole. Ad esempio, cms.clus
[email protected],@samplecluster2, @samplecluster3.Utilizzare la proprietà
cms.clusters.[nome cluster] per specificare ciascun CMS incluso nel cluster. Ad esempio:
[email protected],@samplecluster2, @samplecluster3
cms.clusters.samplecluster=cmsone:6400,cmstwo
cms.clusters.samplecluster2=cms3,cms4, cms5
cms.clusters.samplecluster3=aps05
Nota:
Il numero della porta è separato dal nome del CMS con i due punti e si suppone sia 6400 se non
specificato.
4. Salvare il file con questo nome:
PlatformServices.properties
5. Riavviare il server delle applicazioni.
Le nuove proprietà vengono applicate solo dopo che l'applicazione Web BOE viene ridistribuita nel
computer su cui è in esecuzione il server di applicazioni Web. Utilizzare WDeploy per ridistribuire il file
WAR sul server di applicazioni Web. Per ulteriori informazioni sull'utilizzo di WDeploy, consultare il
Manuale della distribuzione in rete di applicazioni Web della piattaforma SAP BusinessObjects Business
Intelligence.
10.6.1.4 Modifica del nome di un cluster CMS
394
2013-09-19
Amministrazione del server
Questa procedura consente di modificare il nome di un cluster già installato. Dopo aver modificato il
nome del cluster CMS, Server Intelligence Agent riconfigura automaticamente ogni server SAP Business
Objects in modo che esegua la registrazione con il cluster CMS, piuttosto che con un solo server CMS.
Nota:
Per gli amministratori con esperienza della piattaforma BI, non è più possibile utilizzare l'opzione -ns
sulla riga di comando del server per stabilire con quale CMS un server deve effettuare la registrazione.
Questa operazione viene ora eseguita automaticamente dal SIA.
10.6.1.4.1 Per modificare il nome del cluster in Windows
1. Utilizzare CCM per interrompere Server Intelligence Agent per il nodo che contiene un Central
Management Server membro del cluster di cui si desidera modificare il nome.
2. Fare clic con il pulsante destro del mouse su Server Intelligence Agent e scegliere Proprietà.
3. Nella finestra di dialogo Proprietà, fare clic sulla scheda Configurazione.
4. Selezionare la casella di controllo Cambia nome cluster in.
5. Digitare il nuovo nome per il cluster.
6. Fare clic su OK, quindi riavviare Server Intelligence Agent.
Il nome del cluster CMS viene modificato. A tutti gli altri membri del cluster CMS verrà dinamicamente
notificato il nuovo nome del cluster (sebbene è possibile che siano necessari diversi minuti prima
che le modifiche vengano propagate ai membri del cluster).
7. Visualizzare l'area di gestione Server di CMC e verificare che tutti i server restino abilitati. Se
necessario, abilitare eventuali server disabilitati durante le modifiche effettuate.
10.6.1.4.2 Per modificare il nome del cluster in UNIX
Utilizzare lo script cmsdbsetup.sh. Per informazioni, consultare il capitolo relativo agli strumenti Unix
del Manuale dell'amministratore della piattaforma SAP BusinessObjects Business Intelligence.
10.7 Gestione di gruppi di server
I gruppi di server rappresentano un modo di organizzare i server della piattaforma BI che consente di
semplificare le attività di gestione. In altre parole, quando si gestisce un gruppo di server, è necessario
visualizzare solo un sottoinsieme di tutti i server del sistema. Inoltre, rappresentano uno strumento
efficace per personalizzare la piattaforma BI al fine di ottimizzare il sistema per gli utenti situati in località
diverse o per gli oggetti di tipi diversi.
Se si raggruppano i server per regione, è possibile configurare senza alcuna difficoltà impostazioni di
elaborazione predefinite, pianificazioni ricorrenti e destinazioni di pianificazione appropriate agli utenti
che lavorano in un particolare ufficio regionale. È possibile associare un oggetto a un singolo gruppo
di server, in modo che sia sempre elaborato dagli stessi server. Inoltre, è possibile associare oggetti
pianificati a un particolare gruppo di server per garantire che tali oggetti siano inviati, ad esempio, alle
395
2013-09-19
Amministrazione del server
stampanti e ai file server corretti. Quindi, i gruppi di server si rivelano particolarmente utili quando si
gestiscono sistemi che si estendono su più località e più fusi orari.
Se i server vengono raggruppati per tipo, è possibile configurare oggetti che devono essere elaborati
da server ottimizzati per gli oggetti in questione. Ad esempio, i server di elaborazione devono comunicare
frequentemente con il database che contiene i dati per i report pubblicati. Se si posizionano i server di
elaborazione vicino al server del database a cui devono accedere, migliorano le prestazioni del sistema
e si riduce al minimo il traffico di rete. Se si disponeva di diversi report eseguiti a fronte di un database
DB2, poteva essere opportuno creare un gruppo di Processing Server per l'elaborazione dei report
solo a fronte del server di database DB2. Configurando i report appropriati in modo che vengano
visualizzati mediante questo gruppo di server di elaborazione, si otterrebbe un miglioramento delle
prestazioni del sistema per la visualizzazione di tali report.
Dopo aver creato gruppi di server, configurare oggetti perché siano utilizzati specifici gruppi di server
per la pianificazione o per la visualizzazione e la modifica di report. Utilizzare l'albero di spostamento
nell'area di gestione Server della console CMC per visualizzare i gruppi di server. L'opzione Elenco
gruppi server visualizza un elenco di gruppi di server nel riquadro dei dettagli e l'opzione Gruppi di
server consente di visualizzare i server nel gruppo.
10.7.1 Creazione di un gruppo di server
Per creare un gruppo di server, è necessario specificare il nome e la descrizione del gruppo e
aggiungervi, quindi, i server.
10.7.1.1 Per creare un gruppo di server
1. Passare all’area di gestione "Server" della CMC.
2. Scegliere Gestisci > Nuovo > Crea gruppo server.
Verrà visualizzata la finestra di dialogo "Crea gruppo server".
3. Nel campo Nome, digitare un nome per il nuovo gruppo di server.
4. È possibile aggiungere altre informazioni sul gruppo di server nel campo Descrizione.
5. Fare clic su OK.
6. Nell'area di gestione "Server", fare clic su Gruppi server nell'albero di spostamento e selezionare
il nuovo gruppo di server.
7. Scegliere Aggiungi membri dal menu Azioni.
8. Selezionare i server che si desidera aggiungere a questo gruppo, quindi fare clic su >.
Suggerimento:
è possibile selezionare più server utilizzando CTRL + clic.
9. Fare clic su OK.
396
2013-09-19
Amministrazione del server
Si torna all'area di gestione "Server" che ora elenca tutti i server aggiunti al gruppo. È possibile
modificare lo stato, visualizzare le specifiche dei server e modificare le proprietà dei server del
gruppo.
Argomenti correlati
• Visualizzazione dello stato dei server
10.7.2 Utilizzo di sottogruppi di server
I sottogruppi di server rappresentano un modo di ulteriore organizzazione dei server. Un sottogruppo
è un gruppo di server appartenente a un altro gruppo di server.
Ad esempio, se si raggruppano i server per regione e paese, ogni gruppo regionale diventa un
sottogruppo di un gruppo nazionale. Per organizzare i server in questo modo, prima di tutto creare un
gruppo per ogni regione e aggiungere i server appropriati a ciascun gruppo regionale. Quindi, creare
un gruppo per ogni paese e aggiungere ciascun gruppo regionale al gruppo nazionale corrispondente.
È possibile impostare i sottogruppi in due modi: modificando i sottogruppi di un gruppo di server o
rendendo un gruppo di server membro di un altro gruppo. Il risultato è lo stesso, quindi utilizzare il
metodo più conveniente.
10.7.2.1 Per aggiungere sottogruppi a un gruppo di server
1. Passare all’area di gestione degli "Server" della CMC.
2. Fare clic su Gruppi server nell'albero di spostamento e selezionare il gruppo di server a cui si
desidera aggiungere i sottogruppi.
Questo sarà il gruppo principale.
3. Scegliere Aggiungi membri dal menu Azioni.
4. Fare clic su Gruppi server nell'albero di spostamento e selezionare i gruppi di server che si desidera
aggiungere a questo gruppo, quindi fare clic su >.
Suggerimento:
è possibile selezionare più gruppi di server utilizzando CTRL + clic.
5. Fare clic su OK.
Si torna all'area di gestione "Server" che ora elenca i gruppi di server aggiunti al gruppo principale.
397
2013-09-19
Amministrazione del server
10.7.2.2 Per rendere un gruppo di server membro di un altro gruppo
1. Passare all’area di gestione degli "Server" della CMC.
2. Fare clic sul gruppo che si desidera aggiungere a un altro gruppo.
3. Scegliere Aggiungi a un gruppo server dal menu Azioni.
4. Nell'elenco Gruppi server disponibili, selezionare gli altri gruppi a cui si desidera aggiungere il
gruppo, quindi fare clic su >.
Suggerimento:
è possibile selezionare più gruppi di server utilizzando CTRL + clic.
5. Fare clic su OK.
10.7.3 Modifica dell’appartenenza di gruppo di un server
È possibile modificare l’appartenenza di gruppo di un server per aggiungere rapidamente il server a
qualsiasi gruppo o sottogruppo (o per rimuoverlo da esso) già stato creato nel sistema.
Ad esempio, si supponga di avere creato gruppi di server per diverse regioni. Può essere opportuno
utilizzare un solo Central Management Server(CMS) per più regioni. Invece di dover aggiungere il CMS
singolarmente a ogni gruppo di server regionale, è possibile fare clic sul collegamento Membro di del
server per aggiungerlo a tutte e tre le regioni contemporaneamente.
10.7.3.1 Per modificare l’appartenenza di gruppo di un server
1. Passare all’area di gestione "Server" della CMC.
2. Fare clic con il pulsante destro del mouse sul server di cui si desidera modificare le informazioni di
appartenenza e scegliere Gruppi server esistenti.
Nel pannello dei dettagli, l'elenco Gruppi server disponibili visualizza i gruppi a cui è possibile
aggiungere il server. L'elenco Membro dei gruppi di server visualizza tutti i gruppi di server a cui
appartiene il server.
3. Per modificare i gruppi di cui è membro il server, utilizzare le frecce per spostare gruppi di server
tra gli elenchi, quindi fare clic su OK.
398
2013-09-19
Amministrazione del server
10.7.4 Accesso degli utenti a server e gruppi di server
È possibile utilizzare diritti per concedere l’accesso a server e gruppi di server, consentendo di eseguire
attività quali l’avvio o l’arresto di server.
A seconda della configurazione del sistema e dei problemi di protezione, può essere opportuno limitare
la gestione dei server all'amministratore della piattaforma BI. Tuttavia, può essere necessario fornire
l’accesso alle persone che utilizzano tali server. Molte organizzazioni hanno un gruppo di esperti IT
dedicato alla gestione dei server. Se il team dei server deve eseguire regolari attività di manutenzione
che richiedono l’arresto e l’avvio di server, è necessario concedere i diritti relativi ai server. Può inoltre
essere opportuno delegare le attività di amministrazione dei server della piattaforma BI ad altre persone
oppure consentire a gruppi diversi dell’organizzazione di controllare la propria gestione server.
10.7.4.1 Per concedere l’accesso a un server o a un gruppo di server
1. Passare all’area di gestione "Server" della CMC.
2. Fare clic con il pulsante destro del mouse sul server o sul gruppo di server cui si desidera concedere
l'accesso e scegliere Protezione utente.
3. Fare clic su Aggiungi principali per aggiungere gli utenti o i gruppi che si desidera possano accedere
al server o al gruppo di server selezionato.
Viene visualizzata la finestra di dialogo "Aggiungi principali".
4. Selezionare l’utente o il gruppo cui si desidera consentire l'accesso al server o al gruppo di server
specificato, quindi fare clic su >.
5. Fare clic su Aggiungi e assegna protezione.
6. Nella schermata "Assegna protezione", scegliere le impostazioni di protezione desiderate per il
gruppo di utenti e fare clic su OK.
Argomenti correlati
• Funzionamento dei diritti nella piattaforma BI
10.7.4.2 Diritti degli oggetti per il Report Application Server
Per consentire agli utenti di creare o modificare i report sul Web tramite il Report Application Server
(RAS), è necessario che nel sistema siano disponibili licenze di modifica report RAS. È inoltre necessario
399
2013-09-19
Amministrazione del server
concedere agli utenti una serie minima di diritti sugli oggetti. Quando si concedono tali diritti per un
oggetto report, gli utenti possono selezionare il report come origine dati per un nuovo report o modificare
il report in modo diretto:
•
Visualizzare oggetti (o “Visualizzare istanze documento”, a seconda delle necessità)
•
Modifica oggetti
•
Aggiorna i dati del report
•
Esporta i dati del report
Gli utenti devono inoltre disporre dell'autorizzazione per aggiungere oggetti ad almeno una cartella
prima di poter salvare i nuovi report nella piattaforma BI.
Per garantire che gli utenti conservino la possibilità di eseguire attività aggiuntive relative ai report
(come la copia, la pianificazione, la stampa e così via), è consigliabile innanzitutto assegnare il livello
di accesso appropriato e aggiornare le modifiche. Quindi, impostare il livello di accesso su Avanzato
e aggiungere i diritti necessari non ancora concessi. Ad esempio, se gli utenti dispongono già di diritti
di visualizzazione su richiesta per un oggetto report, è possibile consentire loro di modificare il report
impostando il livello di accesso su Avanzato e concedendo esplicitamente il diritto aggiuntivo Modifica
oggetti.
Quando gli utenti visualizzano i report tramite il visualizzatore DHTML avanzato e il RAS, il livello di
accesso Visualizzazione è sufficiente a visualizzare il report, ma, per utilizzare le funzioni di ricerca
avanzate, è necessario il livello di accesso Visualizzazione su richiesta. Il diritto aggiuntivo Modifica
oggetti non è necessario.
10.8 Configurazione degli Adaptive Processing Server per i sistemi di produzione
Il programma di installazione installa un solo APS (Adaptive Processing Server) per sistema host. In
base alle funzionalità installate, il server APS può ospitare un numero elevato di servizi, tra cui il servizio
di monitoraggio, il servizio Lifecycle Management, il servizio di analisi multidimensionale (MDAS), quello
di pubblicazione e altri ancora.
Per i sistemi di produzione o di test, la procedura consigliata consiste nel creare ulteriori APS e nel
configurarli in base alle specifiche esigenze aziendali.
È possibile creare ulteriori APS in due modi:
•
Eseguire la Configurazione guidata del sistema.
La procedura guidata consente di definire le configurazioni di base del sistema della piattaforma BI,
inclusa la configurazione degli APS in base ai modelli di distribuzione predefiniti. La configurazione
degli APS fornita dalla procedura guidata è un valido punto di partenza. È comunque necessario
eseguire il ridimensionamento del sistema.
La procedura guidata è disponibile nella Central Management Console (CMC). Per ulteriori
informazioni sulla procedura guidata, consultare Introduzione alla Configurazione guidata del sistema.
Per ulteriori informazioni sui modelli di distribuzione predefiniti, consultare il documento SAP
400
2013-09-19
Amministrazione del server
BusinessObjects BI platform Deployment Templates, disponibile all'interno della procedura guidata
e anche all'indirizzo http://help.sap.com/bobip41.
•
Utilizzare la CMC per creare e configurare manualmente ulteriori APS. Per ulteriori informazioni,
consultare Aggiunta, duplicazione ed eliminazione di server.
Promemoria:
La selezione di un modello di distribuzione nella procedura guidata o la creazione manuale di ulteriori
APS non sostituisce il ridimensionamento del sistema. Accertarsi di eseguire il ridimensionamento:
http://www.sap.com/bisizing.
10.9 Valutazione delle prestazioni del sistema
10.9.1 Monitoraggio dei server della piattaforma BI
L'applicazione di monitoraggio consente di acquisire le metriche cronologiche e di runtime dei server
della piattaforma BI per la creazione di report e notifiche. Consente inoltre agli amministratori del sistema
di stabilire se i server funzionano normalmente e se i tempi di risposta sono quelli previsti.
Argomenti correlati
• Informazioni sul monitoraggio
10.9.2 Analisi delle specifiche dei server
La console CMC (Central Management Console) consente di visualizzare le metriche per i server del
sistema. Tali specifiche includono informazioni generali su ciascun computer, insieme a dettagli specifici
del tipo di server. La CMC consente inoltre di visualizzare le specifiche di sistema, che includono
informazioni sulla versione del prodotto, il CMS e l’attività corrente del sistema.
Nota:
è possibile visualizzare solo le metriche per i server attualmente in esecuzione.
10.9.2.1 Visualizzazione delle metriche del server
401
2013-09-19
Amministrazione del server
1. Passare all’area di gestione "Server" della CMC.
2. Fare clic con il pulsante destro del mouse sul server di cui si desidera visualizzare le metriche, quindi
scegliere Metriche.
Nella scheda "Metriche" viene visualizzato un elenco delle metriche del server.
Argomenti correlati
• Per modificare le proprietà di un server
• Informazioni sull'appendice sulle metriche server
10.9.3 Visualizzazione delle specifiche del sistema
Nell'area di gestione "Impostazioni" della CMC vengono visualizzate metriche di sistema contenenti
informazioni generali sull'installazione della piattaforma BI. La sezione "Proprietà" include informazioni
sulla versione e la build del prodotto. Riporta, inoltre, l’origine dati, il nome di database e il nome utente
di database del database CMS. La sezione "Visualizza le metriche di sistema globali" indica l’attività
corrente dell'account e visualizza le statistiche sui processi correnti ed elaborati. La sezione "Cluster"
riporta il nome del CMS a cui si è connessi, il nome del cluster CMS e i nomi degli altri membri del
cluster.
10.9.3.1 Visualizzazione delle metriche del sistema
1. Passare all’area di gestione "Impostazioni" di CMC.
2. Fare clic su una freccia per espandere e visualizzare le impostazioni nell'area Proprietà, Visualizza
metriche di sistema globali, Cluster o Backup a caldo.
10.9.4 Registrazione dell’attività dei server
La piattaforma BI consente di registrare informazioni specifiche sulla relativa attività Web.
•
Inoltre, ogni server della piattaforma BI è progettato per registrare i messaggi nel registro di sistema
standard del sistema operativo.
•
402
In Windows, la piattaforma BI esegue la registrazione nel servizio Registro eventi. È possibile
visualizzare i risultati con il Visualizzatore eventi (nel Registro applicazione).
2013-09-19
Amministrazione del server
•
In UNIX, la piattaforma BI esegue la registrazione nel daemon syslog come applicazione utente.
Ogni server aggiunte il proprio nome e PID all’inizio di qualsiasi messaggio registrato.
Ogni server registra inoltre messaggi assertivi nella directory di registrazione dell’installazione del
prodotto. Le informazioni a livello di programmazione registrate in questi file sono in genere utili solo
al personale di supporto di SAP Business Objects per svolgere le attività di debug avanzato. Il percorso
dei file di registro dipende dal sistema operativo:
•
In Windows, la directory di registrazione predefinita è DIRINSTALL\SAP BusinessObjects
Enterprise XI 4.0\Logging.
•
In UNIX la directory di registrazione predefinita è DIRINSTALL/sap_bobj/logging, ovvero la
directory di installazione.
È importante notare che questi file di registro vengono puliti automaticamente, quindi non conterranno
mai più di circa 1 MB di dati registrati per server.
Nota:
Per abilitare la funzione di registrazione nei computer UNIX che ospitano i server della piattaforma BI,
è necessario impostare e configurare la registrazione di sistema in modo che tutti i messaggi registrati
nella funzionalità “user” a livello “info” o superiore vengano registrati. È necessario inoltre configurare
SYSLOGD in modo che accetti la registrazione in remoto.
Le procedure di impostazione variano da un sistema a un altro. Per istruzioni specifiche, consultare la
documentazione del sistema operativo.
10.10 Configurazione delle impostazioni server
In questa sezione sono incluse informazioni tecniche e procedure che illustrano come modificare le
impostazioni per i server della piattaforma BI.
La maggior parte delle impostazioni qui descritte consentono di integrare più efficacemente la piattaforma
BI con l'hardware, il software e le configurazioni di rete correnti. Di conseguenza, le impostazioni scelte
dipenderanno ampiamente da requisiti specifici.
È possibile modificare le impostazioni del server tramite la console CMC (Central Management Console)
in due modi:
• Nella schermata "Proprietà" del server.
• Nella schermata "Modifica servizi comuni" relativa al server.
È importante notare che non tutte le modifiche si verificano immediatamente. Se un'impostazione non
viene modificata immediatamente, le schermate "Proprietà" e "Modifica servizi comuni" visualizzano
sia l'impostazione corrente (in rosso) che quella desiderata. Quando si torna all'area di gestione Server,
il server verrà contrassegnato come Non aggiornato. Dopo essere stato riavviato, il server utilizza le
impostazioni desiderate e il contrassegno Non aggiornato viene rimosso.
403
2013-09-19
Amministrazione del server
Nota:
In questa sezione non viene illustrato come configurare il server di applicazioni Web per distribuire le
applicazioni della piattaforma BI. Questa attività viene eseguita in genere quando si installa il prodotto.
Per ulteriori informazioni consultare il Manuale di installazione della piattaforma SAP BusinessObjects
Business Intelligence.
Argomenti correlati
• Configurazione dei numeri di porta
• Per modificare le proprietà di un server
• Ricreazione del database di sistema CMS
• Selezione di un database CMS nuovo o esistente
10.10.1 Per modificare le proprietà di un server
1. Passare all’area di gestione "Server" della CMC.
2. Fare doppio clic sul server di cui si desidera modificare le impostazioni.
Viene visualizzata la schermata "Proprietà".
3. Apportare le modifiche desiderate e fare clic su Salva o su Salva e chiudi.
Nota:
Non tutte le modifiche si verificano immediatamente. Se un'impostazione non viene modificata
immediatamente, la finestra di dialogo Proprietà visualizza l'impostazione corrente (in rosso) e quella
desiderata. Quando si torna all'area di gestione Server, il server verrà contrassegnato come Non
aggiornato. Dopo essere stato riavviato, il server utilizza le impostazioni desiderate dalla finestra di
dialogo Proprietà e il contrassegno Non aggiornato viene rimosso.
10.10.2 Applicazione delle impostazioni dei servizi a più server
È possibile applicare la stessa impostazione ai servizi ospitati in più server.
1. Passare all’area di gestione "Server" della CMC.
2. Tenendo premuto CTRL, fare clic su ogni server che ospita servizi per il quale si desidera modificare
le impostazioni, quindi fare clic con il pulsante destro del mouse e selezionare Modifica servizi
comuni.
Verrà visualizzata la finestra di dialogo "Modifica servizi comuni" con l'elenco dei servizi ospitati dai
server selezionati per i quali è possibile modificare impostazioni.
3. Se nella finestra di dialogo "Modifica servizi comuni" sono elencati più servizi, selezionare il servizio
che si desidera modificare e fare clic su Continua.
404
2013-09-19
Amministrazione del server
4. Apportare le modifiche necessarie e fare clic su OK.
Nota:
Viene visualizzata l'area di gestione dei "server" della console CMC. Se è necessario riavviare un
server, quest'ultimo viene contrassegnato come non aggiornato. Dopo il riavvio, il server utilizzerà le
nuove impostazioni e il contrassegno Non aggiornato verrà rimosso.
10.10.3 Utilizzo di modelli di configurazione
I modelli di configurazione consentono di configurare con facilità più istanze dei server. I modelli di
configurazione archiviano un elenco di impostazioni per ogni tipo di servizio che è possibile utilizzare
per configurare istanze di server aggiuntive. Se ad esempio si dispone di dodici server di elaborazione
Web Intelligence da configurare in modo identico, è necessario configurare le impostazioni per uno
solo di essi. Sarà quindi possibile utilizzare il servizio configurato per definire il modello di configurazione
per i server di elaborazione Web Intelligence e quindi applicare il modello alle altre 11 istanze di server.
Ogni tipo di servizio della piattaforma BI dispone di un proprio modello di configurazione. Esiste ad
esempio un modello di configurazione per il tipo di servizio di elaborazione di Web Intelligence, uno
per il tipo di servizio di pubblicazione e così via. Il modello di configurazione è definito nelle proprietà
del server in Central Management Console (CMC).
Quando si configura un server per l'utilizzo di un modello di configurazione, le impostazioni esistenti
per il server vengono sovrascritte dai valori del modello. Se successivamente si decide di non utilizzare
più il modello, le impostazioni originali non vengono ripristinate. Le modifiche successive apportate al
modello di configurazione non hanno più effetto sul server.
È buona norma utilizzare i modelli di configurazione nel modo seguente:
1. Impostare il modello di configurazione in un server.
2. Se si desidera applicare la stessa configurazione a tutti i server dello stesso tipo, selezionare Usa
modello configurazione per tutti i server dello stesso tipo, incluso quello in cui è stato impostato
il modello di configurazione.
3. Se in seguito si desidera modificare la configurazione di tutti i servizi di questo tipo, visualizzare le
proprietà di tali servizi, deselezionare la casella di controllo Usa modello configurazione. Modificare
le impostazioni desiderate, quindi selezionare Imposta modello configurazione per il server e fare
clic su Salva. Tutti i servizi di quel tipo vengono aggiornati. Non avendo un server sempre impostato
come modello di configurazione, non si rischia di modificare inavvertitamente le impostazioni di
configurazione per tutti i server di quel tipo.
Argomenti correlati
• Per impostare un modello di configurazione
• Per applicare un modello di configurazione a un server
405
2013-09-19
Amministrazione del server
10.10.3.1 Per impostare un modello di configurazione
È possibile impostare un modello di configurazione per ogni tipo di servizio. Non è possibile impostare
più modelli di configurazione per un servizio. È possibile utilizzare la pagina "Proprietà" di qualsiasi
server per configurare le impostazioni che verranno utilizzate dal modello di configurazione per un tipo
di servizio ospitato nel server.
1. Passare all’area di gestione "Server" della CMC.
2. Fare doppio clic sul server che ospita servizi di cui si desidera impostare il modello di configurazione.
Viene visualizzata la schermata "Proprietà".
3. Configurare le impostazioni server da utilizzare nel modello, selezionare la casella di controllo
Imposta modello configurazione e fare clic su Salva o Salva e chiudi.
Il modello di configurazione per il tipo di servizio selezionato viene definito in base alle impostazioni
del server corrente. Altri server dello stesso tipo che ospitano gli stessi servizi verranno automaticamente
e immediatamente riconfigurati in base al modello di configurazione se nelle relative proprietà l'opzione
Usa modello configurazione è abilitata.
Nota:
Se non si definiscono esplicitamente le impostazioni per il modello di configurazione, vengono utilizzate
le impostazioni predefinite del servizio.
Argomenti correlati
• Per applicare un modello di configurazione a un server
10.10.3.2 Per applicare un modello di configurazione a un server
Prima di applicare un modello di configurazione, assicurarsi di avere definito le impostazioni del modello
di configurazione per il tipo di server a cui applicare il modello. Se non si definiscono esplicitamente le
impostazioni del modello di configurazione, vengono utilizzate le impostazioni predefinite per il servizio.
Nota:
I server per i quali l'impostazione Usa modello configurazione non è abilitata non verranno aggiornati
quando si modificano le impostazioni del modello di configurazione.
1. Passare all’area di gestione degli "Server" della CMC.
2. Fare doppio clic sul server che ospita un servizio a cui applicare il modello di configurazione.
Viene visualizzata la schermata "Proprietà".
3. Selezionare la casella di controllo Usa modello configurazione e fare clic su Salva o Salva e
chiudi.
406
2013-09-19
Amministrazione del server
Nota:
Se per rendere effettive le nuove impostazioni è necessario riavviare il server, nell'elenco dei server
è contrassegnato come "Non aggiornato".
Il modello di configurazione appropriato viene applicato al server corrente. Qualsiasi modifica successiva
apportata al modello di configurazione comporta il cambiamento della configurazione di tutti i server
che ne fanno uso.
Con la deselezione dell'opzione Usa modello configurazione la configurazione del server non viene
ripristinata sui valori precedenti all'applicazione del modello di configurazione. Le modifiche apportate
successivamente al modello di configurazione non hanno effetto sulla configurazione dei server che
utilizzano il modello.
Argomenti correlati
• Per impostare un modello di configurazione
10.10.3.3 Per ripristinare i valori predefiniti di sistema
È possibile ripristinare la configurazione di un servizio alle impostazioni originali, ad esempio in caso
di errata configurazione dei server o di problemi di prestazioni.
1. Passare all’area di gestione degli "Server" della CMC.
2. Fare doppio clic sul server che ospita un servizio per il quale si desidera ripristinare i valori predefiniti
di sistema.
Viene visualizzata la schermata "Proprietà".
3. Selezionare la casella di controllo Ripristina valori predefiniti di sistema e selezionare Salva o
Salva e chiudi.
Vengono ripristinate le impostazioni predefinite per il tipo di servizio specifico.
10.11 Configurazione delle impostazioni di rete del server
Le impostazioni di rete per i server della piattaforma BI vengono gestite tramite la CMC. Queste
impostazioni sono divise in due categorie: impostazioni porta e identificazione host.
impostazioni predefinite
Durante l'installazione, gli identificatori host del server sono impostati su Assegna automaticamente.
A ogni server può tuttavia essere assegnato un nome host o un indirizzo IP specifico. Il numero di porta
CMS predefinito è 6400. Gli altri server della piattaforma BI vengono associati in modo dinamico alle
407
2013-09-19
Amministrazione del server
porte disponibili. I numeri di porta vengono gestiti automaticamente dalla piattaforma BI, tuttavia è
possibile utilizzare la CMC per specificare i numeri di porta.
10.11.1 Opzioni dell'ambiente di rete
La piattaforma BI supporta il traffico di rete basato su Internet Protocol versione 6 (IPv6) e Internet
Protocol versione 4 (IPv4). È possibile utilizzare i componenti client e server in qualsiasi dei seguenti
ambienti:
•
•
•
Rete IPv4: tutti i componenti client e server vengono eseguiti solo con il protocollo IPv4.
Rete IPv6: tutti i componenti client e server vengono eseguiti solo con il protocollo IPv6.
Rete mista IPv6/IPv4: i componenti client e server possono essere eseguiti con entrambi i protocolli
IPv6 e IPv4.
Nota:
La configurazione della rete dovrebbe essere eseguita dal sistema e dall'amministratore di rete. La
piattaforma BI non fornisce un meccanismo per la definizione di un ambiente di rete. È possibile utilizzare
la CMC per creare un'associazione a uno specifico indirizzo IPv6 o IPv4 per un server della piattaforma
BI.
10.11.1.1 Ambiente IPv6/IPv4 misto
L'ambiente di rete IPv6/IPv4 consente:
•
•
I server della piattaforma BI possono soddisfare sia le richieste IPv6 che IPv4 se vengono eseguiti
in modalità IPv6/IPv4 mista.
I componenti client possono interagire con i server come nodi solo IPv6, solo IPv4 o nodi IPv6/IPv4.
La modalità mista è particolarmente utile nei seguenti scenari:
• Spostamento da un ambiente di nodo solo IPv4 a un ambiente di nodo solo IPv6. Tutti i componenti
client e server continueranno a interagire senza interruzioni fino al completamento della transizione.
È quindi possibile disattivare le impostazioni IPv4 per tutti i server.
• Il software di terze parti non compatibile con IPv6 continuerà a funzionare nell'ambiente di nodo
IPv6/IPv4.
10.11.2 Opzioni di identificazione host del server
408
2013-09-19
Amministrazione del server
È possibile specificare le opzioni di identificazione host nella console CMC per tutti i server della
piattaforma BI. Nella seguente tabella sono riepilogate le opzioni disponibili nell'area "Impostazioni
comuni":
Opzione
Descrizione
Assegna automaImpostazione predefinita per tutti i server Quando si seleziona questa casella di
ticamente
controllo, il server associa automaticamente la porta richiesta del server alla prima
interfaccia di rete nel computer.
Nota:
È consigliabile selezionare la casella di controllo Assegna automaticamente
per il nome host. Tuttavia, in alcuni casi, ad esempio quando il server viene eseguito in un computer multi-home o quando il server deve interagire con una determinata configurazione di firewall, è necessario considerare l'utilizzo di un indirizzo
IP o di un nome host specifico. Consultare le informazioni relative alla configurazione di un computer multi-home e all'utilizzo dei firewall nel Manuale dell'amministratore della piattaforma SAP BusinessObjects Business Intelligence.
Nome host
Indirizzo IP
Specifica il nome host dell'interfaccia di rete su cui il server resta in ascolto delle
richieste. Per il server CMS, questa impostazione specifica il nome host dell'interfaccia di rete cui il server CMS associa la porta richiesta e la porta del server dei
nomi.
Specifica l'indirizzo IP dell'interfaccia di rete su cui il server resta in ascolto delle
richieste. Per il server CMS, specifica l'indirizzo dell'interfaccia di rete che il server
CMS utilizza per associare la porta del server dei nomi alla porta richiesta. Per
tutti i server, vengono forniti campi separati per specificare gli indirizzi IP IPv4 e/o
IPv6.
Avvertenza:
Se si seleziona la casella di controllo Assegna automaticamente su un computer multi-home, il server
CMS potrebbe associarsi automaticamente all'interfaccia di rete errata. Per evitare questo problema,
assicurarsi che le interfacce di rete sul computer host siano elencate nell'ordine corretto (utilizzando
gli strumenti del sistema operativo del computer). È necessario specificare il nome host del server CMS
nella CMC.
Nota:
Se si utilizzano computer multi-home o alcune configurazioni firewall NAT, potrebbe essere necessario
specificare il nome host tramite nomi di dominio completi anziché nomi host.
Argomenti correlati
• Per configurare il sistema per i firewall
• Configurazione di un computer multi-home
• Per risolvere i problemi relativi a più interfacce di rete
409
2013-09-19
Amministrazione del server
10.11.2.1 Per modificare un'identificazione host di un server
1. Passare all'area di gestione degli "Server" della CMC.
2. Selezionare il server, quindi scegliere Arresta server dal menu Azioni.
3. Scegliere Proprietà dal menu Gestisci.
4. In Impostazioni comuni selezionare una delle seguenti opzioni:
Opzione
Descrizione
Assegna automa- Il server verrà associato a una delle interfacce di rete disponibili.
ticamente
Nome host
Immettere il nome host dell'interfaccia di rete su cui il server rimane in attesa
delle richieste.
Indirizzo IP
Immettere nei campi forniti un indirizzo IP IPv4 o IPv6 per l'interfaccia di rete
su cui il server rimane in attesa di richieste.
Nota:
Per fare in modo che il server possa funzionare come nodo IPv4/IPv6 doppio,
immettere un indirizzo IP valido in entrambi i campi.
5. Fare clic su Salva o su Salva e chiudi.
Le modifiche vengono riflesse nella riga di comando visualizzata nella scheda "Proprietà".
6. Avviare e abilitare il server.
10.11.3 Configurazione di un computer multi-home
Un computer multi-home dispone di più indirizzi di rete. È possibile realizzare questa configurazione
con più interfacce di rete, ciascuna con uno o più indirizzi IP, o con una sola interfaccia di rete a cui
sono stati assegnati più indirizzi IP.
Se si dispone di più interfacce di rete, ciascuna con un solo indirizzo IP, modificare l'ordine di
associazione in modo che l'interfaccia di rete al primo posto in tale ordine sia quella a cui si desidera
vengano associati i server della piattaforma BI. Se l'interfaccia ha più indirizzi IP, utilizzare l'opzione
Identificatori host nella console CMC per specificare una scheda di interfaccia di rete per il server della
piattaforma BI. È possibile specificarla con nome host o indirizzo IP. Per ulteriori informazioni sulla
configurazione dell'impostazione Identificatori host, consultare “Per risolvere i problemi relativi a più
interfacce di rete”.
410
2013-09-19
Amministrazione del server
Suggerimento:
questa sezione illustra come limitare tutti i server allo stesso indirizzo di rete, ma è possibile associare
singoli server a indirizzi diversi. Ad esempio, può essere opportuno associare i File Repository Server
a un indirizzo privato che non sia instradabile dai computer degli utenti. Configurazioni avanzate come
questa richiedono che la configurazione DNS instradi in modo efficace le comunicazioni tra tutti i
componenti server della piattaforma BI. In questo esempio, il DNS deve instradare le comunicazioni
dagli altri server della piattaforma BI all’indirizzo privato dei File Repository Server.
Argomenti correlati
• Per risolvere i problemi relativi a più interfacce di rete
10.11.3.1 Per configurare il server CMS da associare a un indirizzo di rete
Nota:
in una macchina multi-homed, è possibile impostare l'identificatore host sul nome di dominio completo
o sull'indirizzo IP dell'interfaccia a cui associare il server.
1. Passare all’area di gestione Server della CMC.
2. Fare doppio clic sul CMS.
3. In "Impostazioni comuni" selezionare una delle seguenti opzioni:
• Nome host
• Immettere il nome host dell'interfaccia di rete a cui verrà associato il server.
• Indirizzo IP
• Immettere nei campi forniti un indirizzo IP IPv4 o IPv6 per l'interfaccia di rete a cui verrà associato
il server.
Nota:
Per fare in modo che il server possa funzionare come nodo IPv4/IPv6 doppio, immettere un
indirizzo IP valido in entrambi i campi.
Avvertenza:
Non selezionare Assegna automaticamente.
4. Per Porta richiesta è possibile effettuare una delle operazioni seguenti:
•
•
Selezionare l'opzione Assegna automaticamente.
Immettere un numero di porta valido nel campo Porta richiesta.
5. Assicurarsi che sia specificato un numero di porta nella finestra di dialogo Porta server dei nomi.
Nota:
Il numero di porta predefinito è 6400.
411
2013-09-19
Amministrazione del server
10.11.3.2 Configurazioni degli altri server da associare a un indirizzo di rete
Gli altri server della piattaforma BI selezionano le porte in modo dinamico per impostazione predefinita.
Per informazioni sulla disabilitazione dell'impostazione Assegna automaticamente, che propaga
dinamicamente questa informazione, consultare “Modifica di una porta utilizzata da un server per
l'accettazione di richieste.”
Argomenti correlati
• Per modificare la porta utilizzata da un server per accettare le richieste
10.11.3.3 Per risolvere i problemi relativi a più interfacce di rete
In un computer multi-home, è possibile che il server CMS venga associato automaticamente all'interfaccia
di rete errata. Per evitare questa situazione, assicurarsi che le interfacce di rete sull'host siano elencate
nell'ordine corretto (utilizzando gli strumenti del sistema operativo) o che l'impostazione Nome host sia
abilitata per il server CMS nella console CMC. Se l'interfaccia di rete primaria non è instradabile, è
possibile utilizzare la seguente procedura per configurare la piattaforma BI per l'associazione a
un'interfaccia di rete instradabile non primaria. Eseguire questi passaggi immediatamente dopo
l'installazione della piattaforma BI nel computer locale, prima di installare la piattaforma BI in altri
computer.
1. Aprire CCM e arrestare SIA per il nodo nel computer che dispone di più interfacce di rete.
2. Fare clic con il pulsante destro del mouse sul SIA e scegliere Proprietà.
3. Nella finestra di dialogo "Proprietà" fare clic sulla scheda "Configurazione".
4. Per associare il SIA a una specifica interfaccia di rete, digitare il numero di porta dell'interfaccia di
rete di destinazione nel campo Porta.
5. Fare clic su OK e selezionare la scheda "Avvio".
6. Nell'elenco "Server CMS locali" selezionare il CMS e fare clic su Proprietà.
7. Per associare il CMS a una specifica interfaccia di rete, digitare il numero di porta dell'interfaccia di
rete di destinazione nel campo Porta.
8. Fare clic su OK per applicare le nuove impostazioni.
9. Avviare SIA e attendere l'avvio dei server.
10. Avviare Central Management Console (CMC) e accedere all'area di gestione "Server". Ripetere i
passaggi 11-14 per ogni server.
11. Selezionare il server, quindi scegliere Arresta server dal menu Azioni.
12. Scegliere Proprietà dal menu Gestisci.
13. In Impostazioni comuni selezionare una delle seguenti opzioni:
412
2013-09-19
Amministrazione del server
•
•
Nome host: immettere il nome host dell'interfaccia di rete a cui verrà associato il server.
Indirizzo IP: immettere nei campi forniti un indirizzo IP IPv4 o IPv6 per l'interfaccia di rete a cui
verrà associato il server.
Nota:
Per fare in modo che il server possa funzionare come nodo IPv4/IPv6 doppio, immettere un
indirizzo IP valido in entrambi i campi.
Avvertenza:
Non selezionare Assegna automaticamente.
14. Fare clic su Salva o su Salva e chiudi.
15. Tornare a CCM e riavviare SIA.
SIA riavvia tutti i server nel nodo. Tutti i server nel computer sono ora associati all'interfaccia di rete
corretta.
10.11.4 Configurazione dei numeri di porta
Durante l'installazione, il CMS viene impostato per utilizzare i numeri di porta predefiniti. Il numero di
porta CMS predefinito è 6400. Questa porta rientra nell'intervallo di porte riservato da SAP
BusinessObjects (da 6400 a 6410). La comunicazione su queste porte non dovrebbe entrare in conflitto
con applicazioni di terze parti.
Quando viene avviato e abilitato, ciascuno degli altri server della piattaforma BI viene associato
dinamicamente a una porta disponibile (con un numero superiore a 1024), viene registrato con questa
porta sul CMS e attende le richieste della piattaforma BI. Se necessario, è possibile indicare a ciascun
componente server di restare in attesa su una porta specifica (piuttosto che selezionare dinamicamente
qualsiasi porta disponibile). Sarà, ad esempio, necessario configurare manualmente una porta di
richiesta per ogni server della piattaforma BI che deve comunicare attraverso un firewall.
I numeri delle porte possono essere specificati nella scheda Proprietà di ogni server nella console CMC.
In questa tabella vengono riepilogate le opzioni in "Impostazioni comuni", relative all'utilizzo delle porte
per tipi di server specifici:
413
2013-09-19
Amministrazione del server
Impostazione
CMS
Altri server
Porta richiesta
Specifica la porta utilizzata dal server CMS per accettare tutte le richieste da altri server (tranne le richieste
del server dei nomi). Utilizza la stessa interfaccia di rete come porta del
server dei nomi. Quando si seleziona Assegna automaticamente, il
server utilizza automaticamente un
numero di porta assegnato dal sistema operativo.
Specifica la porta su cui il server
resta in ascolto di tutte le richieste.
Quando si seleziona Assegna automaticamente, il server utilizza automaticamente un numero di porta
assegnato dal sistema operativo.
Porta server dei nomi
Specifica la porta della piattaforma
BI su cui il server CMS resta in ascolto delle richieste del servizio dei
nomi. Il numero di porta predefinito
è 6400.
Non applicabile.
10.11.4.1 Per modificare la porta CMS predefinita nella console CMC
Se un server CMS è già in esecuzione nel cluster, è possibile utilizzare la console CMC per modificare
il numero della porta CMS predefinita. Se non sono presenti CMS in esecuzione nel cluster, sarà
necessario utilizzare il CCM su Windows o lo script serverconfig.sh su UNIX, per modificare il
numero di porta.
Nota:
Il CSM utilizza la stessa scheda di interfaccia di rete per la porta richiesta e la porta del server dei nomi.
1. Passare all’area di gestione "Server" della CMC.
2. Fare doppio clic sul server CMS nell'elenco dei server.
3. Sostituire il numero Porta server dei nomi con la porta su cui si desidera che resti in ascolto il
server CMS. Il numero di porta predefinito è 6400.
4. Fare clic su Salva e chiudi.
5. Riavviare CMS.
Il server CMS inizia l'ascolto sul numero di porta specificato. Il Server Intelligence Agent propaga
dinamicamente le nuove impostazioni agli altri server nel nodo, se tali server dispongono dell'opzione
Assegna automaticamente selezionata per la porta richiesta. Potrebbero occorrere alcuni minuti
per la visualizzazione delle modifiche nelle impostazioni Proprietà di tutti i membri del nodo.
Le impostazioni scelte nella pagina "Proprietà" vengono riflesse nella riga di comando del server,
che viene anche visualizzata nella pagina "Proprietà".
414
2013-09-19
Amministrazione del server
10.11.4.2 Modifica della porta CMS predefinita in CCM su Windows
Se non sono presenti CMS accessibili nel cluster e si desidera modificare la porta CMS predefinita per
uno o più CMS nella distribuzione, è necessario utilizzare il CCM per modificare il numero di porta CMS.
1. Aprire CCM e arrestare il SIA per il nodo.
2. Fare clic con il pulsante destro del mouse sul SIA e scegliere Proprietà.
3. Nella finestra di dialogo "Proprietà" fare clic sulla scheda "Avvio".
4. Dall'elenco "Server CMS locali", selezionare il CMS per il quale si desidera modificare il numero di
porta e fare clic su Proprietà.
5. Per associare il CMS a una porta specifica, digitare il numero di porta nel campo Porta.
6. Fare clic su OK per applicare le nuove impostazioni.
7. Avviare SIA e attendere l'avvio dei server.
10.11.4.3 Modifica della porta CMS predefinita in CCM su Unix
Se non sono presenti CMS accessibili nel cluster e si desidera modificare la porta CMS predefinita per
uno o più CMS nella distribuzione, utilizzare lo script serverconfig.sh per modificare il numero di
porta CMS.
1. Utilizzare lo script ccm.sh per interrompere l'agente SIA (Server Intelligence Agent) che ospita il
CMS di cui si desidera modificare il numero di porta.
2. Eseguire lo script serverconfig.sh.
Per impostazione predefinita, questo script risiede nella directory <DirInstallaz>/sap_bobj.
3. Selezionare 3 - Modifica nodo e premere Invio.
4. Selezionare il nodo che ospita il CMS che si desidera modificare e premere Invio.
5. Selezionare 3 - Modifica un CMS locale e premere Invio.
Verrà visualizzato un elenco di CMS ospitati nel nodo.
6. Selezionare il CMS da modificare, quindi premere Invio.
7. Digitare il nuovo numero di porta per il CMS, quindi premere Invio.
8. Specificare se si desidera che il CMS si avvii automaticamente all'avvio dell'agente SIA e premere
Invio.
9. Digitare gli argomenti della riga di comando per il CMS o accettare gli argomenti correnti e premere
Invio.
10. Digitare esci per uscire dallo script.
11. Avviare il SIA con lo script ccm.sh e attendere l'avvio dei server.
415
2013-09-19
Amministrazione del server
10.11.4.4 Per modificare la porta utilizzata da un server per accettare le richieste
Nota:
non è possibile utilizzare questa procedura per modificare la porta per le richieste del CMS (Central
Management Server). Consultare invece “Per modificare la porta utilizzata da un CMS per accettare
le richieste”.
1. Passare all'area di gestione degli "Server" della CMC.
2. Selezionare il server, quindi scegliere Arresta server dal menu Azioni.
3. Fare doppio clic sul server.
Viene visualizzata la schermata "Proprietà".
4. In "Impostazioni comuni", deselezionare la casella di controllo Assegna automaticamente per
Porta richiesta, quindi digitare il numero di porta su cui si desidera che il server resti in ascolto.
5. Fare clic su Salva o su Salva e chiudi.
6. Avviare e abilitare il server.
Il server viene associato alla nuova porta, esegue la registrazione con il server CMS e inizia l'ascolto
per le richieste della piattaforma BI sulla nuova porta.
10.12 Gestione dei nodi
10.12.1 Utilizzo dei nodi
Un nodo è un gruppo di server della piattaforma BI eseguiti sullo stesso host e gestiti dallo stesso
agente SIA (Server Intelligence Agent). Tutti i server di un nodo vengono eseguiti con lo stesso account
utente. In un computer possono essere presenti molti nodi, pertanto è possibile eseguire i processi con
account utente diversi. La gestione e il controllo di tutti i server di un nodo, a garanzia del corretto
funzionamento di questi, viene eseguita da un unico agente SIA.
Nota:
è necessario utilizzare un account Administrator con l'autenticazione Enterprise per eseguire
correttamente tutte le procedure di gestione dei nodi. Se tuttavia è abilitata la comunicazione SSL tra
i server, è necessario disabilitare SSL per eseguire qualsiasi attività di gestione dei nodi.
416
2013-09-19
Amministrazione del server
Nota:
Verificare che tutti i driver di database necessari per la connessione dei server della piattaforma BI alle
rispettive origini dati, ad esempio per la connessione del CMS al database CMS, siano presenti e che
sia già stato configurato l'ambiente corretto, ad esempio che siano state configurate le variabili di
ambiente appropriate.
Argomenti correlati
• Configurazione dei server per SSL
• Per preparare un computer Unix per SQL Anywhere
10.12.1.1 Variabili
417
2013-09-19
Amministrazione del server
Variabile
<DIRINSTALL>
Descrizione
Directory in cui viene installato SAP BusinessObjects Business Intelligence Platform.
In Windows: C:\Programmi (x86)\SAP BusinessObjects
<DIRSCRIPT>
La directory in cui si trovano gli script di gestione dei nodi.
• In Windows: <DIRINSTALL>\SAP BusinessObjects Enterprise XI
4.0\win64_x64\scripts
• In Unix: <DIRINSTALL>/sap_bobj/enterprise_xi40/<PLAT
FORM64>/scripts
<PLATFORM32>
Nome del sistema operativo Unix. I valori accettabili sono:
•
•
•
•
<PIATTAFOR
MA64>
aix_rs6000
linux_x86
solaris_sparc
win32_x86
Nome del sistema operativo Unix. I valori accettabili sono:
• aix_rs6000_64
• linux_x64
• solaris_sparcv9
• win64_x64
10.12.1.2 Per preparare un computer Unix per SQL Anywhere
Per potere utilizzare SQL Anywhere come origine dati ODBC su un computer Unix, è necessario creare
un file odbc.ini ed eseguire il comando source su di esso.
Nota:
Questa procedura non è necessaria se si utilizza il server SQL Anywhere in bundle installato con la
piattaforma BI.
1. Creare il file odbc.ini in DIRINSTALL/sap_bobj/enterprise_xi40/PIATTAFORMA64.
2. Immettere il nome DSN (Database Source Name), il nome di database e il nome server per SQL
Anywhere, nonché l'indirizzo IP e il numero di porta del computer che ospita il server di database
SQL Anywhere.
3. Salvare odbc.ini.
4. Importare l'ambiente SQL Anywhere nel proprio ambiente corrente.
418
2013-09-19
Amministrazione del server
Se, ad esempio, si utilizza Bash come shell della riga di comando, specificare la versione a 64 bit
del file sa_config.sh come origine.
5. Definire una variabile di ambiente denominata ODBCINI che punti alla posizione in cui è stato creato
il file odbc.ini.
Configurare la variabile di ambiente in modo che i processi secondari possano visualizzare la variabile
di ambiente ODBCINI.
Esempio:
File odbc.ini di esempio:
[ODBC Data Sources]
SampleDatabase=SQLAnywhere 12.0
[SampleDatabase]
UID=Administrator
PWD=password
DatabaseName=SampleDatabase
ServerName=SampleDatabase
CommLinks=tcpip(host=192.0.2.0;port=2638)
Driver=/build/bo/sqlanywhere12/lib64/libdbodbc12.so
Comando source di esempio:
source /build/bo/sqlanywhere12/bin64/sa_config.sh
ODBCINI=/build/bo/sap_bobj/enterprise_xi40/linux_x64/odbc.ini;export ODBCINI
Argomenti correlati
• Variabili
10.12.2 Aggiunta di un nuovo nodo
Il programma di installazione crea un singolo nodo quando si installa per la prima volta la piattaforma
BI.
Se si desidera eseguire i server utilizzando account utente differenti, potrebbero essere necessari nodi
aggiuntivi.
È possibile aggiungere un nuovo nodo utilizzando CCM (Central Configuration Manager) oppure uno
script di gestione dei nodi. Se si utilizza un firewall, assicurarsi che le porte del SIA (Server Intelligence
Agent) e del server CMS (Central Management Server) siano aperte.
Nota:
Utilizzare CCM o lo script di gestione dei nodi sul computer sul quale si desidera aggiungere un nodo.
Non è possibile aggiungere un nodo su un computer remoto.
Un'installazione della piattaforma BI rappresenta un'istanza univoca dei file della piattaforma BI creati
dal programma di installazione su un computer. È possibile utilizzare un'istanza di un'installazione della
piattaforma BI solo all'interno di un singolo cluster. I nodi appartenenti a cluster differenti che condividono
419
2013-09-19
Amministrazione del server
la stessa installazione della piattaforma BI non sono supportati perché questo tipo di distribuzione non
può essere corretto né aggiornato. Solo le piattaforme Unix supportano più installazioni del software
sullo stesso computer, a condizione che ogni installazione venga eseguita con un account utente
univoco e venga installata in una cartella separata in modo da non condividere file con le altre
installazioni.
Tenere presente che tutti i computer nel cluster devono presentare versione e livello patch identici.
10.12.2.1 Aggiunta di un nodo a un nuovo computer in una distribuzione esistente
È possibile creare automaticamente il primo nodo in un computer quando si utilizza il programma di
installazione per aggiungere un nuovo computer a una distribuzione esistente.
Suggerimento:
durante l'installazione, fare clic su Espandi e specificare il Central Management Server esistente.
Se si desidera creare altri nodi, utilizzare Central Configuration Manager o lo script serverconfig.sh.
Per ulteriori informazioni sull'installazione, consultare il Manuale di installazione della piattaforma SAP
BusinessObjects Business Intelligence.
10.12.2.2 Aggiunta di un nodo in Windows
Avvertenza:
eseguire una copia di backup della configurazione del server per l'intero cluster prima e dopo l'aggiunta
di un nodo.
1. In CCM (Central Configuration Manager), sulla barra degli strumenti, fare clic su Aggiungi nodo.
2. Nell'"Aggiunta guidata nodo" immettere il nome nodo e il numero di porta per il nuovo SIA (Server
Intelligence Agent).
3. Scegliere se si desidera creare server nel nuovo nodo.
• Aggiungi nodo senza server
• Aggiungi nodo con CMS
• Aggiungi nodo con server predefiniti
Questa opzione crea solo i server installati in questa macchina. Non include tutti i server possibili.
4. Selezionare un CMS.
• Se la distribuzione in esecuzione, selezionare Utilizza CMS esistente in esecuzione e fare clic
su Avanti.
420
2013-09-19
Amministrazione del server
Se richiesto, immettere il nome host e il numero di porta per il CMS esistente, le credenziali
dell'amministratore, il nome dell'origine dati, le credenziali per il database di sistema e la chiave
cluster.
•
Se la distribuzione viene interrotta, selezionare Avvia un nuovo CMS temporaneo e fare clic
su Avanti.
Se richiesto, immettere il nome host e il numero di porta per il CMS temporaneo, le credenziali
dell'amministratore, il nome dell'origine dati, le credenziali per il database di sistema e la chiave
cluster. Viene avviato un CMS temporaneo che viene interrotto al termine di questo processo.
Avvertenza:
evitare di utilizzare la distribuzione mentre è in esecuzione il CMS temporaneo. Assicurarsi che
il CMS esistente e quello nuovo utilizzino porte diverse.
5. Rivedere la pagina di conferma e premere Fine.
CCM crea un nodo. Se si verificano errori, esaminare il file di registro.
A questo punto è possibile utilizzare CCM per avviare il nuovo nodo.
10.12.2.2.1 Aggiunta di un nodo a Windows mediante uno script
Avvertenza:
eseguire una copia di backup della configurazione del server per l'intero cluster prima e dopo l'aggiunta
di un nodo.
È possibile utilizzare AddNode.bat per aggiungere un nodo in un computer Windows. Per ulteriori
informazioni, consultare la sezione “Parametri script per l'aggiunta, la ricreazione e l'eliminazione di
nodi”.
Esempio:
A causa delle limitazioni del prompt dei comandi, è necessario utilizzare l'accento circonflesso (^) per
eseguire l'escape degli spazi, del segno di uguale (=) e del punto e virgola (;) in questi parametri, a
meno che il testo non venga racchiuso tra virgolette.
<SCRIPTDIR>\AddNode.bat -name mynode2
-siaport 6415
-cms mycms:6400
-username Administrator
-password My^ Password
-cmsport 7400
-dbdriver mysqldatabasesubsystem
-connect "DSN=BusinessObjects CMS 140;UID=username;PWD=Password1;HOSTNAME=database;PORT=3306"
-dbkey abc1234
-noservers
-createcms
Nota:
per evitare l'utilizzo dell'accento circonflesso nelle stringhe lunghe, è possibile scrivere il nome dello
script e tutti i relativi parametri in un file response.bat temporaneo, quindi eseguire nuovamente il
file response.bat senza parametri.
421
2013-09-19
Amministrazione del server
Argomenti correlati
• Variabili
• Parametri script per l'aggiunta, la ricreazione e l'eliminazione di nodi
10.12.2.3 Aggiunta di un nodo in Unix
Avvertenza:
eseguire una copia di backup della configurazione del server per l'intero cluster prima e dopo l'aggiunta
di un nodo.
1. Eseguire DIRINSTALL/sap_bobj/serverconfig.sh
2. Selezionare 1 - Add node e premere Invio.
3. Digitare il nome del nuovo nodo e premere Invio.
4. Immettere il numero di porta del nuovo SIA e premere Invio.
5. Scegliere se si desidera creare server nel nuovo nodo.
• no servers
Crea un nodo che non contiene alcun server.
•
cms
Crea un CMS sul nodo senza creare altri server.
•
default servers
Crea solo i server installati in questa macchina. Non include tutti i server possibili.
6. Selezionare un CMS.
• Se la distribuzione è in esecuzione, selezionare existing e premere Invio.
Se richiesto, immettere il nome host e il numero di porta per il CMS esistente, le credenziali
dell'amministratore, le informazioni di connessione al database, le credenziali per il database di
sistema e la chiave cluster.
•
Se la distribuzione viene interrotta, selezionare temporary e premere Invio.
Se richiesto, immettere il nome host e il numero di porta per il CMS temporaneo, le credenziali
dell'amministratore, le informazioni di connessione al database, le credenziali per il database di
sistema e la chiave cluster. Viene avviato un CMS temporaneo che viene interrotto al termine di
questo processo.
Avvertenza:
evitare di utilizzare la distribuzione mentre è in esecuzione il CMS temporaneo. Assicurarsi che
il CMS esistente e quello nuovo utilizzino porte diverse.
7. Rivedere la pagina di conferma e premere Invio.
CCM crea un nodo. Se si verificano errori, esaminare il file di registro.
422
2013-09-19
Amministrazione del server
A questo punto è possibile eseguire DIRINSTALL/sap_bobj/ccm.sh -start NomeNodo per
avviare il nuovo nodo.
10.12.2.3.1 Aggiunta di un nodo a Unix mediante uno script
Avvertenza:
eseguire una copia di backup della configurazione del server per l'intero cluster prima e dopo l'aggiunta
di un nodo.
È possibile utilizzare addnode.sh per aggiungere un nodo in un computer Unix. Per ulteriori
informazioni, consultare la sezione “Parametri script per l'aggiunta, la ricreazione e l'eliminazione di
nodi”.
Esempio:
<SCRIPTDIR>/addnode.sh -name mynode2
-siaport 6415
-cms mycms:6400
-username Administrator
-password Password1
-cmsport 7400
-dbdriver mysqldatabasesubsystem
-connect "DSN=BusinessObjects CMS 140;UID=Administrator;PWD=Password1;HOSTNAME=myDatabase;PORT=3306"
-dbkey abc1234
-noservers
-createcms
Argomenti correlati
• Variabili
• Parametri script per l'aggiunta, la ricreazione e l'eliminazione di nodi
10.12.3 Ricreazione di un nodo
È possibile ricreare un nodo utilizzando il CCM (Central Configuration Manager) o uno script di gestione
dei nodi dopo aver ripristinato la configurazione per l'intero cluster o se il computer che ospita la
distribuzione viene arrestato, viene danneggiato o presenta un file system corrotto. Utilizzare le seguenti
indicazioni:
•
•
•
•
423
Non è necessario ricreare un nodo se si reinstalla la distribuzione in un computer sostitutivo con
opzioni di installazione e nome del nodo identici. Il nodo viene ricreato automaticamente dal
programma di installazione.
È consigliabile ricreare un nodo solo in un computer con una distribuzione esistente che presenti
opzioni di installazione e livello di patch identici.
È consigliabile ricreare solo i nodi che non esistono in computer della distribuzione. Assicurarsi che
nessun altro computer ospiti lo stesso nodo.
Sebbene la distribuzione consenta l'esecuzione dei nodi su sistemi operativi diversi, è necessario
ricreare i nodi solo in computer che utilizzano lo stesso sistema operativo.
2013-09-19
Amministrazione del server
•
Se si utilizza un firewall, verificare che le porte del SIA (Server Intelligence Agent) e del CMS (Central
Management Server) siano aperte.
Promemoria:
è possibile ricreare un nodo solo sul computer in cui risiede.
Argomenti correlati
• Ripristino del sistema
10.12.3.1 Ricreazione di un nodo in Windows
1. Nel CCM (Central Configuration Manager) fare clic su Aggiungi nodo sulla barra degli strumenti.
2. Nell'"Aggiunta guidata nodo" immettere il nome del nodo e il numero di porta per il SIA (Server
Intelligence Agent) ricreato.
Nota:
i nomi del nodo di origine e di quello ricreato devono essere identici.
3. Selezionare Ricrea nodo e fare clic su Avanti.
•
Se il nodo esiste nel database di sistema del Central Management Server (CMS), viene ricreato
sull'host locale.
Avvertenza:
utilizzare questa opzione solo se il nodo non esiste in nessun host del cluster.
•
Se il nodo non esiste nel database di sistema CMS (Central Management System), viene aggiunto
un nuovo nodo con i server predefiniti che includono tutti i server installati nell'host.
4. Selezionare un CMS.
• Se il CMS è in esecuzione, selezionare Utilizza CMS esistente in esecuzione e fare clic su
Avanti.
Se richiesto, immettere il nome host e il numero di porta per il CMS esistente, le credenziali
dell'amministratore, il nome dell'origine dati, le credenziali per il database di sistema e la chiave
cluster.
•
Se il CMS è stato interrotto, selezionare Avvia un nuovo CMS temporaneo e fare clic su Avanti.
Se richiesto, immettere il nome host del CMS temporaneo, le credenziali dell'amministratore, il
nome dell'origine dati, le credenziali del database di sistema e la chiave cluster. Viene avviato
un CMS temporaneo che viene interrotto al termine di questo processo.
Avvertenza:
Evitare di utilizzare la distribuzione mentre è in esecuzione il CMS temporaneo.
5. Verificare la pagina di conferma e premere Fine.
Il CCM ricrea il nodo e aggiunge informazioni ad esso relative al computer locale. Se si verificano
errori, esaminare il file di registro.
424
2013-09-19
Amministrazione del server
È ora possibile eseguire il CCM per avviare il nodo ricreato.
10.12.3.1.1 Ricreazione di un nodo in Windows mediante uno script
Per ricreare un nodo in un computer Windows è possibile utilizzare AddNode.bat. Per ulteriori
informazioni, consultare la sezione “Parametri script per l'aggiunta, la ricreazione e l'eliminazione di
nodi”.
Esempio:
A causa delle limitazioni del prompt dei comandi, è necessario utilizzare l'accento circonflesso (^) per
eseguire l'escape degli spazi, del segno di uguale (=) e del punto e virgola (;) in questi parametri, a
meno che il testo non venga racchiuso tra virgolette.
<SCRIPTDIR>\AddNode.bat -name mynode2
-siaport 6415
-cms mycms:6400
-username Administrator
-password Password1
-cmsport 7400
-dbdriver mysqldatabasesubsystem
-connect "DSN=BusinessObjects CMS 140;UID=username;PWD=Password1;HOSTNAME=database;PORT=3306"
-dbkey abc1234
-adopt
Nota:
per evitare l'utilizzo dell'accento circonflesso nelle stringhe lunghe, è possibile scrivere il nome dello
script e tutti i relativi parametri in un file response.bat temporaneo, quindi eseguire nuovamente il
file response.bat senza parametri.
Argomenti correlati
• Variabili
• Parametri script per l'aggiunta, la ricreazione e l'eliminazione di nodi
10.12.3.2 Ricreazione di un nodo in Unix
1. Eseguire DIRINSTALL/sap_bobj/serverconfig.sh
2. Selezionare 1 - Add node e premere Invio.
3. Digitare il nome del nuovo nodo e premere Invio.
Nota:
i nomi del nodo di origine e di quello ricreato devono essere identici.
4. Digitare il numero di porta del nuovo SIA, quindi premere Invio.
5. Selezionare Ricrea nodo, quindi premere Invio.
•
425
Se il nodo esiste nel database di sistema del server CMS, viene ricreato nell'host locale.
2013-09-19
Amministrazione del server
Avvertenza:
utilizzare questa opzione solo se il nodo non esiste in nessun host del cluster.
•
Se il nodo non esiste nel database di sistema CMS (Central Management System), viene aggiunto
un nuovo nodo con i server predefiniti che includono tutti i server installati nell'host.
6. Selezionare un CMS.
• Se la distribuzione è in esecuzione, selezionare existing e premere Invio.
Se richiesto, immettere il nome host e il numero di porta per il CMS esistente, le credenziali
dell'amministratore, le informazioni di connessione al database, le credenziali per il database di
sistema e la chiave cluster.
•
Se la distribuzione viene interrotta, selezionare temporary e premere Invio.
Se richiesto, immettere il nome host del CMS temporaneo, le credenziali dell'amministratore, le
informazioni sulla connessione al database, le credenziali del database di sistema e la chiave
cluster. Viene avviato un CMS temporaneo che viene interrotto al termine di questo processo.
Avvertenza:
Evitare di utilizzare la distribuzione mentre è in esecuzione il CMS temporaneo.
7. Verificare la pagina di conferma e premere Invio.
Il CCM ricrea il nodo e aggiunge informazioni ad esso relative al computer locale. Se si verificano
errori, esaminare il file di registro.
È ora possibile eseguire DIRINSTALL/sap_bobj/ccm.sh -start NomeNodo per avviare il nodo
ricreato.
10.12.3.2.1 Ricreazione di un nodo in Unix mediante uno script
Per ricreare un nodo in un computer Unix è possibile utilizzare addnode.sh. Per ulteriori informazioni,
consultare la sezione “Parametri script per l'aggiunta, la ricreazione e l'eliminazione di nodi”.
Esempio:
SCRIPTDIR/addnode.sh -name mynode2
-siaport 6415
-cms mycms:6400
-username Administrator
-password Password1
-cmsport 7400
-dbdriver mysqldatabasesubsystem
-connect "DSN=BusinessObjects CMS 140;UID=Administrator;PWD=Password1;HOSTNAME=database;PORT=3306"
-dbkey abc1234
-adopt
Argomenti correlati
• Variabili
• Parametri script per l'aggiunta, la ricreazione e l'eliminazione di nodi
426
2013-09-19
Amministrazione del server
10.12.4 Eliminazione di un nodo
È possibile eliminare un nodo interrotto utilizzando un CCM (Central Configuration Manager) in
esecuzione o uno script di gestione dei nodi. Utilizzare le seguenti indicazioni:
•
•
L'eliminazione di un nodo determina anche la cancellazione permanente dei server in esso contenuti.
Se il cluster comprende più computer, eliminare i nodi prima di rimuovere un computer dal cluster
e disinstallare il software da esso. Se si rimuove un computer da un cluster prima di eliminare un
nodo o il file system di un computer non funziona correttamente, è necessario ricreare il nodo in un
altro computer con gli stessi server all'interno dello stesso cluster, quindi eliminare il nodo.
Promemoria:
è possibile eliminare un nodo solo sul computer in cui risiede.
Argomenti correlati
• Ricreazione di un nodo
10.12.4.1 Eliminazione di un nodo in Windows
Avvertenza:
eseguire il backup della configurazione server per l'intero cluster prima e dopo l'eliminazione di un nodo.
1. Eseguire il CCM (Central Configuration Manager).
2. Nel CCM interrompere il nodo da eliminare.
3. Selezionare il nodo, quindi fare clic su Elimina nodo sulla barra degli strumenti.
4. Se richiesto, immettere il nome host, la porta e le credenziali dell'amministratore per il CMS.
CCM elimina il nodo e tutti i server in esso contenuti.
10.12.4.1.1 Eliminazione di un nodo in Windows mediante uno script
Avvertenza:
eseguire il backup della configurazione server per l'intero cluster prima e dopo l'eliminazione di un nodo.
Per eliminare un nodo in un computer Windows è possibile utilizzare RemoveNode.bat. Per ulteriori
informazioni, consultare la sezione “Parametri script per l'aggiunta, la ricreazione e l'eliminazione di
nodi”.
Esempio:
SCRIPTDIR\RemoveNode.bat -name mynode2
-cms mycms:6400
427
2013-09-19
Amministrazione del server
-username Administrator
-password Password1
Argomenti correlati
• Variabili
• Parametri script per l'aggiunta, la ricreazione e l'eliminazione di nodi
10.12.4.2 Eliminazione di un nodo in Unix
Prima e dopo aver eliminato un nodo, eseguire il backup della configurazione server per l'intero cluster.
1. Eseguire DIRINSTALL/sap_bobj/ccm.sh -stop NomeNodo per arrestare il nodo da eliminare.
2. Eseguire DIRINSTALL/sap_bobj/serverconfig.sh
3. Selezionare 2 - Elimina nodo, quindi premere Invio.
4. Selezionare il nodo da eliminare, quindi premere Invio.
5. Se richiesto, immettere il nome host, il numero di porta e le credenziali dell'amministratore per il
CMS.
Vengono eliminati il nodo e tutti i server in esso contenuti.
10.12.4.2.1 Eliminazione di un nodo in Unix mediante uno script
Avvertenza:
eseguire il backup della configurazione server per l'intero cluster prima e dopo l'eliminazione di un nodo.
Per eliminare un nodo in un computer Unix è possibile utilizzare removenode.sh. Per ulteriori
informazioni, consultare la sezione “Parametri script per l'aggiunta, la ricreazione e l'eliminazione di
nodi”.
Esempio:
SCRIPTDIR\removenode.sh -name mynode2
-cms mycms:6400
-username Administrator
-password Password1
Argomenti correlati
• Variabili
• Parametri script per l'aggiunta, la ricreazione e l'eliminazione di nodi
428
2013-09-19
Amministrazione del server
10.12.5 Ridenominazione di un nodo
È possibile rinominare un nodo utilizzando il CCM (Central Configuration Manager). Per rinominare un
nodo, è necessario creare un nuovo nodo con un nuovo nome, clonare i server dal nodo originale nel
nuovo nodo, quindi eliminare il nodo originale. Utilizzare le seguenti indicazioni:
•
•
Se si rinomina il computer in cui è presente un nodo, non è necessario rinominare il nodo. È possibile
continuare a utilizzare il nome del nodo esistente.
Se si utilizza un firewall, verificare che le porte del SIA (Server Intelligence Agent) e del CMS (Central
Management Server) siano aperte.
Promemoria:
è possibile rinominare un nodo solo sul computer in cui risiede.
Argomenti correlati
• Aggiunta di un nuovo nodo
• Duplicazione di server
• Eliminazione di un nodo
10.12.5.1 Ridenominazione di un nodo in Windows
Avvertenza:
eseguire il backup della configurazione server per l'intero cluster prima e dopo la ridenominazione di
un nodo.
1. Avviare il Central Configuration Manager (CCM).
2. Nel CCM (Central Configuration Manager) fare clic su Aggiungi nodo sulla barra degli strumenti.
3. Nell'"Aggiunta guidata nodo" immettere il nome del nodo e il numero di porta per il nuovo SIA (Server
Intelligence Agent), le credenziali dell'amministratore, le informazioni sulla connessione al database,
le credenziali del database di sistema e la chiave cluster.
4. Selezionare Aggiungi nodo senza server.
5. Una volta creato il nodo, utilizzare la pagina "Gestione server" della Central Management Console
per clonare tutti i server dal nodo di origine nel nuovo nodo.
Nota:
verificare che i server clonati non presentino conflitti di porta con i server del nodo precedente.
6. Nel CCM avviare il nuovo nodo.
7. Dopo almeno cinque minuti di esecuzione del nuovo nodo, utilizzare il CCM per eliminare quello di
origine.
429
2013-09-19
Amministrazione del server
Argomenti correlati
• Aggiunta di un nuovo nodo
• Duplicazione di server
• Eliminazione di un nodo
10.12.5.2 Ridenominazione di un nodo in Unix
Avvertenza:
eseguire il backup della configurazione server per l'intero cluster prima e dopo la ridenominazione di
un nodo.
1. Eseguire DIRINSTALL/sap_bobj/serverconfig.sh.
2. Selezionare 1 - Add node e premere Invio.
3. Digitare il nome del nuovo nodo e premere Invio.
4. Immettere il numero di porta del nuovo SIA e premere Invio.
5. Se necessario, immettere le credenziali dell'amministratore, le informazioni sulla connessione al
database, le credenziali del database di sistema e la chiave cluster.
6. Selezionare nessun server e premere Invio.
7. Una volta creato il nodo, utilizzare la pagina "Gestione server" della Central Management Console
per clonare tutti i server dal nodo di origine nel nuovo nodo.
Nota:
verificare che i server clonati non presentino conflitti di porta con i server del nodo precedente.
8. Eseguire DIRINSTALL/sap_bobj/ccm.sh -start NomeNodo per avviare il nuovo nodo.
9. Dopo almeno cinque minuti di esecuzione del nuovo nodo, utilizzare serverconfig.sh per
eliminare quello di origine.
Argomenti correlati
• Aggiunta di un nuovo nodo
• Duplicazione di server
• Eliminazione di un nodo
10.12.6 Spostamento di un nodo
È possibile spostare un nodo interrotto da un cluster in un altro utilizzando il CCM (Central Configuration
Manager) o uno script di gestione dei nodi. Utilizzare le seguenti indicazioni:
430
2013-09-19
Amministrazione del server
•
•
•
•
Verificare che il cluster di destinazione non presenti un nodo con lo stesso nome.
Verificare che tutti i tipi di server installati nel computer in cui si trova il nodo di origine siano installati
anche nel cluster di destinazione.
Se si desidera aggiungere un nuovo computer a un cluster di produzione senza che tuttavia venga
utilizzato prima di completarne il test, installare la piattaforma BI in un computer autonomo, eseguire
il test del computer, quindi spostare il nodo in un cluster di produzione.
Il livello del service pack e della versione della piattaforma BI di questo computer devono essere
coerenti con il resto del cluster.
Promemoria:
è possibile spostare un nodo solo sul computer in cui risiede.
10.12.6.1 Spostamento di un nodo esistente in Windows
In questo esempio il nodo da spostare viene installato nel sistema di origine. Il computer del sistema
di origine, inizialmente installazione autonoma, viene aggiunto al cluster di destinazione.
Avvertenza:
eseguire il backup della configurazione server per l'intero cluster prima e dopo lo spostamento di un
nodo.
1. Interrompere il nodo nel CCM (Central Configuration Manager).
2. Fare clic con il pulsante destro del mouse sul nodo e scegliere Sposta.
3. Se richiesto, selezionare il nome dell'origine dati e immettere il nome host, la porta, le informazioni
sulla connessione al database, le credenziali dell'amministratore per il CMS di destinazione e la
chiave cluster.
4. Selezionare un CMS.
• Se la distribuzione di origine è in esecuzione, selezionare Utilizza CMS esistente in esecuzione
e premere Avanti.
Se richiesto, immettere il nome host e il numero di porta del CMS esistente del sistema di origine
e le credenziali dell'amministratore.
•
Se la distribuzione di origine è stata interrotta, selezionare Avvia un nuovo CMS temporaneo
e fare clic su Avanti.
Se richiesto, immettere il nome host e il numero di porta del CMS temporaneo del sistema di
origine, le credenziali dell'amministratore, il nome dell'origine dati, le credenziali del database di
sistema di origine e la chiave cluster. Viene avviato un CMS temporaneo che viene interrotto al
termine di questo processo.
Avvertenza:
Evitare di utilizzare la distribuzione mentre è in esecuzione il CMS temporaneo.
5. Verificare la pagina di conferma e premere Fine.
431
2013-09-19
Amministrazione del server
Il CCM crea un nuovo nodo nel cluster di destinazione con lo stesso nome e gli stessi server del
nodo del cluster di origine. Nel cluster di origine rimane una copia del nodo. Non vengono spostati
i modelli di configurazione dei server del nodo. Se si verificano errori, esaminare il file di registro.
Avvertenza:
non utilizzare il cluster di origine dopo aver spostato il nodo.
6. Nel CCM avviare il nodo spostato.
10.12.6.1.1 Spostamento di un nodo in Windows mediante uno script
Avvertenza:
eseguire il backup della configurazione server per l'intero cluster prima e dopo lo spostamento di un
nodo.
Per spostare un nodo in un computer Windows è possibile utilizzare MoveNode.bat. Per ulteriori
informazioni, consultare la sezione “Parametri di script per lo spostamento di nodi”.
Esempio:
A causa delle limitazioni del prompt dei comandi, è necessario utilizzare l'accento circonflesso (^) per
eseguire l'escape degli spazi, del segno di uguale (=) e del punto e virgola (;) in questi parametri, a
meno che il testo non venga racchiuso tra virgolette.
SCRIPTDIR\MoveNode.bat -cms sourceMachine:6409
-username Administrator
-password Password1
-dbdriver mysqldatabasesubsystem
-connect "DSN=Source BOEXI40;UID=username;PWD=Password1;HOSTNAME=database1;PORT=3306"
-dbkey abc1234
-destcms destinationMachine:6401
-destusername Administrator
-destpassword Password2
-destdbdriver sybasedatabasesubsystem
-destconnect "DSN=Destin BOEXI40;UID=username;PWD=Password2;"
-destdbkey def5678
Nota:
per evitare l'utilizzo dell'accento circonflesso nelle stringhe lunghe, è possibile scrivere il nome dello
script e tutti i relativi parametri in un file response.bat temporaneo, quindi eseguire nuovamente il
file response.bat senza parametri.
Argomenti correlati
• Variabili
• Parametri script per lo spostamento di nodi
10.12.6.2 Spostamento di un nodo esistente in Unix
432
2013-09-19
Amministrazione del server
In questo esempio il nodo da spostare viene installato nel sistema di origine. Il computer del sistema
di origine, inizialmente installazione autonoma, viene aggiunto al cluster di destinazione.
Avvertenza:
eseguire il backup della configurazione server per l'intero cluster prima e dopo lo spostamento di un
nodo.
1. Eseguire DIRINSTALL/sap_bobj/ccm.sh -stop NomeNodo per arrestare il nodo.
2. Eseguire DIRINSTALL/sap_bobj/serverconfig.sh
3. Selezionare 4 - Sposta nodo, quindi premere Invio.
4. Selezionare il nodo da spostare, quindi premere Invio.
5. Quando richiesto, selezionare le informazioni sulla connessione al database e immettere il nome
host, la porta, le credenziali dell'amministratore per il CMS di destinazione e la chiave cluster.
6. Selezionare un CMS.
•
Se la distribuzione di origine è in esecuzione, selezionare existing e premere Invio.
Se richiesto, immettere il nome host e il numero di porta del CMS esistente del sistema di origine
e le credenziali dell'amministratore.
•
Se la distribuzione di origine è stata interrotta, selezionare temporary e premere Invio.
Se richiesto, immettere il nome host e la porta del CMS temporaneo del sistema di origine, le
credenziali dell'amministratore, le informazioni sulla connessione al database, le credenziali del
database di sistema di origine e la chiave cluster. Viene avviato un CMS temporaneo che viene
interrotto al termine di questo processo.
Avvertenza:
evitare di utilizzare la distribuzione mentre è in esecuzione il CMS temporaneo. Verificare che il
CMS esistente e quello temporaneo utilizzino porte diverse.
7. Verificare la pagina di conferma e premere Invio.
Il CCM crea un nuovo nodo nel cluster di destinazione con lo stesso nome e gli stessi server del
nodo del cluster di origine. Nel cluster di origine rimane una copia del nodo. Non vengono spostati
i modelli di configurazione dei server del nodo. Se si verificano errori, esaminare il file di registro.
Avvertenza:
non utilizzare il cluster di origine dopo aver spostato il nodo.
8. Eseguire DIRINSTALL/sap_bobj/ccm.sh -start NomeNodo per avviare il nodo spostato.
10.12.6.2.1 Spostamento di un nodo in Unix mediante uno script
Avvertenza:
eseguire il backup della configurazione server per l'intero cluster prima e dopo lo spostamento di un
nodo.
Per spostare un nodo in un computer Unix è possibile utilizzare movenode.sh. Per ulteriori informazioni,
consultare la sezione “Parametri di script per lo spostamento di nodi”.
433
2013-09-19
Amministrazione del server
Esempio:
SCRIPTDIR/movenode.sh -cms sourceMachine:6409
-username Administrator
-password Password1
-dbdriver mysqldatabasesubsystem
-connect "DSN=Source BOEXI40;UID^=username;PWD=Password1;HOSTNAME=database1;PORT=3306"
-dbkey abc1234
-destcms destinationMachine:6401
-destusername Administrator
-destpassword Password2
-destdbdriver sybasedatabasesubsystem
-destconnect "DSN=Destin BOEXI40;UID=username;PWD=Password2;"
-destdbkey def5678
Argomenti correlati
• Variabili
• Parametri script per lo spostamento di nodi
10.12.7 Parametri script
10.12.7.1 Parametri script per l'aggiunta, la ricreazione e l'eliminazione di nodi
Parametro
Descrizione
Esempio
-adopt
Ricrea il nodo se è già presente nel server CMS.
-adopt
Il nome e la porta del server CMS (Central Management Server).
-cms
Avvertenza:
non utilizzare questo parametro se si
utilizza -usetempcms
-cms mycms:6409
Nota:
è necessario specificare un numero di
porta se il server CMS non viene eseguito sulla porta predefinita 6400.
434
2013-09-19
Amministrazione del server
Parametro
Descrizione
•
Il numero di porta del server CMS
quando si avvia un CMS temporaneo.
Limitazione:
è inoltre necessario utilizzare i parametri -usetempcms, -dbdriver,
-connect e -dbkey.
-cmsport
•
Esempio
-cmsport 6401
Il numero di porta del server CMS
quando si crea un nuovo CMS.
Limitazione:
inoltre, è necessario utilizzare i parametri -dbdriver, -connect e
-dbkey.
La stringa di connessione del database
di sistema del server CMS o del server
CMS temporaneo.
-connect
Nota:
omettere gli attributi NOMEHOST e PORTA
per eseguire la connessione ai database
DB2, Oracle, SQL Anywhere, SQL Server o Sybase.
-connect "DSN=BusinessObjects
CMS 140;UID=username;PWD=pas
sword;HOSTNAME=data
base;PORT=3306"
Il driver di database del server CMS.
435
-dbdriver
Valori accettati:
• db2databasesubsystem
• maxdbdatabasesubsystem
• mysqldatabasesubsystem
• oracledatabasesubsystem
• sqldatabasesubsystem
• sqlserverdatabasesubsystem
• sybasedatabasesubsystem
• newdbdatabasesubsystem
-dbdriver mysqldatabasesubsystem
-dbkey
La chiave cluster.
-dbkey abc1234
-name
Il nome di un nodo.
-name mynode2
2013-09-19
Amministrazione del server
Parametro
Descrizione
Esempio
Crea un nodo senza server.
-noservers
Nota:
il parametro -createcms aggiuntivo
crea un nodo con un server CMS, ma
nessun altro server. Omettere questi
parametri per creare un nodo con tutti i
server predefiniti.
-noservers
-password
La password dell'account Administrator.
-password Password1
-siaport
Il numero di porta dell'agente SIA per il
nodo.
-siaport 6409
-username
Il nome utente dell'account Administrator.
-username Administrator
Avvertenza:
non utilizzare questo parametro se si
utilizza -cms
-usetempcms
Avvia e utilizza il server CMS temporaneo.
-usetempcms
Nota:
utilizzare un server CMS temporaneo
quando la distribuzione non è in esecuzione.
Argomenti correlati
• Aggiunta di un nodo a Windows mediante uno script
• Aggiunta di un nodo a Unix mediante uno script
• Ricreazione di un nodo in Windows mediante uno script
• Ricreazione di un nodo in Unix mediante uno script
• Eliminazione di un nodo in Windows mediante uno script
• Eliminazione di un nodo in Unix mediante uno script
10.12.7.2 Parametri script per lo spostamento di nodi
436
2013-09-19
Amministrazione del server
Parametro
Descrizione
Esempio
Il nome del server CMS (Central Management Server) di origine.
-cms
Avvertenza:
non utilizzare questo parametro se si
utilizza -usetempcms
-cms sourceMachine:6409
Nota:
è necessario specificare un numero di
porta se il server CMS non viene eseguito sulla porta predefinita 6400.
•
Il numero di porta del server CMS
quando si avvia un CMS temporaneo.
Limitazione:
è inoltre necessario utilizzare i parametri -usetempcms, -dbdriver,
-connect e -dbkey.
-cmsport
•
-cmsport 6401
Il numero di porta del server CMS
quando si crea un nuovo CMS.
Limitazione:
inoltre, è necessario utilizzare i parametri -dbdriver, -connect e
-dbkey.
La stringa di connessione del database
di sistema del server CMS di origine o
del server CMS temporaneo.
-connect
437
Nota:
omettere gli attributi NOMEHOST e
PORTA per eseguire la connessione ai
database DB2, Oracle, SQL Anywhere,
SQL Server o Sybase.
-connect "DSN=Source
BOEXI40;UID=username;PWD=pass
word;HOSTNAME=data
base;PORT=3306"
2013-09-19
Amministrazione del server
Parametro
Descrizione
Esempio
Il driver di database del server CMS di
origine.
-dbdriver
-dbkey
Valori accettati:
• db2databasesubsystem
• maxdbdatabasesubsystem
• mysqldatabasesubsystem
• oracledatabasesubsystem
• sqldatabasesubsystem
• sqlserverdatabasesubsystem
• sybasedatabasesubsystem
• newdbdatabasesubsystem
La chiave cluster di origine.
-dbdriver mysqldatabasesubsystem
-dbkey abc1234
Il nome del server CMS di destinazione.
-destcms
Nota:
è necessario specificare un numero di
porta se il server CMS non viene eseguito sulla porta predefinita 6400.
-destcms destinationMachine:6401
La stringa di connessione del database
di sistema CMS di destinazione.
-destconnect
Nota:
omettere gli attributi NOMEHOST e
PORTA per eseguire la connessione ai
database DB2, Oracle, SQL Anywhere,
SQL Server o Sybase.
-destconnect "DSN=Destin
BOEXI40;UID=username;PWD=pass
word;HOSTNAME=data
base;PORT=3306"
Il driver di database del server CMS di
destinazione.
-destdbdriver
-destdbkey
438
Valori accettati:
• db2databasesubsystem
• maxdbdatabasesubsystem
• mysqldatabasesubsystem
• oracledatabasesubsystem
• sqldatabasesubsystem
• sybasedatabasesubsystem
• newdbdatabasesubsystem
La chiave cluster di destinazione.
-destdbdriver sybasedatabasesubsystem
-destdbkey def5678
2013-09-19
Amministrazione del server
Parametro
Descrizione
Esempio
-destpassword
La password dell'account Administrator
nel server CMS di destinazione.
-destpassword Password2
-destusername
Il nome utente dell'account Administrator nel server CMS di destinazione.
-destusername Administrator
-password
La password dell'account Administrator
nel server CMS di origine.
-password Password1
-username
Il nome utente dell'account Administrator nel server CMS di origine.
-username Administrator
Avvertenza:
non utilizzare questo parametro se si
utilizza -cms
-usetempcms
Avvia e utilizza il server CMS temporaneo.
-usetempcms
Nota:
utilizzare un server CMS temporaneo
quando la distribuzione non è in esecuzione.
Argomenti correlati
• Spostamento di un nodo in Windows mediante uno script
• Spostamento di un nodo in Unix mediante uno script
10.12.8 Aggiunta di dipendenze dei server Windows
In un ambiente Windows ogni istanza del SIA (Server Intelligence Agent) dipende dai servizi Registro
eventi e RPC (Remote Procedure Call).
Se un SIA non funziona correttamente, verificare che entrambi i servizi vengano visualizzati sulla scheda
"Dipendenza" del SIA.
10.12.8.1 Aggiunta di dipendenze dei server Windows
439
2013-09-19
Amministrazione del server
1. Utilizzare il CCM per arrestare il SIA (Server Intelligence Agent).
2. Fare clic con il pulsante destro del mouse sul SIA e scegliere Proprietà.
3. Fare clic sulla scheda Dipendenza.
4. Fare clic su Aggiungi.
Viene visualizzata la finestra di dialogo "Aggiungi dipendenza "che riporta un elenco di tutte le
dipendenze disponibili.
5. Selezionare una dipendenza e fare clic su Aggiungi.
6. Fare clic su OK.
7. Utilizzare il CCM per avviare il SIA.
10.12.9 Modifica delle credenziali utente per un nodo
È possibile utilizzare CCM (Central Configuration Manager) per specificare o aggiornare le credenziali
utente per il SIA (Server Intelligence Agent) se la password del sistema operativo viene modificata
oppure se si desidera eseguire tutti i server di un nodo con un account utente diverso.
Tutti i server gestiti dal SIA vengono eseguiti con lo stesso account. Per eseguire un server utilizzando
un account non di sistema, assicurarsi che l'account sia membro del gruppo di amministratori locali sul
server e che disponga del diritto “Sostituzione di token a livello di processo”.
Limitazione:
in un computer Unix è necessario eseguire la piattaforma BI con lo stesso account utilizzato per
installarla. Per utilizzare un account diverso, reinstallare la distribuzione con un altro account.
10.12.9.1 Modifica delle credenziali utente per un nodo in Windows
1. Utilizzare CCM (Central Configuration Manager) per arrestare il SIA (Server Intelligence Agent).
2. Fare clic con il pulsante destro del mouse sul SIA e scegliere Proprietà.
3. Deselezionare la casella di controllo Account sistema.
4. Immettere nome utente e password, quindi fare clic su OK.
5. Utilizzare CCM per riavviare il SIA.
I processi del SIA e del server accedono al computer locale con il nuovo account utente.
440
2013-09-19
Amministrazione del server
10.13 Assegnazione di un nuovo nome a un computer in una distribuzione della
piattaforma BI
10.13.1 Modifica dei nomi dei cluster
Di seguito sono riportate le azioni consigliate per l'assegnazione di un nuovo nome ai cluster:
Avvertenza:
non distribuire mai più cluster con lo stesso nome.
Condizione
Azione
Il nome del cluster viene modificato.
Informare gli utenti del nuovo nome del cluster e
chiedere loro di utilizzarlo (dopo la prima connessione al CMS mediante la sintassi nome
host:porta). Al livello Web aggiornare il nome
del cluster nel file delle proprietà di tutti i server
di applicazioni Web.
Viene installata una versione diversa della piattaforma BI in un computer in cui in precedenza veniva eseguito un CMS oppure il computer viene
aggiunto a un cluster diverso.
•
•
Verificare che il nuovo CMS venga eseguito
tramite una porta diversa.
Utilizzare password diverse per cluster diversi,
per evitare che gli utenti accedano a un cluster
non corretto.
10.13.2 Modifica di indirizzi IP
Per evitare modifiche di configurazione dovute alla modifica dell'indirizzo IP del computer, selezionare
Proprietà server nella scheda Server della console CMC, quindi verificare che tutti i server siano
associati a nomi host, oppure utilizzare l'opzione Assegna automaticamente. Seguire inoltre queste
azioni consigliate:
441
2013-09-19
Amministrazione del server
Condizione
Azione
Si utilizza ODBC con il database CMS o il database di controllo.
Verificare che il DNS utilizzi il nome host del server di database CMS.
Si utilizza un altro tipo di connessione al database
con il database CMS o il database di controllo.
Utilizzare il CCM per aggiornare il database in
modo che utilizzi il nome host del server di database.
Il database CMS o il database di controllo si trova
nello stesso host del CMS.
Utilizzare localhost come nome computer.
Si utilizza l'URL per le applicazioni Web della
piattaforma BI a cui gli utenti accedono tramite
browser, ad esempio la console CMC.
L'URL per i client della piattaforma BI si basa sui
servizi Web, ad esempio Crystal Reports for Java
o LiveOffice).
Si utilizza OpenDocument.
Utilizzare nomi host anziché indirizzi IP per l'URL
predefinito. Per aggiornare l'URL del visualizzatore predefinito, selezionare Impostazioni di
elaborazione per l'applicazione selezionata.
Ad esempio, per Open Document, fare clic sulla
scheda Applicazioni nella CMC, fare clic con il
pulsante destro del mouse su Open Document
e scegliere Impostazioni di elaborazione.
Linee guida alternative
Nota:
seguire queste linee guida solo se non è possibile eseguire le azioni consigliate sopra descritte.
Tabella 10 - 9: Per i computer che ospitano server
Condizione
Azione
L'host contiene server della piattaforma BI e i
server devono essere associati a indirizzi IP
specifici.
Modificare gli indirizzi IP nella scheda Server
della CMC, ma non riavviare i server finché tutti
i componenti del computer non saranno stati aggiornati. Riavviare quindi il computer e non i singoli server della piattaforma BI.
Una connessione a database deve utilizzare un
indirizzo IP.
Modificare l'indirizzo IP.
Modificare l'indirizzo IP del computer della piattaforma BI.
È necessaria la modifica di un indirizzo IP in una
rete IP statica.
442
Suggerimento:
Accedere alla console CMC per verificare che la
piattaforma BI sia operativa.
2013-09-19
Amministrazione del server
Promemoria:
dopo aver eseguito un'azione, riavviare il computer.
Tabella 10 - 10: Per i computer che ospitano il server di applicazioni Web
Condizione
Azione
L'URL del visualizzatore predefinito per OpenDocument deve utilizzare un indirizzo IP.
Aggiornare l'indirizzo IP nel campo Imposta URL
del visualizzatore predefinitonella sezione Impostazioni di elaborazione della scheda Applicazioni della console CMC.
Gli utenti accedono alle applicazioni Web della
piattaforma BI (ad esempio alla console CMC)
specificando un URL con un indirizzo IP nel
browser.
Informare gli utenti del nuovo indirizzo IP.
I client della piattaforma BI basati su servizi Web,
ad esempio Crystal Reports for Java o LiveOffice,
devono utilizzare indirizzi IP.
Configurare tutti i client in modo che utilizzino il
nuovo indirizzo IP.
Argomenti correlati
• Selezione di un database CMS nuovo o esistente
10.13.3 Assegnazione di nuovi nomi ai computer
In qualsiasi momento è possibile rinominare i computer di una distribuzione della piattaforma BI dopo
avere arrestato tutti i server della piattaforma BI all'interno del computer. Di seguito sono riportate le
azioni consigliate per l'assegnazione di un nuovo nome ai computer:
443
Condizione
Azione
Si effettua l'accesso per la prima volta.
Utilizzare il nome del computer CMS anziché il
nome del cluster.
La distribuzione interessa più computer.
Verificare che durante l'operazione di assegnazione del nuovo nome i server CMS in tutti gli altri
computer siano in esecuzione.
2013-09-19
Amministrazione del server
10.13.3.1 Livello server
Nota:
prima di rinominare il computer CMS, nella scheda “Gestione server” della console CMC esaminare la
configurazione di tutti i server situati nel computer che si desidera rinominare. Se la proprietà "Nome
host" utilizza il nome host CMS precedente, aggiornarla con il nuovo nome host CMS.
Promemoria:
riavviare i server solo dopo aver completato tutte le procedure di assegnazione del nuovo nome al
computer.
Per rinominare i computer del livello server, seguire queste istruzioni:
Condizione
Azione
Il computer rinominato ospita un CMS e alcuni
utenti sono già connessi con il nome precedente
del computer.
Informare gli utenti del nome del computer CMS
e chiedere loro di utilizzarlo.
Il computer rinominato ospita un CMS e la proprietà cms.default dei file delle proprietà predefiniti
delle applicazioni Web della piattaforma BI contiene il nome host CMS precedente.
444
Aggiornare il nome del computer CMS nella proprietà cms.default di tutti i file delle proprietà
personalizzati di tutti i computer del livello Web.
Per impostazione predefinita, in Tomcat i file delle
proprietà creati dall'utente si trovano in DIRINS
TALL\SAP BusinessObjects Enterprise
XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom.
Nota:
se non sono presenti file delle proprietà personalizzati, crearne di nuovi. Copiare i file delle proprietà predefiniti in una cartella personalizzata e rimuoverne tutto il contenuto ad eccezione della
riga cms.default.
2013-09-19
Amministrazione del server
Condizione
Il computer rinominato ospita un CMS e in tutti i
computer del cluster è installato SAP BusinessObjects Explorer.
Azione
Sostituire il nome host CMS precedente con
quello nuovo nella proprietà default.cms.name
del file default.settings.properties di
tutti i computer che ospitano server di applicazioni
Web. Per impostazione predefinita, in Tomcat il
file default.settings.properties si trova
in DIRINSTALL\SAP BusinessObjects
Enterprise XI
4.0\warfiles\webapps\explorer\WEB-INF\classes\
Promemoria:
dopo aver eseguito questa operazione, riavviare
l'applicazione Web Explorer o il server di applicazioni Web.
Si utilizza SSO con Explorer
Aggiornare il valore cms in jsp-sso-provi
der.jsp e aggiornare i valori sso.global.cms
e sso.trusted.auth.x509.cms in
sso.properties con il nuovo nome host CMS.
Si utilizzano Portal Integration Kit o applicazioni
personalizzate.
Configurare i Portal Integration Kit o le applicazioni personalizzate in modo che utilizzino il nuovo
nome host CMS.
La distribuzione soddisfa tutte le condizioni seguenti:
• Un cluster è costituito da più nodi.
• Tutti i server CMS sono in esecuzione solo
all'interno del computer rinominato.
• Almeno un nodo non ospita il CMS.
• Il computer che si desidera rinominare contiene almeno un nodo.
• L'indirizzo IP viene modificato durante il processo di assegnazione del nuovo nome.
Utilizzare CCM per eseguire il workflow “Ricrea
nodo” in tutti i nodi ad eccezione del nodo che
ospita il CMS, quindi avviare tutti i nodi della
piattaforma BI all'interno della distribuzione. Per
ulteriori informazioni, consultare il capitolo “Gestione dei nodi”.
Promemoria:
dopo aver eseguito un'operazione, riavviare l'applicazione o il server di applicazioni Web.
Argomenti correlati
• Ricreazione di un nodo
445
2013-09-19
Amministrazione del server
10.13.3.2 Livello Web
Se si rinomina il computer che ospita il server di applicazioni Web della piattaforma BI, seguire queste
istruzioni:
Condizione
Azione
Si modifica il nome del computer che ospita il
server di applicazioni Web della piattaforma BI e
l'URL del visualizzatore OpenDocument predefinito utilizza il nome host del server di applicazioni
Web.
Accedere alla console CMC e aggiornare l'URL
del visualizzatore predefinito in Applicazioni >
CMC > Impostazioni di elaborazione.
Si modifica il nome del computer che ospita il
server di applicazioni Web della piattaforma BI e
gli utenti accedono alle applicazioni Web della
piattaforma BI utilizzando un URL che include il
nome host del server di applicazioni Web.
Chiedere agli utenti di accedere alle applicazioni
Web della piattaforma BI utilizzando un URL che
includa il nuovo nome host del server di applicazioni Web.
Si modifica il nome del computer che ospita il
server di applicazioni Web della piattaforma BI e
i client della piattaforma BI basati su servizi Web
utilizzano nomi host di server di applicazioni Web
nell'URL.
Riconfigurare tutti i client della piattaforma BI basati su servizi Web in modo che utilizzino il nuovo
nome host del server di applicazioni Web.
10.13.3.3 Database
Se si desidera rinominare il computer che ospita il database di sistema CMS o il database di controllo,
eseguire queste azioni consigliate:
446
Condizione
Azione
Evitare di aggiornare l'indirizzo IP.
Utilizzare il nome computer del database CMS o
del database di controllo nel nome origine dati
(DSN, Data Source Name).
Il database CMS o il database di controllo si trova
nello stesso host del CMS.
Utilizzare localhost nel DSN per evitare di doverlo aggiornare in caso di modifica del nome
host.
2013-09-19
Amministrazione del server
Database di sistema CMS
Condizione
Azione
Si desidera rinominare un computer che ospita il
database di sistema CMS e si utilizza ODBC.
Aggiornare il DSN del database CMS con il nuovo
nome host del server di database.
Si desidera rinominare un computer che ospita il
database di sistema CMS e si utilizza un tipo di
connessione non ODBC.
Utilizzare CCM per aggiornare il database CMS
con il nuovo nome host del server di database in
ogni nodo del cluster.
Database di controllo
Condizione
Azione
Si desidera rinominare un computer che ospita il
database di controllo e si utilizza ODBC.
Aggiornare il DSN del database di controllo con
il nuovo nome host del server di database.
Si desidera rinominare un computer che ospita il
database di controllo e si utilizza un tipo di connessione non ODBC.
Aggiornare il nome del computer del server di
database con il nuovo nome host del server di
database nella scheda Controllo della console
CMC.
10.13.3.4 File Repository Server
Se si desidera rinominare il computer che ospita l'archivio file FRS, è necessario aggiornare l'"Input
File Repository Server" e l'"Output File Repository Server" nella pagina “Gestione server” della console
CMC. È inoltre necessario verificare che le proprietà "Directory archivio file" e "Directory temporanea"
utilizzino il nuovo percorso dell'archivio file, quindi riavviare i server.
10.14 Utilizzo di librerie a 32 e a 64 bit con la piattaforma BI
I server della piattaforma BI sono una combinazione di processi a 32 e 64 bit. Alcuni server avviano
inoltre processi secondari a 32 e 64 bit. Per utilizzare la versione corretta delle librerie di terze parti (a
32 bit o a 64 bit) con i processi della piattaforma BI, è necessario impostare variabili di ambiente separate
per ogni versione sul computer che ospita la piattaforma BI. È quindi necessario impostare una variabile
di ambiente aggiuntiva contenente un elenco separato da virgole delle variabili di ambiente che includono
versioni a 32 e 64 bit. Quando si avvia un processo dalla piattaforma BI, viene selezionata la variabile
appropriata a seconda che il processo sia a 32 o 64 bit.
• PRIMA_VAR_AMB=il valore da utilizzare con i processi della piattaforma BI a 64 bit.
447
2013-09-19
Amministrazione del server
•
•
•
•
PRIMA_VAR_AMB32=il valore da utilizzare con i processi a 32 bit.
SECONDA_VAR_AMB=il valore da utilizzare con i processi a 64 bit.
SECONDA_VAR_AMB=il valore da utilizzare con i processi a 32 bit.
BOE_USE_32BIT_ENV_FOR=PRIMA_VAR_AMB,SECONDA_VAR_AMB
Se, ad esempio, la piattaforma BI è stata installata in un computer AIX insieme a client Oracle a 32 e
64 bit ed è necessario impostare la variabile LIBPATH, procedere all'impostazione delle variabili seguenti:
• ORACLE_HOME=versione a 64 bit del client Oracle
• ORACLE_HOME32=versione a 32 bit
• LIBPATH=versione a 64 bit
• LIBPATH32=versione a 32 bit
• BOE_USE_32BIT_ENV_FOR=ORACLE_HOME,LIBPATH
Nota:
In Linux e in Solaris non utilizzare BOE_USE_32BIT_ENV_FOR=LD_LIBRARY_PATH per separare i
percorsi a 32 e 64 bit, ma aggiungere entrambi i percorsi a 32 e 64 bit a LD_LIBRARY_PATH.
10.15 Gestione dei segnaposto per server e nodi
10.15.1 Visualizzazione dei segnaposto server
•
Nell'area di gestione dei "Server" della CMC fare clic con il pulsante destro del mouse su un server
e scegliere Segnaposto.
Nella finestra di dialogo "Segnaposto" viene visualizzato un elenco di segnaposto per tutti i server
dello stesso cluster del server selezionato. Se si desidera modificare il valore di un segnaposto,
modificare il segnaposto del nodo.
Argomenti correlati
• Segnaposto server e nodo
10.15.2 Visualizzazione e modifica dei segnaposto per un nodo
1. Nell'area di gestione dei "Server" della Central Management Console fare clic con il pulsante destro
del mouse sul nodo per il quale si desidera modificare i segnaposto e scegliere Segnaposto.
448
2013-09-19
Amministrazione del server
2. Se si desidera modificare le impostazioni dei segnaposto, apportare le modifiche appropriate e fare
clic su Salva per continuare.
Argomenti correlati
• Segnaposto server e nodo
449
2013-09-19
Amministrazione del server
450
2013-09-19
Gestione dei database CMS (Central Management Server)
Gestione dei database CMS (Central Management Server)
11.1 Gestione delle connessioni di database di sistema CMS
Se il database di sistema CMS non è disponibile, ad esempio a causa di un problema hardware, software
o della rete, il server CMS entra nello stato “In attesa delle risorse”. Se la distribuzione della piattaforma
BI utilizza più server CMS, le richieste successive da altri server vengono inoltrate ai server CMS del
cluster che dispongono di una connessione attiva al database di sistema. Quando un server CMS si
trova nello stato “In attesa delle risorse”, qualsiasi richiesta corrente che non richiede l'accesso al
database continua a essere elaborata, mentre le richieste che richiedono l'accesso al database CMS
avranno esito negativo.
Per impostazione predefinita, un server CMS nello stato “In attesa delle risorse” tenta periodicamente
di ristabilire il numero di connessioni specificate nella proprietà “Connessioni richieste al database di
sistema”. Non appena viene stabilita almeno una connessione al database, il CMS sincronizza tutti i
dati necessari, entra nello stato “In esecuzione” e riprende le normali operazioni.
Talvolta, può essere utile impedire al server CMS di ristabilire automaticamente una connessione al
database. Ad esempio, può essere utile verificare l'integrità del database prima di ristabilire le connessioni
al database. A tale scopo, nella pagina "Proprietà" del server CMS deselezionare Riconnessione
automatica al database di sistema.
Argomenti correlati
• Per modificare le proprietà di un server
11.1.1 Selezione di SQL Anywhere come database CMS
Per utilizzare SQL Anywhere come database CMS, eseguire le operazioni seguenti:
1. Arrestare tutti i nodi del sistema.
2. Eseguire l'applicazione appropriata:
• In Unix, eseguire ./cmsdbsetup.sh.
• In Windows avviare Central Configuration Manager (CCM).
451
2013-09-19
Gestione dei database CMS (Central Management Server)
3. Copiare i dati dal database CMS predefinito, selezionando SQL Anywhere come database di
destinazione. Per ulteriori informazioni, consultare l'argomento correlato “Copia dei dati da un
database di sistema CMS a un altro”.
4. Nelle distribuzioni a più nodi, aggiornare l'origine dati CMS in ogni nodo, tranne quello su cui si copia
il database, con il nuovo database SQL Anywhere. Per ulteriori informazioni, consultare l'argomento
correlato “ Selezione di un database CMS nuovo o esistente”.
5. Assicurarsi che la distribuzione sia operativa, ad esempio accedere al CMC e visualizzare un report.
Argomenti correlati
• Copia dei dati da un database di sistema CMS a un altro
• Selezione di un database CMS nuovo o esistente
11.1.2 Selezione di SAP HANA come database CMS
Per utilizzare SAP HANA come database CMS, eseguire le operazioni seguenti:
1. Installare la piattaforma BI con il database CMS predefinito.
2. Installare il client SAP HANA.
3. Creare una connessione a SAP HANA.
• In Unix verificare la presenza della variabile di ambiente ODBCINI. Se la variabile esiste e punta
a un file odbc.ini esistente, aggiungere le righe seguenti a tale file:
[ODBC Data Sources]
NewDB=<New_DB_version>
[NewDB]
SERVERNODE=<HANA Server IP address>:<HANA server port #>
<Nuova_versione_DB> è la versione SAP HANA; ad esempio “NewDB 1.0”, <indirizzo
IP server HANA> è l'indirizzo IP del server SAP HANA e <n porta server HANA> è il
numero di porta del server SAP HANA.
Se la variabile di ambiente ODBCINI non esiste, creare un file odbc.ini nella directory DIRIN
STALL/sap_bobj/enterprise_xi40/, aggiungere le righe sopra riportate al file e impostare
la variabile di ambiente ODBCINI come indicato di seguito:
ODBCINI=INSTALLDIR/sap_bobj/enterprise_xi40/odbc.ini
•
In Windows creare una connessione ODBC a SAP HANA.
Nota:
Per le modifiche alla connessione ODBC, accertarsi di eseguire la versione a 64 bit di
Amministrazione origine dati ODBC: Start > Pannello di controllo > Strumenti di
amministrazione > Origini dati (ODBC).
4. Assicurarsi che sia possibile eseguire le connessioni al server SAP HANA.
452
2013-09-19
Gestione dei database CMS (Central Management Server)
•
In Unix è possibile verificare la connessione al server SAP HANA eseguendo il comando seguente.
Le variabili nell'esempio seguente si riferiscono all'installazione SAP HANA:
INSTALLDIR/odbcreg SERVER:HDBINDEXSERVERPORT SYSTEMID NONADMINUSER NONADMINPASSWORD
•
In Windows è possibile utilizzare Amministrazione origine dati ODBC per verificare la connessione
ODBC SAP HANA.
5. In Unix copiare libodbcHDB.so dalla directory di installazione SAP HANA in DIRINS
TALL/sap_bobj/enterprise_xi40/PLATFORM
6. Arrestare tutti i nodi del sistema.
7. Eseguire l'applicazione appropriata:
• In Unix, eseguire ./cmsdbsetup.sh.
• In Windows avviare Central Configuration Manager (CCM).
8. Copiare i dati dal database CMS predefinito, selezionandoSAP HANA come database di destinazione.
Per ulteriori informazioni, consultare l'argomento correlato “Copia dei dati da un database di sistema
CMS a un altro”.
9. Nelle distribuzioni a più nodi aggiornare l'origine dati CMS in ogni nodo, tranne quello su cui si copia
il database, con il nuovo database SAP HANA. Per ulteriori informazioni, consultare l'argomento
correlato “ Selezione di un database CMS nuovo o esistente”.
10. Assicurarsi che la distribuzione sia operativa, ad esempio accedere al CMC e visualizzare un report.
Argomenti correlati
• Copia dei dati da un database di sistema CMS a un altro
• Selezione di un database CMS nuovo o esistente
11.2 Selezione di un database CMS nuovo o esistente
È possibile utilizzare CCM o cmsdbsetup.sh per specificare un database di sistema CMS nuovo o
esistente per un nodo. In genere il completamento della procedura risulta indispensabile solo in un
numero limitato di casi:
453
•
Se si è modificata la password per il database di sistema CMS corrente, questi passaggi
consentiranno di disconnettersi e riconnettersi al database corrente. Quando viene richiesto, è
possibile fornire al CMS la nuova password.
•
Se si desidera selezionare e inizializzare un database vuoto per la piattaforma BI, attenersi alla
procedura illustrata per selezionare la nuova origine dati.
•
Se si è ripristinato un database di sistema CMS da un backup (utilizzando gli strumenti e le procedure
standard di amministrazione del database) con una procedura che ha reso non valida la connessione
al database originale, sarà necessario riconnettere il CMS al database ripristinato. Questa situazione
può verificarsi, ad esempio, se il database CMS originale è stato ripristinato in un server del database
installato di recente.
2013-09-19
Gestione dei database CMS (Central Management Server)
Nota:
•
Se come database CMS si utilizza IBM DB2 e lo si aggiorna da una versione precedente a 9.5 Fix
Pack 5 alla versione 9.5 Fix Pack 5 o più recente (per la linea 9.5), oppure si esegue l'aggiornamento
da una versione precedente a 9.7 Fix Pack 1 alla versione 9.7 Fix Pack 1 o più recente (per la linea
9.7), durante il riavvio successivo del nodo della piattaforma BI o di CMS, lo schema del database
CMS verrà aggiornato automaticamente da CMS in modo da supportare lo schema compatibile con
HADR.
Questo può essere un processo lungo, durante il quale il sistema della piattaforma BI non sarà
disponibile per l'uso. Non interrompere il processo di aggiornamento per evitare di danneggiare il
database CMS. Si consiglia vivamente di eseguire il backup del database CMS prima di eseguire
questa operazione. Non provare inoltre a utilizzare IBM HADR con un database CMS IBM DB2 di
una versione precedente a 9.5 Fix Pack 5 (per la linea 9.5) o a 9.7 Fix Pack 1 (per la linea 9.7).
•
Non configurare un'installazione della piattaforma BI per l'utilizzo di un database di sistema CMS
appartenente a un cluster diverso, a meno che non si stia eseguendo un workflow di copia di sistema.
Il sistema potrebbe essere danneggiato se le versioni e i livelli di patch delle installazioni della
piattaforma BI e i database CMS sono diversi o se differiscono i percorsi di installazione o i
componenti installati e così via.
Per evitare che il sistema venga danneggiato, non provare a migrare il contenuto BI da un sistema
all'altro puntando la distribuzione della piattaforma BI a un database CMS di un altro sistema della
piattaforma BI, soprattutto se la versione e il livello di patch sono diversi.
11.2.1 Selezione di un database CMS nuovo o esistente in Windows
1. Utilizzare CCM per arrestare Server Intelligence Agent (SIA).
2. Selezionare il SIA e fare clic sul pulsante Specifica origine dati CMS.
3. Selezionare Aggiorna impostazioni origine dati e fare clic su OK.
4. Selezionare un driver di database e fare clic su OK.
5. Questi passaggi dipendono dal tipo di connessione selezionato:
• Se si seleziona ODBC, viene visualizzata la finestra di dialogo di Windows “Seleziona origine
dati”. Selezionare l'origine dati ODBC che si desidera utilizzare come database CMS, quindi fare
clic su OK. Fare clic su Nuovo per configurare un nuovo DSN. Se richiesto, fornire le credenziali
del database e fare clic su OK.
•
Se si seleziona un driver originale, viene richiesto di indicare il nome del server, l’ID di accesso
e la password. Fornire tali informazioni e fare clic su OK.
6. Specificare la chiave cluster.
7. Riavviare Server Intelligence Agent.
454
2013-09-19
Gestione dei database CMS (Central Management Server)
11.2.2 Per selezionare un database CMS nuovo o esistente in UNIX
Utilizzare lo script cmsdbsetup.sh. Come riferimento, consultare il capitolo relativo agli strumenti
UNIX.
1. Eseguire lo script cmsdbsetup.sh (disponibile per impostazione predefinita in DIRINS
TALL/sap_bobj/).
2. Selezionare l'azione di aggiornamento (opzione 6).
3. Se richiesto, fornire il tipo di database del nuovo database CMS.
4. Fornire le informazioni del database (nome host, nome utente, password e chiave cluster).
Viene visualizzato un messaggio di notifica quando il database CMS viene puntato al nuovo percorso.
5. Se viene richiesto di ricreare Server Intelligence Agent (SIA), fornire la password di amministratore
e il numero di porta di comunicazione del server CMS.
Nota:
Queste informazioni vengono richieste solo se si fa riferimento a un database CMS vuoto.
11.3 Ricreazione del database di sistema CMS
Questa procedura descrive come ricreare (reinizializzare) il database di sistema CMS corrente.
Eseguendo questa attività si eliminano tutti i dati già presenti nel database. Questa procedura è utile,
ad esempio, se si è installata la piattaforma BI in un ambiente di sviluppo per progettare e testare
applicazioni Web personalizzate. È possibile reinizializzare il database di sistema CMS nell’ambiente
di sviluppo ogni volta che è necessario cancellare dal sistema tutti i dati.
Avvertenza:
Con l'implementazione dei passaggi indicati in questo workflow, verranno eliminati tutti i dati del database
CMS nonché gli oggetti come report e utenti. Non eseguire questi passaggi in una distribuzione di
produzione.
È molto importante eseguire il backup di tutte le impostazioni di configurazione del server prima di
reinizializzare il database di sistema CMS. Quando si ricrea il database, le impostazioni di configurazione
del server verranno cancellate e per ripristinarle è necessario disporre di un backup.
Quando si ricrea il database di sistema, i codici di licenza esistenti devono essere conservati nel
database. Tuttavia, se si rende necessario immettere nuovamente i codici di licenza, accedere alla
console CMC con l'account Administrator predefinito. Passare all’area di gestione Autorizzazione e
immettere le informazioni nella scheda Codici di licenza.
455
2013-09-19
Gestione dei database CMS (Central Management Server)
Nota:
Se si reinizializza il database di sistema CMS, tutti i dati nel database di sistema CMS corrente verranno
eliminati. Valutare l’ipotesi di eseguire un backup del database corrente prima di iniziare. Se necessario,
contattare l’amministratore del database.
Argomenti correlati
• Backup delle impostazioni server
11.3.1 Nuova creazione del database di sistema CMS in Windows
1. Utilizzare CCM per arrestare Server Intelligence Agent (SIA).
Nota:
Per questa procedura, non è possibile eseguire il CCM in un computer remoto; è necessario che
venga eseguito in un computer con almeno un nodo valido. È inoltre necessario che nel computer
siano installati i file binari CMS.
2. Fare clic con il pulsante destro del mouse su SIA e scegliere Proprietà.
3. Nella finestra di dialogo Proprietà accedere alla scheda "Configurazione" e fare clic su Specifica.
4. Nella finestra di dialogo Impostazione database CMS fare clic su Crea di nuovo origine dati
corrente.
Nota:
Verranno anche ricreati tutti i server e gli oggetti del computer in cui si è eseguito CCM nel passaggio
1. Non verranno tuttavia ricreati tutti gli oggetti, ma solo quelli principali predefiniti. Ad esempio non
vengono ricreati i report di esempio.
5. Fare clic su OK. Per confermare, fare clic su Sì.
6. Specificare la password per il database di sistema CMS e fare clic su OK.
Nota:
Assicurarsi di avere impostato una nuova password amministratore. Per impostazione predefinita
l'account amministratore non prevede la password.
Il CCM avviserà del completamento dell'installazione del database di sistema CMS.
7. Fare clic su OK.
Si verrà riportati al CCM.
8. Riavviare Server Intelligence Agent e abilitare i servizi.
Durante l'avvio di Server Intelligence Agent, viene anche avviato il server CMS. Il server CMS scrive
i dati di sistema richiesti nell'origine dati appena svuotata.
9. Se la distribuzione contiene più computer, è necessario ricreare i nodi negli altri computer.
456
2013-09-19
Gestione dei database CMS (Central Management Server)
11.3.2 Per creare nuovamente il database di sistema CMS in UNIX
Utilizzare lo script cmsdbsetup.sh. Per informazioni, consultare il capitolo relativo agli strumenti UNIX
del Manuale dell'amministratore della piattaforma SAP BusinessObjects Business Intelligence.
1. Eseguire cmsdbsetup.sh (per impostazione predefinita è disponibile in DIRINSTALL/sap_bobj/).
2. Selezionare l'opzione "reinizializza" (opzione 5), quindi confermare la scelta.
Lo script cmsdbsetup.sh avvia la ricreazione del database di sistema CMS.
3. Specificare la password del database di sistema.
4. Al termine della creazione del database, chiudere lo script cmsdbsetup.sh.
5. Fornire le informazioni del database (nome host, nome utente e password).
Viene visualizzato un messaggio di notifica quando il database CMS viene puntato al nuovo percorso.
6. Se viene richiesto di ricreare Server Intelligence Agent (SIA), fornire la password di amministratore
e il numero di porta attraverso il quale il server CMS deve comunicare.
Nota:
Queste informazioni vengono richieste solo se si fa riferimento a un database CMS vuoto.
7. Nella directory DIINSTALL/sap_bobj/ utilizzare il comando seguente per avviare il nodo.
ccm.sh -start nodename
8. Per abilitare i servizi, utilizzare il seguente comando:
ccm.sh -enable all -cms CMSNAME:PORT -username administrator -password password
Nota:
Poiché il database CMS è stato appena ricreato, la password di amministratore non è ancora stata
specificata.
11.4 Copia dei dati da un database di sistema CMS a un altro
È possibile utilizzare CCM (Central Configuration Manager) o cmsdbsetup.sh per copiare i dati di
sistema da un server di database a un altro. Se ad esempio si desidera sostituire il database con un
altro dopo un aggiornamento o un passaggio da un tipo di database all'altro, è possibile copiare il
contenuto del database esistente nel nuovo prima di rimuoverlo.
Il database di destinazione viene inizializzato prima che i nuovi dati vi siano copiati, quindi il contenuto
esistente del database di destinazione viene definitivamente eliminato (tutte le tabelle della piattaforma
BI vengono eliminate in modo permanente e quindi ricreate). Una volta copiati i dati, il database di
destinazione diventa il database corrente per il CMS.
457
2013-09-19
Gestione dei database CMS (Central Management Server)
Nota:
Se si desidera importare utenti, gruppi, cartelle e report da una versione principale precedente della
piattaforma BI alla versione principale corrente, utilizzare Upgrade Management Tool della piattaforma
SAP BusinessObjects Business Intelligence. Per ulteriori informazioni, fare riferimento alla guida
sull'aggiornamento della piattaforma SAP BusinessObjects Business Intelligence.
11.4.1 Preparazione per la copia di un database di sistema CMS
Prima di eseguire la copia di un database di sistema CMS, attivare la modalità non