xi4sp2 bip admin fr

xi4sp2 bip admin fr
Guide d'administration de la plateforme de Business Intelligence
■ SAP BusinessObjects Business Intelligence platform 4.0 Support Package 2
2011-05-06
Copyright
© 2011 SAP AG. Tous droits réservés.SAP, R/3, SAP NetWeaver, Duet, PartnerEdge, ByDesign,
SAP Business ByDesign, et les autres produits et services SAP mentionnés dans ce document, ainsi
que leurs logos respectifs, sont des marques commerciales ou des marques déposées de SAP AG
en Allemagne et dans d’autres pays. Business Objects et le logo Business Objects, BusinessObjects,
Crystal Reports, Crystal Decisions, Web Intelligence, Xcelsius et les autres produits et services
Business Objects mentionnés dans ce document, ainsi que leurs logos respectifs, sont des marques
commerciales ou des marques déposées de Business Objects S.A. aux Etats-Unis et dans de
nombreux autres pays. Business Objects est une entreprise SAP. Tous les autres noms de produits
et de services mentionnés sont des marques commerciales de leurs entreprises respectives. Les
données contenues dans ce document sont uniquement mentionnées à titre informatif. Les
spécifications des produits peuvent varier d’un pays à l’autre. Ces informations sont susceptibles
d’être modifiées sans préavis. Elles sont fournies par SAP AG et ses filiales («Groupe SAP»)
uniquement à titre informatif, sans engagement ni garantie d’aucune sorte. SAP Group ne pourra en
aucun cas être tenu responsable d’erreurs ou d'omissions relatives à ces informations. Les seules
garanties fournies pour les produits et les services SAP Group sont celles énoncées expressément
dans les déclarations de garantie accompagnant, le cas échéant, lesdits produits et services. Aucune
des informations contenues dans ce document ne saurait constituer une garantie supplémentaire.
2011-05-06
Table des matières
3
Chapitre 1
Démarrage............................................................................................................................19
1.1
1.1.1
1.1.2
1.1.3
1.2
1.2.1
1.2.2
1.2.3
A propos de cette aide...........................................................................................................19
Chapitre 2
Architecture...........................................................................................................................29
2.1
2.1.1
2.1.2
2.1.3
2.1.4
2.1.5
2.1.6
2.1.7
2.1.8
2.1.9
2.1.10
2.1.11
2.1.12
2.1.13
2.2
2.3
2.3.1
2.3.2
2.3.3
2.3.4
2.4
Présentation de l'architecture.................................................................................................29
A qui s'adresse cette aide ?...................................................................................................19
A propos de la plateforme SAP BusinessObjects de Business Intelligence ...........................19
Variables................................................................................................................................20
Avant de commencer.............................................................................................................20
Notions préalables.................................................................................................................21
Outils d'administration clés.....................................................................................................23
Tâches principales..................................................................................................................25
Présentation du système........................................................................................................30
Bases de données.................................................................................................................31
Serveurs................................................................................................................................32
Serveurs d'applications Web..................................................................................................33
Kits de développement logiciel...............................................................................................35
Sources de données..............................................................................................................38
Support linguistique...............................................................................................................39
Authentification et connexion unique......................................................................................40
Intégration SAP......................................................................................................................42
Gestion du cycle de vie (LCM)...............................................................................................43
Contrôle de version intégrée..................................................................................................44
Données permanentes...........................................................................................................44
Chemin de mise à niveau.......................................................................................................45
Niveaux conceptuels..............................................................................................................45
Services et serveurs..............................................................................................................46
Services.................................................................................................................................48
Catégories de service............................................................................................................56
Types de serveurs..................................................................................................................59
Serveurs................................................................................................................................62
Applications client..................................................................................................................65
2011-05-06
Table des matières
4
2.4.1
Installées avec les outils client de la plateforme SAP BusinessObjects de Business
Intelligence.............................................................................................................................66
2.4.2
2.4.3
2.4.4
2.5
2.5.1
2.5.2
2.5.3
2.5.4
Installées avec la plateforme SAP BusinessObjects de Business Intelligence.........................71
Chapitre 3
Gestion des licences.............................................................................................................91
3.1
3.1.1
3.1.2
3.1.3
3.2
3.2.1
Gestion des clés de licence...................................................................................................91
Chapitre 4
Gestion des utilisateurs et des groupes...............................................................................95
4.1
4.1.1
4.1.2
4.1.3
4.2
4.2.1
4.2.2
4.2.3
4.2.4
4.2.5
4.2.6
4.2.7
4.2.8
4.2.9
4.2.10
4.2.11
4.2.12
4.2.13
4.2.14
4.2.15
Présentation de la gestion des comptes.................................................................................95
Disponibles séparément.........................................................................................................72
Clients d'applications Web.....................................................................................................73
Workflows des informations...................................................................................................77
Authentification......................................................................................................................77
Planification............................................................................................................................79
Visualisation...........................................................................................................................84
A la demande.........................................................................................................................86
Pour afficher les informations de licence................................................................................91
Pour ajouter une clé de licence...............................................................................................91
Pour visualiser l'activité du compte actuel..............................................................................92
Mesure des licences..............................................................................................................92
Exécution d'un audit de licences.............................................................................................93
Gestion des utilisateurs..........................................................................................................95
Gestion des groupes..............................................................................................................97
Types d'authentification disponibles ......................................................................................98
Gestion des comptes Enterprise et des comptes généraux..................................................100
Pour créer un compte d'utilisateur........................................................................................100
Pour modifier un compte d'utilisateur...................................................................................102
Pour supprimer un compte d'utilisateur................................................................................102
Pour créer un groupe...........................................................................................................103
Pour modifier les propriétés d'un groupe..............................................................................103
Pour afficher les membres d'un groupe................................................................................104
Pour ajouter des sous-groupes............................................................................................104
Pour définir l'appartenance à un groupe................................................................................105
Pour supprimer un groupe....................................................................................................105
Pour activer le compte Guest...............................................................................................106
Ajout d'utilisateurs à des groupes.........................................................................................106
Modification des paramètres de mot de passe.....................................................................108
Octroi d'un droit d'accès à des utilisateurs et à des groupes................................................109
Contrôle de l'accès aux boîtes de réception des utilisateurs.................................................110
Configuration des options de la zone de lancement BI.........................................................110
2011-05-06
Table des matières
5
4.3
4.3.1
4.3.2
4.3.3
4.3.4
4.3.5
Gestion des alias.................................................................................................................114
Chapitre 5
Définition des droits............................................................................................................119
5.1
5.1.1
5.1.2
5.1.3
5.1.4
5.1.5
5.2
5.2.1
5.2.2
5.2.3
5.2.4
5.2.5
5.3
5.3.1
5.3.2
5.3.3
5.3.4
5.3.5
5.3.6
5.3.7
5.3.8
5.4
5.4.1
5.5
5.5.1
5.5.2
5.6
Fonctionnement des droits sur la plateforme de BI...............................................................119
Chapitre 6
Sécurisation de la plateforme de BI....................................................................................151
6.1
6.2
6.3
Présentation de la sécurité ..................................................................................................151
Pour créer un utilisateur et ajouter un alias tiers...................................................................114
Pour créer un alias pour un utilisateur existant......................................................................115
Pour affecter un alias d'un autre utilisateur...........................................................................116
Pour supprimer un alias........................................................................................................116
Pour désactiver un alias.......................................................................................................117
Niveaux d'accès...................................................................................................................120
Définition de droits avancés.................................................................................................120
Héritage...............................................................................................................................121
Droits spécifiques au type....................................................................................................127
Détermination des droits effectifs........................................................................................128
Gestion des paramètres de sécurité des objets dans la CMC..............................................129
Pour visualiser les droits d'un utilisateur ou groupe principal sur un objet.............................129
Pour affecter des utilisateurs ou groupes principaux à une liste de contrôle d'accès d'un objet.130
Pour modifier les droits d'un utilisateur ou groupe principal sur un objet...............................131
Définition des droits sur un dossier de niveau supérieur dans la plateforme de BI................131
Vérification des paramètres de sécurité pour un utilisateur ou un groupe principal...............132
Utilisation des niveaux d'accès.............................................................................................135
Choisir entre les niveaux d'accès Visualiser et Visualiser à la demande...............................138
Pour copier un niveau d'accès existant.................................................................................139
Pour créer un niveau d'accès ..............................................................................................140
Pour renommer un niveau d'accès........................................................................................140
Pour supprimer un niveau d'accès........................................................................................140
Pour modifier les droits d'un niveau d'accès.........................................................................141
Suivi de la relation entre niveaux d'accès et objets...............................................................142
Gestion des niveaux d'accès sur différents sites..................................................................142
Rupture de l'héritage............................................................................................................143
Désactiver l'héritage............................................................................................................144
Utilisation des droits pour déléguer l'administration..............................................................145
Choisir entre les options Modifier les droits des utilisateurs sur les objets...........................147
Droits de propriétaire...........................................................................................................148
Récapitulatif des recommandations concernant l'administration des droits...........................149
Planification de récupération d'urgence................................................................................151
Recommandations générales pour la sécurité de votre déploiement.....................................152
2011-05-06
Table des matières
6
6.4
6.5
6.5.1
6.5.2
6.6
6.6.1
6.7
6.7.1
6.7.2
6.8
6.9
6.9.1
6.9.2
6.9.3
6.9.4
6.9.5
6.10
6.11
6.11.1
6.12
6.12.1
6.12.2
6.12.3
6.13
6.13.1
6.13.2
6.14
6.14.1
6.14.2
6.15
6.15.1
6.15.2
6.16
6.16.1
6.16.2
Configuration de la sécurité pour les serveurs tiers fournis..................................................153
6.17
6.17.1
6.17.2
6.17.3
6.17.4
Paramètres de pare-feu pour les environnements intégrés...................................................200
Relation de confiance active.................................................................................................153
Jetons de connexion............................................................................................................154
Système de ticket pour la sécurité distribuée.......................................................................154
Sessions et suivi de session................................................................................................155
Suivi de session du CMS.....................................................................................................156
Protection de l'environnement..............................................................................................156
Du navigateur Web au serveur Web.....................................................................................156
Serveur Web vers la plateforme de BI..................................................................................157
Audit des modifications de la configuration de sécurité .......................................................157
Audit de l'activité Web.........................................................................................................157
Protection contre les tentatives de connexion malveillantes.................................................157
Restrictions relatives aux mots de passe.............................................................................158
Restrictions relatives aux connexions...................................................................................158
Restrictions relatives aux utilisateurs....................................................................................159
Restrictions relatives au compte Guest................................................................................159
Extensions de traitement......................................................................................................159
Présentation de la sécurité des données de la plateforme de BI...........................................160
Modes de sécurité du traitement des données.....................................................................160
Cryptographie sur la plateforme de BI..................................................................................163
Utilisation de clés de cluster.................................................................................................163
Agents de cryptographie......................................................................................................166
Gestion des clés de cryptage dans la CMC.........................................................................167
Configuration des serveurs pour SSL...................................................................................172
Création de fichiers de clé et de certificat............................................................................172
Configuration du protocole SSL...........................................................................................175
Description de la communication entre les composants de la plateforme de BI....................179
Présentation des serveurs de la plateforme de BI et des ports de communication...............180
Communication entre les composants de la plateforme de BI .............................................182
Configuration de la plateforme de BI pour les pare-feu.........................................................189
Pour configurer le système pour des pare-feu......................................................................190
Débogage d'un déploiement équipé d'un pare-feu................................................................193
Exemples de scénarios classiques de pare-feu.....................................................................194
Exemple - Niveau application déployé sur un réseau distinct................................................195
Exemple : Client lourd et niveau base de données séparés des serveurs de la plateforme de BI
par un pare-feu.....................................................................................................................197
Instructions propres au pare-feu pour l'intégration SAP........................................................200
Configuration du pare-feu pour l'intégration JD Edwards EnterpriseOne...............................202
Instructions propres au pare-feu pour Oracle EBS................................................................204
Configuration du pare-feu pour l'intégration PeopleSoft Enterprise ......................................205
2011-05-06
Table des matières
7
6.17.5
6.18
6.18.1
6.18.2
6.19
Configuration du pare-feu pour l'intégration Siebel...............................................................207
6.19.1
6.19.2
6.19.3
6.19.4
6.19.5
6.20
Instructions détaillées relatives à la configuration des serveurs proxy inverses.....................210
6.20.1
6.20.2
6.20.3
Activation du proxy inverse pour les services Web...............................................................215
Chapitre 7
Authentification...................................................................................................................221
7.1
7.1.1
7.1.2
7.1.3
7.2
7.2.1
7.2.2
7.2.3
7.2.4
7.2.5
7.3
7.3.1
7.3.2
7.3.3
7.4
7.4.1
7.4.2
7.4.3
7.4.4
7.4.5
7.5
7.5.1
7.5.2
Options d'authentification dans la plateforme de BI..............................................................221
Plateforme de Business Intelligence et serveurs proxy inverses ..........................................209
Serveurs proxy inverses pris en charge ...............................................................................209
Description du déploiement des applications Web ..............................................................210
Configuration des serveurs proxy inverses pour les applications Web de la plateforme de Business
Intelligence...........................................................................................................................210
Pour configurer le serveur proxy inverse..............................................................................211
Pour configurer le serveur proxy inverse Apache 2.2 pour la plateforme de BI : ..................211
Pour configurer le serveur proxy inverse WebSEAL 6.0 pour la plateforme de BI : ..............212
Pour configurer Microsoft ISA 2006 pour la plateforme de Business Intelligence ................213
Configuration spéciale de la plateforme de BI dans les déploiements de serveurs proxy
inverses...............................................................................................................................215
Activation du chemin racine des cookies de session pour ISA 2006.....................................217
Activation du proxy inverse pour SAP BusinessObjects Live Office.....................................220
Authentification primaire.......................................................................................................222
Plug-ins de sécurité..............................................................................................................223
Connexion unique à la plateforme de BI...............................................................................224
Authentification Enterprise...................................................................................................226
Présentation de l'authentification Enterprise.........................................................................226
Paramètres d'authentification Enterprise..............................................................................226
Modification des paramètres d'Enterprise.............................................................................228
Activation de l'authentification sécurisée..............................................................................230
Configuration de l'authentification sécurisée pour l'application Web.....................................231
Authentification LDAP..........................................................................................................241
Utilisation de l'authentification LDAP....................................................................................241
Configuration de l'authentification LDAP..............................................................................243
Mappage des groupes LDAP...............................................................................................254
Authentification Windows AD...............................................................................................259
Présentation.........................................................................................................................259
Préparation à l'authentification AD (Kerberos)......................................................................263
Connexion unique d'authentification AD...............................................................................273
Mappage des groupes AD et configuration de l'authentification AD.....................................284
Dépannage de l'authentification Windows AD......................................................................289
Authentification SAP............................................................................................................291
Configuration de l'authentification SAP ................................................................................291
Création d'un compte utilisateur pour la plateforme de BI.....................................................292
2011-05-06
Table des matières
8
7.5.3
7.5.4
7.5.5
7.5.6
7.5.7
7.5.8
7.6
7.6.1
7.6.2
7.6.3
7.6.4
7.6.5
7.7
7.7.1
7.7.2
7.7.3
7.7.4
7.8
7.8.1
7.8.2
7.8.3
7.9
7.9.1
7.9.2
7.9.3
7.9.4
7.9.5
Connexion aux systèmes d'autorisation de SAP...................................................................293
Chapitre 8
Administration du serveur...................................................................................................365
8.1
8.1.1
8.1.2
8.1.3
8.1.4
8.1.5
8.1.6
8.1.7
8.1.8
8.1.9
8.1.10
8.1.11
Administration du serveur.....................................................................................................365
Définition des options d'authentification SAP.......................................................................295
Importation de rôles SAP.....................................................................................................301
Configuration de la communication réseau sécurisée (SNC)................................................306
Configuration de la connexion unique au système SAP........................................................319
Configuration de la connexion unique pour SAP Crystal Reports et SAP NetWeaver...........323
Authentification PeopleSoft..................................................................................................324
Présentation.........................................................................................................................324
Activation de l'authentification PeopleSoft Enterprise...........................................................324
Mappage de rôles PeopleSoft à la plateforme de BI.............................................................325
Planification de mises à jour utilisateur.................................................................................329
Utilisation de la passerelle de sécurité PeopleSoft...............................................................331
Authentification JD Edwards................................................................................................342
Présentation générale..........................................................................................................342
Activation de l'authentification JD Edwards EnterpriseOne...................................................343
Mappage de rôles JD Edwards EnterpriseOne à la plateforme de BI....................................343
Planification de mises à jour utilisateur.................................................................................347
Authentification Siebel.........................................................................................................349
Activation de l'authentification Siebel...................................................................................349
Mappage de rôles à la plateforme de BI...............................................................................350
Planification de mises à jour utilisateur.................................................................................353
Authentification Oracle EBS.................................................................................................355
Activation de l'authentification Oracle EBS...........................................................................355
Mappage de rôles Oracle E-Business Suite à la plateforme de BI.........................................356
Démappage de rôles ...........................................................................................................361
Personnalisation des droits pour les groupes et utilisateurs Oracle EBS mappés ................362
Configuration de la connexion unique pour SAP Crystal Reports et Oracle EBS..................363
Utilisation de la zone de gestion Serveurs de la CMC..........................................................365
Gestion des serveurs à l'aide de scripts sous Windows ......................................................369
Gestion des serveurs sous UNIX ........................................................................................369
Gestion des clés de licence.................................................................................................369
Mesure des licences............................................................................................................371
Affichage et modification du statut d'un serveur...................................................................372
Ajout, clonage ou suppression de serveurs..........................................................................377
Mise en cluster de Central Management Servers.................................................................381
Gestion des groupes de serveurs........................................................................................385
Evaluation des performances du système.............................................................................389
Configuration des paramètres des serveurs.........................................................................394
2011-05-06
Table des matières
9
8.1.12
8.1.13
8.1.14
Configuration des paramètres réseau du serveur.................................................................398
8.1.15
Utilisation des bibliothèques tierces 32 bits et 64 bits avec la plateforme SAP BusinessObjects
de Business Intelligence.......................................................................................................429
8.1.16
Gestion des espaces réservés de nœuds et de serveurs.....................................................429
Chapitre 9
Gestion des bases de données du Central Management Server (CMS)............................431
9.1
9.2
9.2.1
9.2.2
9.3
9.3.1
9.3.2
9.4
9.4.1
9.4.2
9.4.3
Gestion des connexions à la base de données système du CMS.........................................431
Chapitre 10
Gestion des serveurs conteneurs d'applications Web (WACS)..........................................439
10.1
10.1.1
10.1.2
10.1.3
10.1.4
10.1.5
10.1.6
10.1.7
10.1.8
10.1.9
10.1.10
10.1.11
WACS.................................................................................................................................439
Chapitre 11
Sauvegarde et restauration.................................................................................................471
11.1
11.1.1
11.1.2
11.1.3
Sauvegarde et restauration de votre système......................................................................471
Gestion des nœuds.............................................................................................................406
Renommage d'un ordinateur dans un déploiement de la plateforme SAP BusinessObjects de
Business Intelligence............................................................................................................428
Sélection d'une base de données CMS (nouvelle ou existante)...........................................431
Pour sélectionner une base de données de CMS nouvelle ou existante sous Windows.......432
Pour sélectionner une base de données de CMS nouvelle ou existante sous UNIX.............432
Recréation de la base de données système du CMS...........................................................433
Pour recréer la base de données système du CMS sous Windows.....................................434
Pour recréer la base de données système du CMS sous UNIX............................................434
Copie de données d'une base de données système d'un CMS dans une autre....................435
Préparation de la copie d'une base de données système du CMS.......................................436
Pour copier une base de données système du CMS sous Windows....................................436
Copie de données d'une base de données système du CMS sous UNIX.............................437
Serveur conteneur d'applications Web (WACS)...................................................................439
Ajout ou suppression de serveurs WACS à votre déploiement............................................443
Ajout ou suppression de services aux serveurs WACS........................................................447
Configuration HTTPS/SSL...................................................................................................449
Méthodes d'authentification prises en charge.......................................................................453
Configuration d'AD Kerberos pour un serveur WACS .........................................................454
Configuration de la connexion unique Kerberos AD .............................................................460
Configuration des serveurs WACS dans votre environnement informatique.........................462
Configuration des propriétés d'applications Web..................................................................465
Dépannage..........................................................................................................................466
Propriétés des serveurs WACS...........................................................................................470
Sauvegarde d'un système....................................................................................................472
Sauvegarde des paramètres du serveur...............................................................................473
Sauvegarde de contenu Business Intelligence......................................................................475
2011-05-06
Table des matières
10
11.1.4
11.1.5
Restauration du système......................................................................................................476
11.1.6
Recréation d'un système de la plateforme SAP BusinessObjects de Business Intelligence lorsque
les fichiers sont perdus........................................................................................................481
11.1.7
Paramètres BackupCluster et RestoreCluster......................................................................482
Chapitre 12
Gestion du cycle de vie.......................................................................................................487
12.1
12.2
12.2.1
12.3
12.3.1
12.3.2
Console de gestion du cycle de vie......................................................................................487
Chapitre 13
Gestion des applications.....................................................................................................497
13.1
13.1.1
13.1.2
13.1.3
13.2
13.2.1
13.3
Gestion des applications via la CMC....................................................................................497
13.3.1
13.3.2
13.3.3
13.4
13.4.1
13.4.2
13.4.3
13.4.4
13.4.5
Emplacements des fichiers Zone de lancement BI et OpenDocument..................................528
Chapitre 14
Gestion des connexions et des univers..............................................................................537
14.1
14.1.1
14.2
14.2.1
Gestion des connexions.......................................................................................................537
Restauration de fichiers de la plateforme SAP BusinessObjects de Business Intelligence perdus
ou corrompus lorsqu'une copie de sauvegarde est disponible..............................................481
Paramètres du système de gestion des versions pour la console de gestion du cycle de vie.487
Paramètres du système de gestion des versions pour la console de gestion du cycle de vie.488
Outil de ligne de commande du moteur BIAR.......................................................................489
Utilisation d'un fichier de propriétés .....................................................................................491
Pour utiliser l'outil de ligne de commande du moteur BIAR...................................................496
Présentation.........................................................................................................................497
Paramètres courants pour les applications...........................................................................498
Paramètres spécifiques aux applications..............................................................................500
Gestion des applications via les propriétés du fichier BOE.war.............................................519
Fichier war BOE...................................................................................................................519
Personnalisation des points d'entrée de connexion de la zone de lancement BI et
OpenDocument....................................................................................................................527
Pour définir une page de connexion personnalisée...............................................................529
Pour ajouter l'authentification sécurisée à la connexion........................................................530
Configuration de l'intégration Web BEx ...............................................................................531
Démarrage d'un serveur pour les applications Web BEx ......................................................532
Démarrage d'un serveur autonome pour les applications Web BEx .....................................532
Configuration des paramètres de serveur.............................................................................533
Vérification de la connexion au système BW .......................................................................534
Configuration d'une connexion entre le concepteur d'applications Web BEx et la plateforme de
Business Intelligence............................................................................................................534
Pour supprimer une connexion d'univers..............................................................................537
Gestion des univers.............................................................................................................538
Pour supprimer des univers..................................................................................................539
2011-05-06
Table des matières
11
Chapitre 15
Surveillance.........................................................................................................................541
15.1
15.2
15.2.1
15.3
15.4
15.5
15.5.1
15.6
15.6.1
15.6.2
15.7
15.8
15.8.1
15.8.2
15.8.3
15.8.4
15.8.5
15.8.6
A propos de la surveillance..................................................................................................541
Chapitre 16
Audit....................................................................................................................................573
16.1
16.2
16.2.1
16.2.2
16.2.3
16.3
16.3.1
Présentation.........................................................................................................................573
Chapitre 17
Recherche de plateformes..................................................................................................611
17.1
17.2
17.3
17.4
17.4.1
17.4.2
17.5
17.6
17.7
Présentation générale..........................................................................................................611
Terminologie de la surveillance.............................................................................................541
Architecture.........................................................................................................................543
Prise en charge de cluster pour serveur de surveillance.......................................................546
Métriques............................................................................................................................546
Propriétés de configuration..................................................................................................558
URL du point de terminaison JMX........................................................................................561
Intégration à d'autres applications........................................................................................563
Intégration de l'application de surveillance à IBM Tivoli.........................................................563
Intégration de l'application de surveillance à SAP Solution Manager ....................................566
Création d'un univers pour une base de données Derby.......................................................567
Dépannage..........................................................................................................................568
Tableau de bord...................................................................................................................568
Alertes.................................................................................................................................568
Liste de veille.......................................................................................................................569
Tests....................................................................................................................................569
Métriques............................................................................................................................570
Graphique............................................................................................................................571
Page Audit de la CMC.........................................................................................................579
Statut de l'audit....................................................................................................................579
Configuration des événements d'audit..................................................................................581
Paramètres de configuration des magasins de données d'audit............................................583
Evénements d'audit..............................................................................................................585
Evénements et détails d'audit...............................................................................................592
Architecture.........................................................................................................................611
Prise en charge de cluster pour la recherche de plateformes...............................................613
SDK et Open Search...........................................................................................................614
SDK de recherche de plateformes.......................................................................................614
Open Search........................................................................................................................614
Configuration des propriétés de l'application........................................................................616
Types de contenus pouvant être recherchés........................................................................623
Requêtes suggérées............................................................................................................624
2011-05-06
Table des matières
12
17.8
17.9
17.10
17.11
17.12
17.12.1
17.12.2
17.12.3
17.13
17.14
17.15
Facettes...............................................................................................................................625
Chapitre 18
Fédération...........................................................................................................................635
18.1
18.2
18.2.1
18.2.2
18.2.3
18.2.4
18.2.5
18.2.6
18.2.7
18.2.8
18.2.9
18.2.10
18.2.11
18.2.12
18.2.13
18.2.14
18.2.15
18.2.16
18.2.17
18.3
18.3.1
18.3.2
18.3.3
18.3.4
18.3.5
18.4
18.4.1
18.4.2
Fédération............................................................................................................................635
Prise en charge multilingue...................................................................................................626
Suggestions.........................................................................................................................626
Fédération des résultats de recherche SAP BusinessObjects Explorer................................627
Intégration à SAP NetWeaver Enterprise Search lors de la recherche..................................627
Création d'un connecteur dans SAP NetWeaver Enterprise Search ....................................628
Importation d'un rôle d'utilisateur dans l'authentification SAP BusinessObjects Enterprise....629
Recherche depuis NetWeaver Enterprise Search.................................................................629
Audit....................................................................................................................................630
Liste d'échecs d'indexation..................................................................................................631
Dépannage..........................................................................................................................631
Terminologie Fédération.......................................................................................................636
Application BI ......................................................................................................................637
Site de destination ..............................................................................................................637
Local....................................................................................................................................637
Instances finalisées exécutées localement ..........................................................................637
Sites d'origine multiples ......................................................................................................637
Réplication unidirectionnelle ................................................................................................638
Site d'origine .......................................................................................................................638
Distant.................................................................................................................................638
Connexion à distance...........................................................................................................638
Planification à distance.........................................................................................................638
Réplication...........................................................................................................................639
Travail de réplication.............................................................................................................639
Liste de réplication...............................................................................................................639
Objet de réplication..............................................................................................................639
Lot de réplications................................................................................................................639
Actualisation de la réplication...............................................................................................640
Réplication bidirectionnelle...................................................................................................640
Gestion des droits de sécurité.............................................................................................640
Droits requis sur le site d'origine..........................................................................................640
Droits requis sur le site de destination.................................................................................641
Droits spécifiques à Fédération............................................................................................642
Réplication de la sécurité sur un objet..................................................................................644
Réplication de la sécurité à l'aide des niveaux d'accès..........................................................645
Options de types et de mode de réplication.........................................................................645
Réplication unidirectionnelle ................................................................................................646
Réplication bidirectionnelle ..................................................................................................646
2011-05-06
Table des matières
13
18.4.3
18.5
18.6
18.7
18.7.1
18.7.2
18.8
18.8.1
18.8.2
18.9
18.9.1
18.9.2
18.9.3
18.9.4
18.10
18.10.1
18.10.2
18.10.3
18.11
18.11.1
18.11.2
18.12
18.12.1
18.12.2
18.12.3
18.13
18.13.1
18.13.2
18.13.3
18.14
18.14.1
18.14.2
18.14.3
18.14.4
18.15
18.15.1
18.15.2
Actualiser à partir du site d'origine ou Actualiser à partir de la destination............................647
Chapitre 19
Configurations supplémentaires pour les environnements Enterprise Resource Planning.687
19.1
19.1.1
Configurations pour l'intégration SAP NetWeaver................................................................687
Réplication d'utilisateurs et de groupes tiers........................................................................648
Réplication des univers et des connexions d'univers............................................................649
Gestion des listes de réplication..........................................................................................650
Création de listes de réplication...........................................................................................651
Modification des listes de réplication....................................................................................653
Gestion des connexions à distance......................................................................................654
Création de connexions à distance.......................................................................................655
Modification des connexions à distance...............................................................................657
Gestion des travaux de réplication.......................................................................................657
Création de travaux de réplication........................................................................................657
Planification de travaux de réplication...................................................................................660
Modification des travaux de réplication.................................................................................661
Visualisation d'un journal après un travail de réplication........................................................662
Gestion du nettoyage des objets..........................................................................................663
Utilisation du nettoyage des objets.......................................................................................663
Limites du nettoyage des objets...........................................................................................664
Fréquence de nettoyage des objets.....................................................................................664
Gestion de la détection et de la résolution des conflits.........................................................665
Résolution des conflits de réplication unidirectionnelle.........................................................665
Résolution des conflits de réplication bidirectionnelle...........................................................667
Utilisation des services Web dans Fédération......................................................................670
Variables de session ...........................................................................................................671
Mise en cache des fichiers ..................................................................................................671
Déploiement personnalisé ...................................................................................................672
Planification à distance et instances exécutées localement..................................................672
Planification à distance.........................................................................................................673
Instances exécutées localement...........................................................................................674
Partage d'instances..............................................................................................................675
Importation et promotion de contenu répliqué......................................................................676
Importation de contenu répliqué...........................................................................................676
Importation de contenu répliqué et réplication continue .......................................................676
Promotion de contenu à partir d'un environnement de test...................................................677
Redirection d'un site de destination......................................................................................678
Meilleures pratiques.............................................................................................................678
Limites de la version actuelle................................................................................................681
Dépannage des messages d'erreur......................................................................................682
Intégration à SAP NetWeaver Business Warehouse (BW)...................................................687
2011-05-06
Table des matières
14
19.2
19.2.1
19.2.2
19.3
19.3.1
19.3.2
19.3.3
19.4
19.4.1
Configuration pour l'intégration JD Edwards.........................................................................739
19.4.2
19.4.3
19.4.4
19.4.5
Création de l'élément de menu Crystal Reports...................................................................747
Chapitre 20
Gestion et configuration des journaux................................................................................755
20.1
20.2
20.3
20.3.1
20.3.2
20.3.3
20.4
20.4.1
20.4.2
20.5
20.5.1
Journalisation des traces de composants.............................................................................755
Chapitre 21
Intégration à SAP Solution Manager...................................................................................771
21.1
21.2
21.3
21.3.1
21.3.2
21.3.3
21.4
21.4.1
21.4.2
21.4.3
21.5
Présentation de l'intégration.................................................................................................771
Configuration de la connexion unique pour SAP Crystal Reports..........................................739
Configuration SSL pour les intégrations JD Edwards...........................................................740
Configuration pour l'intégration PeopleSoft Enterprise.........................................................741
Configuration de la connexion unique pour SAP Crystal Reports et PeopleSoft Enterprise...741
Configuration de la communication Secure Socket Layer.....................................................742
Ajustement des performances pour les systèmes PeopleSoft..............................................744
Configuration pour l'intégration Siebel..................................................................................746
Configuration de Siebel pour l'intégration à la plateforme SAP BusinessObjects de Business
Intelligence...........................................................................................................................746
Reconnaissance contextuelle...............................................................................................749
Configuration de la connexion unique pour SAP Crystal Reports et Siebel...........................751
Configuration de la communication Secure Sockets Layer...................................................752
Niveaux de journal des événements.....................................................................................755
Configuration du suivi pour les serveurs...............................................................................756
Pour définir le niveau du journal des événements du serveur dans la CMC..........................757
Pour définir le niveau du journal des événements de plusieurs serveurs gérés dans la CMC.758
Pour configurer le suivi de serveur via le fichier Bo_trace.ini.................................................758
Configuration du suivi pour les applications Web..................................................................761
Pour définir le niveau de journalisation des événements des applications Web dans la CMC.762
Pour modifier manuellement les paramètres de suivi par le bais du fichier BO_trace.ini........762
Configuration du suivi pour l'outil de gestion de mise à niveau..............................................768
Pour configurer le suivi pour l'outil de gestion de mise à niveau............................................768
Liste de vérification de l'intégration SAP Solution Manager..................................................771
Gestion de l'enregistrement du répertoire du paysage système...........................................773
Enregistrement de la plateforme de BI dans le paysage système.........................................773
Déclenchement de l'enregistrement SLD.............................................................................774
Connexion de la connectivité SLD .......................................................................................775
Gestion des agents Solution Manager Diagnostics..............................................................775
Présentation de Solution Manager Diagnostics (SMD).........................................................775
Utilisation des agents SMD..................................................................................................776
Compte utilisateur SMAdmin...............................................................................................776
Gestion de l'instrumentation des performances....................................................................777
2011-05-06
Table des matières
15
21.5.1
21.5.2
Instrumentation de performances pour la plateforme de Business Intelligence.....................777
21.5.3
21.5.4
21.6
Instrumentation de performances pour le niveau Web..........................................................779
Chapitre 22
Administration de la ligne de commande............................................................................781
22.1
22.1.1
22.1.2
22.1.3
22.2
22.2.1
22.3
22.3.1
22.3.2
22.3.3
22.3.4
22.3.5
22.3.6
22.3.7
22.3.8
22.3.9
22.3.10
22.3.11
22.3.12
Scripts UNIX........................................................................................................................781
Chapitre 23
Annexe relative aux droits...................................................................................................809
23.1
23.2
23.3
23.3.1
23.3.2
23.3.3
23.3.4
23.3.5
23.3.6
23.3.7
23.3.8
A propos de l'annexe relative aux droits...............................................................................809
Configuration de l'instrumentation de performances pour la plateforme de Business
Intelligence...........................................................................................................................778
Fichiers journaux d'instrumentation ......................................................................................779
Suivi avec le Passeport SAP................................................................................................780
Utilitaires de script...............................................................................................................781
Modèles de scripts..............................................................................................................787
Scripts utilisés par la plateforme SAP BusinessObjects de Business Intelligence.................788
Scripts Windows..................................................................................................................790
ccm.exe...............................................................................................................................790
Lignes de commande des serveurs......................................................................................793
Présentation des lignes de commande.................................................................................793
Options standard communes à tous les serveurs.................................................................794
Central Management Server................................................................................................795
Crystal Reports Processing Server et Crystal Reports Cache Server..................................798
Serveur de traitement Dashboard Design et Cache Server Dashboard Design....................799
Job Servers.........................................................................................................................800
Serveur de traitement adaptatif............................................................................................802
Report Application Server....................................................................................................802
Web Intelligence Processing Server.....................................................................................804
Input et Output File Repository Servers...............................................................................805
Event Server........................................................................................................................807
Serveurs Dashboard Server et Dashboard Analytics Server ...............................................808
Droits généraux...................................................................................................................809
Droits sur les types d'objet spécifiques................................................................................812
Droits d'accès aux dossiers.................................................................................................812
Catégories...........................................................................................................................812
Remarques..........................................................................................................................813
Rapports Crystal..................................................................................................................814
Documents Web Intelligence................................................................................................814
Utilisateurs et groupes.........................................................................................................816
Niveaux d'accès...................................................................................................................817
Espaces de travail BI............................................................................................................818
2011-05-06
Table des matières
16
23.3.9
23.3.10
23.3.11
23.3.12
23.3.13
Droits d'univers (.unv)..........................................................................................................819
Chapitre 24
Annexe relative aux propriétés des serveurs.......................................................................839
24.1
24.1.1
24.1.2
24.1.3
24.1.4
24.1.5
24.1.6
24.1.7
24.1.8
A propos de l'annexe relative aux propriétés des serveurs...................................................839
Chapitre 25
Annexe métrique système...................................................................................................885
25.1
25.1.1
25.1.2
25.1.3
25.1.4
25.1.5
25.1.6
25.1.7
25.1.8
25.1.9
25.1.10
25.1.11
A propos de l'annexe Métriques du serveur.........................................................................885
Chapitre 26
Annexe relative aux espaces réservés de nœuds et de serveurs........................................911
26.1
Espaces réservés de nœud et de serveur............................................................................911
Chapitre 27
Annexe relative au schéma de magasin de données d'audit...............................................923
27.1
27.2
27.3
Présentation.........................................................................................................................923
Droits d'univers (.unx)..........................................................................................................820
Niveaux d'accès aux objets d'univers...................................................................................822
Droits de connexion.............................................................................................................823
Applications.........................................................................................................................824
Propriétés courantes du serveur..........................................................................................839
Propriétés des services principaux.......................................................................................842
Propriétés des services de connectivité...............................................................................854
Propriétés des services Crystal Reports..............................................................................858
Propriétés d'Analysis Services.............................................................................................868
Propriétés des services de fédération de données...............................................................870
Propriétés des services Web Intelligence.............................................................................870
Propriétés des services Dashboard Design..........................................................................880
Métriques communes du serveur ........................................................................................885
Métriques du Central Management Server...........................................................................888
Métrique Connection Server................................................................................................893
Métriques de l'Event Server ................................................................................................893
Métriques du File Repository Server....................................................................................894
Métriques du serveur de traitement adaptatif.......................................................................895
Métriques de serveurs conteneurs d'applications Web........................................................900
Métriques d'Adaptative Job Server......................................................................................901
Métriques de Crystal Report Server.....................................................................................903
Métriques de Web Intelligence Server .................................................................................906
Métriques du serveur Dashboard Design.............................................................................908
Diagramme de schéma.........................................................................................................923
Tables du magasin de données d'audit.................................................................................924
2011-05-06
Table des matières
Annexe A
Index
17
Informations supplémentaires.............................................................................................935
937
2011-05-06
Table des matières
18
2011-05-06
Démarrage
Démarrage
1.1 A propos de cette aide
Cette aide présente les informations et procédures relatives au déploiement et à la configuration de
votre plateforme de BI. Les procédures décrivent les tâches courantes. Des informations d'ordre
conceptuel et des détails techniques se rapportent aux questions plus élaborées.
Pour en savoir plus sur l'installation de ce produit, voir le Guide d'installation de la plateforme SAP
BusinessObjects de Business Intelligence.
1.1.1 A qui s'adresse cette aide ?
Cette aide présente les tâches de déploiement et de configuration. Nous vous recommandons de
consulter ce guide si vous :
•
planifiez votre premier déploiement ;
•
configurez votre premier déploiement ;
•
apportez d'importantes modifications à l'architecture d'un déploiement existant ;
•
améliorez les performances de votre système.
Cette aide en ligne s'adresse aux administrateurs système responsables de la configuration, de la
gestion et de la maintenance d'une installation de la plateforme de BI. La maîtrise de votre système
d'exploitation et de votre environnement réseau est des plus utiles, tout comme une connaissance
générale des technologies relatives à la gestion des serveurs d'applications Web et à la rédaction de
scripts. Toutefois, cette aide, qui tient compte des différents niveaux d'expérience administrative, a
pour objectif de fournir des informations contextuelles et conceptuelles suffisantes pour clarifier
l'ensemble des fonctions et des tâches administratives.
1.1.2 A propos de la plateforme SAP BusinessObjects de Business Intelligence
19
2011-05-06
Démarrage
La plateforme de BI est une solution souple, évolutive et fiable permettant de fournir des rapports
interactifs puissants aux utilisateurs finaux via n'importe quelle application Web, notamment un intranet,
un extranet, Internet ou un portail d'entreprise. Qu'elle soit utilisée pour diffuser des rapports de ventes
hebdomadaires, fournir aux clients des services personnalisés ou intégrer des informations importantes
dans des portails d'entreprise, la plateforme de BI offre des avantages concrets qui dépassent le simple
cadre de l'entreprise. Suite intégrée spécialisée dans le reporting, l'analyse et la diffusion d'informations,
la plateforme permet aux utilisateurs finaux d'augmenter leur productivité tout en réduisant les tâches
administratives.
1.1.3 Variables
Les variables suivantes sont utilisées dans ce guide.
Variable
Description
REPINSTALL
Répertoire dans lequel est installée la plateforme de BI.
Sur un ordinateur fonctionnant sous Windows, le répertoire par défaut est :
C:\Program Files (x86)\SAP BusinessObjects\.
<REPPLATE
FORME64>
Nom de votre système d'exploitation UNIX. Les valeurs acceptées sont les suivantes :
• aix_rs6000_64
• linux_x64
• solaris_sparcv9
• hpux_ia64
<REPSCRIPT>
Répertoire où sont situés les scripts pour la gestion de la plateforme de BI.
Sur un ordinateur Windows, le répertoire est <REPINS
TALL>\win64_x64\scripts.
Sur un ordinateur UNIX, le répertoire est <REPINSTALL>/<REPPLATE
FORME64>/scripts.
1.2 Avant de commencer
20
2011-05-06
Démarrage
1.2.1 Notions préalables
1.2.1.1 Services et serveurs
Le diagramme suivant illustre une hypothèse d'installation de la plateforme de BI.
Remarque :
Les nœuds, serveurs et services sont affichés à titre d'illustration uniquement. Le nombre d'hôtes,
nœuds, serveurs et services, ainsi que le type des serveurs et services, sera différent dans des
installations réelles.
21
2011-05-06
Démarrage
Deux hôtes forment le cluster nommé ProductionBISystem :
• L'hôte nommé HostAlpha comporte l'installation de la plateforme de BI et est configuré de sorte à
contenir deux nœuds :
•
•
•
L'hôte nommé HostBeta comporte l'installation de la plateforme de BI et est configuré de sorte à
contenir trois nœuds :
•
•
22
NodeMercury : contient un Adaptive Job Server (NodeMercury.AJS) avec les services pour la
planification et la publication de rapports, un Input File Repository Server (NodeMercury.IFRS)
avec un service de stockage des rapports d'entrée, ainsi qu'un Output File Repository Server
(NodeMercury.OFRS) avec un service de stockage des rapports de sortie.
NodeVenus : contient un serveur de traitement adaptatif (NodeVenus.APS) avec des services
fournissant des fonctions de publication, de surveillance et de traduction, un serveur de traitement
adaptatif (NodeVenus.APS2) avec un service d'audit client, ainsi qu'un Central Management
Server (NodeVenus.CMS) avec un service fournissant les services du CMS.
NodeMars : contient un Central Management Server (NodeMars.CMS) avec un service fournissant
les services du CMS.
NodeJupiter : contient un serveur de traitement Web Intelligence (NodeJupiter.Web Intelligence)
avec un service assurant le reporting Web Intelligence et un Event Server
(NodeJupiter.EventServer) assurant la surveillance des rapports des fichiers.
2011-05-06
Démarrage
•
NodeSaturn : contient un serveur de traitement adaptatif (NodeSaturn.APS) avec un service
fournissant l'audit client.
La plateforme de BI utilise les termes serveur et service pour désigner les deux types de logiciel
s'exécutant sur un ordinateur de la plateforme de BI.
Un service est un sous-système de serveur qui exécute une fonction spécifique. Le service s'exécute
dans l'espace mémoire de son serveur sous l'ID de processus du conteneur parent (serveur). Par
exemple, le service de planification et de publication de SAP BusinessObjects Web Intelligence
représente un sous-système qui s'exécute au sein de l'Adaptive Job Server.
Le terme serveur est utilisé pour décrire un processus au niveau du système d'exploitation (appelé
démon sur certains systèmes) hébergeant un ou plusieurs services. Par exemple, le Central Management
Server (CMS) et l'Adaptive Processing Server sont des serveurs. Un serveur s'exécute sous un compte
système spécifique et possède son propre PID.
Un nœud est un ensemble de serveurs de la plateforme de BI exécutés sur le même hôte. Un même
hôte peut contenir un ou plusieurs nœuds.
La plateforme de BI peut être installée sur un seul ordinateur, sur plusieurs ordinateurs d'un intranet
ou sur un réseau étendu (WAN).
1.2.1.2 Server Intelligence
Server Intelligence est un composant de la Central Management Console (CMC). Il permet de gérer
les processus d'un ensemble ou d'un serveur, désignés sous le nom de nœud. Les modifications
apportées aux processus serveur appliqués dans la CMC sont propagées aux serveurs concernés par
le SIA (Server Intelligence Agent). Le SIA est également utilisé pour le redémarrage ou l'arrêt automatique
d'un serveur qui rencontre une condition inattendue et par la Central Management Server (CMC) pour
gérer les nœuds.
Le serveur Server Intelligence Agent (SIA) archive les informations sur le serveur dans la base de
données système du CMS, si bien que vous pouvez facilement restaurer les paramètres par défaut du
serveur ou créer des instances redondantes des processus serveur avec les mêmes paramètres.
1.2.2 Outils d'administration clés
23
2011-05-06
Démarrage
1.2.2.1 Central Management Console (CMC)
La CMC (Central Management Console) est un outil basé sur le Web qui permet d'effectuer des tâches
d'administration, y compris la gestion des utilisateurs, des contenus et des serveurs. Il permet également
de publier, d'organiser et de configurer des paramètres de sécurité. La CMC étant une application Web,
vous pouvez effectuer toutes les tâches d'administration via un navigateur Web sur tout ordinateur
pouvant se connecter au serveur.
Tous les utilisateurs peuvent se connecter à la CMC pour modifier leurs paramètres de préférences
utilisateur. Seuls les membres du groupe Administrateurs peuvent modifier les paramètres de gestion,
à moins que les droits requis n'aient été explicitement accordés. Les rôles peuvent aussi être affectés
à la CMC pour accorder des droits à certains utilisateurs pour des tâches d'administration mineures.
1.2.2.2 Central Configuration Manager (CCM)
Le CCM (Central Configuration Manager) est un outil de gestion de nœuds et de dépannage de serveurs
proposé sous deux formes. Dans un environnement Microsoft Windows, le CCM permet de gérer des
serveurs locaux et distants via son interface utilisateur graphique ou depuis une ligne de commande.
Dans un environnement Unix, le script shell du CCM (ccm.sh permet de gérer des serveurs à partir
de la ligne de commande.
Le CCM permet de créer et de configurer des nœuds Server Intelligence Agent (SIA) et de démarrer
ou d'arrêter votre serveur d'applications Web. Sous Windows, il permet également de configurer des
paramètres réseau, tels que le cryptage SSL (Secure Socket Layer). Ces paramètres s'appliquent à
tous les serveurs d'un même nœud.
Remarque :
La plupart des tâches de gestion des serveurs sont à présent gérées via la CMC, et non via le CCM.
Désormais, le CCM est utilisé pour le dépannage et la configuration des nœuds.
1.2.2.3 Outil de diagnostic de référentiel
L'outil de diagnostic de référentiel permet d'analyser, de diagnostiquer et de réparer les incohérences
qui peuvent se produire entre la base de données système du CMS ( Central Management Server) et
le stockage des fichiers FRS (File Repository Servers). Vous pouvez définir une limite pour le nombre
d'erreurs trouvées et réparées par le RDT avant l'arrêt.
24
2011-05-06
Démarrage
Le RDT doit être utilisé avant la restauration du système de la plateforme de BI.
1.2.2.4 Outil de gestion de mise à niveau
L'outil de gestion de mise à niveau (anciennement Assistant d'importation) est installé dans le cadre
de la plateforme de BI et guide les administrateurs tout au long du processus d'importation des
utilisateurs, groupes et dossiers des versions précédentes de la plateforme de BI. Il permet également
l'importation et la mise à niveau des objets, événements, groupes de serveurs, objets de référentiel et
calendriers.
Pour en savoir plus sur la mise à niveau à partir d'une version antérieure de la plateforme de BI, voir
le Guide de mise à niveau de la plateforme SAP BusinessObjects de Business Intelligence.
1.2.3 Tâches principales
Selon votre situation, vous pouvez consulter des sections spécifiques de cette aide et accéder à d'autres
ressources disponibles. Pour chacune des situations ci-après, une liste de tâches suggérées et de
rubriques à consulter vous est proposée.
Rubriques associées
• Planification ou exécution de votre premier déploiement
• Configuration de votre déploiement
• Amélioration des performances du système
• Central Management Console (CMC)
1.2.3.1 Planification ou exécution de votre premier déploiement
Si vous planifiez ou exécutez votre premier déploiement de la plateforme de BI, il est recommandé
d'effectuer les tâches suivantes et de lire les sections correspondantes :
25
•
Pour vous familiariser avec les composants de la plateforme de BI, lisez la rubrique “Présentation
de l'architecture”.
•
Pour évaluer vos besoins et concevoir une architecture de déploiement la plus appropriée à votre
entreprise, lisez le Guide de planification du déploiement de la plateforme SAP BusinessObjects de
Business Intelligence.
2011-05-06
Démarrage
•
“Description de la communication entre les composants de la plateforme de BI”.
•
“Présentation de la sécurité”
•
Si vous envisagez d'utiliser une authentification tierce, voir “Authentification”.
•
Pour en savoir plus sur l'installation de la plateforme de BI, voir le Guide d'installation de la plateforme
SAP BusinessObjects de Business Intelligence.
•
Après l'installation, lisez la section “Présentation de la gestion des serveurs”.
Rubriques associées
• Présentation de l'architecture
• Description de la communication entre les composants de la plateforme de BI
• Présentation de la sécurité
• Options d'authentification dans la plateforme de BI
• Administration du serveur
1.2.3.2 Configuration de votre déploiement
Si vous avez terminé l'installation de la plateforme de BI et que vous devez effectuer les tâches de
configuration initiales, telles que la configuration du pare-feu et la gestion des utilisateurs, nous vous
recommandons de lire les sections suivantes.
Rubriques associées
• Administration du serveur
• Communication entre les composants de la plateforme de BI
• Présentation de la sécurité
• A propos de la surveillance
1.2.3.3 Amélioration des performances du système
Si vous souhaitez évaluer l'efficacité de votre déploiement et l'améliorer afin d'optimiser les ressources,
nous vous recommandons de lire les sections suivantes :
26
•
Si vous souhaitez surveiller le système existant, lisez “Surveillance”.
•
Pour en savoir plus sur les tâches et procédures de maintenance quotidienne relatives aux serveurs
dans la CMC, voir “Gestion du serveur”.
2011-05-06
Démarrage
Rubriques associées
• A propos de la surveillance
• Administration du serveur
1.2.3.4 Utilisation des objets dans la CMC
Si vous utilisez des objets dans la CMC, lisez les sections suivantes :
•
Pour en savoir plus sur la configuration des utilisateurs et des groupes dans la CMC, voir
“Présentation de la gestion des comptes”.
•
Pour définir une sécurité sur les objets, voir “Fonctionnement des droits sur la plateforme de Business
Intelligence”
•
Pour obtenir des informations générales sur l'utilisation des objets, voir le Guide de l'utilisateur de
la plateforme SAP BusinessObjects de Business Intelligence.
Rubriques associées
• Présentation de la gestion des comptes
• Fonctionnement des droits sur la plateforme de BI
27
2011-05-06
Démarrage
28
2011-05-06
Architecture
Architecture
2.1 Présentation de l'architecture
Cette section décrit les composants de l'architecture globale de la plateforme, ainsi que les composants
système et de service qui constituent la plateforme SAP BusinessObjects de Business Intelligence.
Ces informations permettent aux administrateurs de mieux comprendre les bases du système et
d'élaborer un plan de déploiement, de gestion et de maintenance du système.
La plateforme SAP BusinessObjects de Business Intelligence est conçue pour fournir des performances
élevées dans une large gamme de scénarios utilisateur et de déploiement. Par exemple, les services
de plateforme spécialisés traitent soit l'accès aux données et la génération de rapports à la demande,
soit la planification de rapports en fonction des heures et des événements. Vous pouvez transférer les
opérations de traitement et de planification consommatrices de temps processeur en créant des serveurs
dédiés pour héberger des services spécifiques. L'architecture est conçue pour répondre aux besoins
de quasiment tout déploiement BI et est suffisamment flexible pour passer de quelques utilisateurs
avec un seul outil à des dizaines de milliers d'utilisateurs avec plusieurs outils et interfaces.
Les développeurs peuvent intégrer la plateforme SAP BusinessObjects de Business Intelligence aux
autres systèmes technologiques de votre organisation par le biais de services Web et d'API (Application
Programming Interfaces) .NET ou Java.
Les utilisateurs finaux peuvent accéder aux rapports, en créer, en modifier et interagir avec ceux-ci à
l'aide d'outils et d'applications spécialisés, notamment :
• Le programme d'installation des outils client de la plateforme SAP BusinessObjects de Business
Intelligence installe les clients :
• Web Intelligence
• Gestionnaire de vues d'entreprise
• Outil de conversion de rapport
• Outil de conception d'univers
• Outil Requête du service Web (anciennement Query as a Web Service)
• Outil de conception d'information (anciennement Information Designer)
• Outil de gestion de la traduction (anciennement Gestionnaire de traduction)
• Indicateurs pour la plateforme SAP BusinessObjects de Business Intelligence (anciennement BI
Widgets)
•
29
Clients disponibles séparément :
• SAP Crystal Reports
• SAP BusinessObjects Dashboard Design (anciennement Xcelsius)
• SAP BusinessObjects Analysis (anciennement Voyager)
2011-05-06
Architecture
•
Espaces de travail BI (anciennement Dashboard Builder)
Les services informatiques peuvent utiliser les outils de gestion de systèmes et de données suivants :
• Visualiseurs de rapports
• Central Management Console (CMC)
• Central Configuration Manager (CCM)
• Repository Diagnostic Tool (RDT)
• Outil d'administration de fédération de données
• Outil de gestion de mise à niveau (anciennement Assistant d'importation)
• Outil de conception d'univers (anciennement Universe Designer)
• SAP BusinessObjects Mobile
Pour garantir la flexibilité, la fiabilité et l'évolutivité, les composants de la plateforme SAP BusinessObjects
de Business Intelligence peuvent être installés sur un ou plusieurs ordinateurs. Vous pouvez même
installer deux versions différentes de la plateforme SAP BusinessObjects de Business Intelligence
simultanément sur le même ordinateur, bien que cette configuration soit uniquement recommandée
dans le cadre du processus de mise à niveau ou à des fins de test.
Les processus serveur peuvent être “étendus verticalement” (c'est-à-dire qu'un ordinateur exécute
plusieurs processus côté serveur, voire tous) pour réduire les coûts ou “étendus horizontalement”
(c'est-à-dire que les processus serveur sont répartis entre au moins deux ordinateurs en réseau) pour
améliorer les performances. Il est également possible d'exécuter plusieurs versions redondantes d'un
même processus serveur sur plusieurs ordinateurs de sorte que le traitement puisse se poursuivre si
un problème survient au niveau du premier processus.
Remarque :
Bien qu'il soit possible d'utiliser à la fois des plateformes Windows et Unix ou Linux, il est recommandé
de ne pas utiliser de systèmes d'exploitation différents pour les processus CMS (Central Management
Server).
2.1.1 Présentation du système
La plateforme SAP BusinessObjects de Business Intelligence fournit des outils d'analyse et de reporting
au niveau de l'entreprise. Les données peuvent être analysées à partir d'un grand nombre de systèmes
de bases de données pris en charge (y compris des systèmes OLAP de texte ou multidimensionnels)
et les rapports BI peuvent être publiés dans différents formats sur divers systèmes de publication.
Le graphique ci-dessous illustre la manière dont la plateforme SAP BusinessObjects de Business
Intelligence s'adapte à l'infrastructure de votre organisation.
30
2011-05-06
Architecture
La plateforme SAP BusinessObjects de Business Intelligence effectue des rapports à partir d'une
connexion en lecture seule aux bases de données de votre organisation et utilise ses propres bases
de données pour stocker ses informations de configuration, d'audit et autres informations opérationnelles.
Les rapports BI créés par le système peuvent être envoyés vers de nombreuses destinations, y compris
les systèmes de fichiers et courriers électroniques, ou être accessibles par le biais de sites Web ou de
portails.
La plateforme SAP BusinessObjects de Business Intelligence est un système autonome qui peut se
trouver sur un seul ordinateur (par exemple, sous forme de petit environnement de développement ou
d'environnement de test de pré-production) ou qui peut être mis à l'échelle dans un cluster de plusieurs
ordinateurs exécutant différents composants (par exemple, sous forme d'environnement de production
à grande échelle).
2.1.2 Bases de données
La plateforme SAP BusinessObjects de Business Intelligence utilise plusieurs bases de données
différentes.
• Base de données de reporting
Elle fait référence aux informations de votre entreprise. Il s'agit des informations source faisant l'objet
des analyses et rapports de la plateforme SAP BusinessObjects de Business Intelligence. Le plus
souvent, les informations sont stockées dans une base de données relationnelle, mais elles peuvent
également être contenues dans des fichiers texte, des documents Microsoft Office ou des systèmes
OLAP.
31
2011-05-06
Architecture
•
Base de données système du CMS
La base de données système du CMS est utilisée pour stocker des informations de la plateforme
SAP BusinessObjects de Business Intelligence telles que les renseignements d'utilisateur, de serveur,
de dossier, de document, de configuration, d'autorisation et d'authentification. La gestion de cette
base de données, parfois connue sous le nom de référentiel système, est assurée par le CMS
(Central Management Server).
•
Magasin de données d'audit
Le magasin de données d'audit sert à stocker des informations sur des événements traçables qui
se produisent dans la plateforme SAP BusinessObjects de Business Intelligence. Ces informations
peuvent être utilisées pour contrôler l'utilisation des composants système, l'activité des utilisateurs
ou d'autres aspects des opérations quotidiennes.
•
Base de données de gestion du cycle de vie
La base de données de gestion du cycle de vie suit les informations de configuration et de version
relatives à une installation de la plateforme SAP BusinessObjects de Business Intelligence, ainsi
que les mises à jour.
•
Base de données de surveillance
La surveillance utilise la base de données Java Derby pour stocker les informations de composants
et de configuration système relatives aux modalités de prise en charge SAP.
Si vous ne disposez pas déjà d'un serveur de base de données à utiliser avec les bases de données
système du CMS et du magasin de données d'audit, le programme d'installation de la plateforme SAP
BusinessObjects de Business Intelligence peut en installer un et le configurer pour vous. Il est conseillé
d'évaluer vos besoins par rapport aux informations du fournisseur de votre serveur de base de données
Web pour déterminer quelle base de données prise en charge correspond le mieux aux besoins de
votre entreprise.
2.1.3 Serveurs
La plateforme SAP BusinessObjects de Business Intelligence comprend des ensembles de serveurs
s'exécutant sur un ou plusieurs hôtes. Les petites installations (comme les systèmes de test ou de
développement) peuvent utiliser un seul hôte pour un serveur d'applications Web, un serveur de base
de données et tous les serveurs de la plateforme SAP BusinessObjects de Business Intelligence.
Les installations moyennes et importantes peuvent utiliser des serveurs fonctionnant sur plusieurs
hôtes. Par exemple, un hôte de serveur d'applications Web peut être utilisé en combinaison avec un
hôte de serveur de la plateforme SAP BusinessObjects de Business Intelligence. Cela libère des
ressources sur l'hôte de serveur de la plateforme SAP BusinessObjects de Business Intelligence, ce
qui lui permet de traiter plus d'informations que s'il hébergeait également le serveur d'applications Web.
Les grandes installations peuvent disposer de plusieurs hôtes de serveur de la plateforme SAP
BusinessObjects de Business Intelligence fonctionnant ensemble dans un cluster. Par exemple, si une
entreprise compte un grand nombre d'utilisateurs SAP Crystal Reports, des serveurs de traitement
32
2011-05-06
Architecture
Crystal Reports peuvent être créés sur plusieurs hôtes de serveur de la plateforme SAP BusinessObjects
de Business Intelligence afin de garantir des ressources disponibles en suffisance pour traiter les
requêtes des clients.
Les avantages d'avoir plusieurs serveurs sont les suivants :
• Amélioration des performances
Plusieurs hôtes de serveur de la plateforme SAP BusinessObjects de Business Intelligence peuvent
traiter une file d'attente d'informations de reporting plus rapidement qu'un seul hôte de serveur de
la plateforme SAP BusinessObjects de Business Intelligence.
•
Equilibrage de charge
Si un serveur rencontre une charge plus importante que les autres serveurs d'un cluster, le CMS
envoie automatiquement le nouveau travail à un serveur ayant de meilleures ressources.
•
Amélioration de la disponibilité
Si un serveur rencontre une condition inattendue, le CMS réachemine automatiquement le travail
vers d'autres serveurs jusqu'à ce que la condition soit corrigée.
2.1.4 Serveurs d'applications Web
Le serveur d'applications Web agit en tant que couche de traduction entre un navigateur Web ou une
application riche et la plateforme SAP BusinessObjects de Business Intelligence. Les serveurs
d'applications Web exécutés sur les systèmes Windows, Unix et Linux sont pris en charge.
Les serveurs d'applications Web suivants sont pris en charge :
• JBoss
• Oracle Application Server
• Sun Java System Application Server (Unix uniquement)
• SAP NetWeaver AS Java
• Tomcat
• WebLogic
• WebSphere
Pour obtenir une liste détaillée des serveurs d'applications Web pris en charge, consultez le Guide des
plateformes prises en charge, disponible à l'adresse http://service.sap.com/bosap-support.
Si vous ne disposez pas déjà d'un serveur d'applications Web à utiliser avec la plateforme SAP
BusinessObjects de Business Intelligence, le programme d'installation peut installer et configurer un
serveur d'applications Web Tomcat 6. Il est conseillé d'évaluer vos besoins par rapport aux informations
du fournisseur de votre serveur d'applications Web pour déterminer quel serveur d'applications Web
pris en charge correspond le mieux aux besoins de votre entreprise.
Remarque :
Lors de la configuration d'un environnement de production, il est conseillé d'héberger le serveur
d'applications Web sur un système distinct. L'exécution de la plateforme SAP BusinessObjects de
33
2011-05-06
Architecture
Business Intelligence et du serveur d'applications Web sur le même hôte d'un environnement de
production peut diminuer les performances.
2.1.4.1 Service conteneur d'applications Web (WACS)
Un serveur d'applications Web est requis pour héberger les applications Web de la plateforme SAP
BusinessObjects de Business Intelligence.
Si vous êtes un administrateur de serveurs d'applications Web Java expérimenté avec des besoins
avancés en administration, utilisez un serveur d'applications Web Java pour héberger les applications
Web la plateforme SAP BusinessObjects de Business Intelligence. Si vous utilisez un système
d'exploitation Windows pris en charge pour héberger la plateforme SAP BusinessObjects de Business
Intelligence et préférez un processus d'installation de serveur d'applications Web simple ou si vous ne
disposez pas des ressources pour gérer un serveur d'applications Web Java, vous pouvez installer le
WACS (Web Application Container Service) lors de l'installation de la plateforme SAP BusinessObjects
de Business Intelligence.
Le WACS est un serveur de la plateforme SAP BusinessObjects de Business Intelligence qui permet
aux applications Web de la plateforme SAP BusinessObjects de Business Intelligence telles que la
CMC (Central Management Console), la zone de lancement BI et les services Web, de s'exécuter sans
installation préalable d'un serveur d'applications Web Java.
L'utilisation d'un serveur WACS présente plusieurs avantages :
• Les serveurs WACS sont extrêmement simples à installer, maintenir et configurer. Il est installé et
configuré par le programme d'installation de la plateforme SAP BusinessObjects de Business
Intelligence et ne requiert aucune autre action pour commencer son utilisation.
• Le serveur WACS ne requiert aucune compétence en administration et maintenance de serveurs
d'applications Java.
• Le serveur WACS fournit une interface d'administration compatible avec d'autres serveurs de la
plateforme SAP BusinessObjects de Business Intelligence.
• Comme les autres serveurs de la plateforme SAP BusinessObjects de Business Intelligence, le
WACS peut être installé sur un hôte dédié.
Remarque :
Il existe certaines limites à l'utilisation du serveur WACS à la place d'un serveur d'applications Web
Java :
• Les serveurs WACS sont uniquement disponibles sur les systèmes d'exploitation Windows pris en
charge.
• Les applications Web personnalisées ne peuvent être déployées sur des WACS car ils ne prennent
en charge que les applications Web installées avec la plateforme SAP BusinessObjects de Business
Intelligence.
• Les WACS ne peuvent pas être utilisés avec un équilibreur de charge Apache.
Il est possible d'utiliser un serveur d'applications Web dédié en plus du WACS. Cela permet à votre
serveur d'applications Web d'héberger des applications Web personnalisées tandis que la CMC et les
34
2011-05-06
Architecture
autres applications Web de la plateforme SAP BusinessObjects de Business Intelligence sont hébergées
par le WACS.
2.1.5 Kits de développement logiciel
Le kit de développement logiciel (SDK) permet au développeur d'intégrer des aspects de la plateforme
SAP BusinessObjects de Business Intelligence aux applications et systèmes d'une organisation.
La plateforme SAP BusinessObjects de Business Intelligence offre des SDK pour le développement
logiciel sur les plateformes Java et .NET.
Remarque :
Les SDK .NET de la plateforme SAP BusinessObjects de Business Intelligence ne sont pas installés
par défaut. Ils doivent être téléchargés sur SAP Service Marketplace.
Les SDK suivants sont pris en charge par la plateforme SAP BusinessObjects de Business Intelligence :
• SDK Java et SDK .NET de la plateforme SAP BusinessObjects de Business Intelligence.
Les SDK de la plateforme SAP BusinessObjects de Business Intelligence permettent aux applications
d'exécuter des tâches telles que l'authentification, la gestion des sessions, l'utilisation d'objets de
référentiel, la planification et la publication des rapports et la gestion des serveurs.
Remarque :
Pour accéder à l'ensemble des fonctions de sécurité, gestion des serveurs et audit, utilisez le SDK
Java.
•
SDK Java et .NET de Report Application Server
Les SDK de Report Application Server permettent aux applications d'ouvrir, de créer et de modifier
des rapports Crystal existants, y compris de définir des valeurs de paramètres, de modifier des
sources de données et d'exporter les données vers d'autres formats tels que XML, PDF, Microsoft
Word et Microsoft Excel.
•
SDK Java et .NET du moteur de rapport
Les SDK du moteur de rapport permettent aux applications d'interagir avec des rapports créés avec
SAP BusinessObjects Web Intelligence.
Les SDK du moteur de rapport incluent des bibliothèques pouvant être utilisées pour générer un
outil de conception de rapports Web. Les applications générées avec ces SDK permettent de
visualiser, créer ou modifier différents documents de SAP BusinessObjects Web Intelligence. Les
utilisateurs peuvent modifier les documents en ajoutant, supprimant ou modifiant des objets tels
que des tableaux, des diagrammes, des conditions et des filtres.
•
35
SDK de recherche de plateformes : le kit de développement de recherche de plateformes est
l'interface entre l'application client et le service de recherche de plateformes. La recherche de
plateformes prend en charge le SDK public intégré au SDK de recherche de plateformes.
2011-05-06
Architecture
Lorsqu'un paramètre de requête de recherche est envoyé via l'application client à la couche du SDK,
cette dernière convertit le paramètre de requête au format codé XML et le transmet au service de
recherche de plateformes.
•
SDK Java et .NET des visualiseurs de rapports Crystal
Les SDK des visualiseurs permettent aux applications d'afficher et d'exporter des rapports Crystal.
Les visualiseurs suivants sont disponibles :
• Visualiseur de pages de rapport DHTML : présente les données et permet l'exploration, la
navigation, le zoom, les invites, la recherche, la mise en surbrillance, l'exportation et l'impression.
• Visualiseur de parties de rapport : permet de visualiser des parties de rapport, notamment des
diagrammes, du texte et des champs.
• Bibliothèque de balises du visualiseur : permet de personnaliser le comportement du visualiseur
dans les pages JSP.
•
SDK Java Consumer et SDK .NET Consumer de la plateforme SAP BusinessObjects de Business
Intelligence
Implémentation de services Web permettant de gérer l'authentification et la sécurité des utilisateurs,
l'accès aux documents et aux rapports, la planification, la publication et la gestion des serveurs.
Remarque :
Les composants JavaServer Faces de la plateforme SAP BusinessObjects de Business Intelligence
sont obsolètes.
Les SDK peuvent être utilisés ensemble pour offrir un vaste choix de fonctions BI pour vos applications.
Par exemple, l'application Web Zone de lancement BI incluse dans la plateforme SAP BusinessObjects
de Business Intelligence a été créée à l'aide de ces SDK.
Pour en savoir plus sur les SDK de la plateforme SAP BusinessObjects de Business Intelligence, voir
le guide Business Intelligence Platform Java SDK Developer Guide, le Guide du développeur pour
Report Application Server Java SDK, le Report Application Server .NET SDK Developer Guide et le
Guide du développeur pour Viewers Java SDK disponibles à l'adresse suivante : http://service.sap.com/bo
sap-support.
2.1.5.1 SDK Java et .NET Consumer Services Web
Les SDK Java et .NET Consumer Services Web de la plateforme SAP BusinessObjects de Business
Intelligence permettent de créer des applications de services Web distribués pour tirer parti des
fonctionnalités de la plateforme SAP BusinessObjects de Business Intelligence.
Les services Web sont constitués de composants logiciels pouvant être appelés à distance à l'aide du
protocole SOAP (Simple Object Access Protocol). Ce protocole permet d'échanger des informations
ne dépendant pas d'une plateforme, d'un modèle d'objet ou d'un langage de programmation spécifique.
Les services Web de la plateforme SAP BusinessObjects de Business Intelligence comprennent des
fonctionnalités dans les domaines suivants :
36
2011-05-06
Architecture
•
Session
Authentification et gestion des utilisateurs.
•
Plateforme de BI
Fournit des fonctions avancées de plateforme, telles que la planification, la publication, la recherche,
l'administration des utilisateurs et des groupes et les services d'administration de serveur.
•
Moteur de rapport
Affiche les documents de la solution SAP BusinessObjects de Business Intelligence et de Crystal
Reports aux formats HTML, PDF, Excel et XML.
•
Requête
Génère des requêtes ad-hoc basées sur la couche sémantique de l'univers.
Les services Web de la plateforme SAP BusinessObjects de Business Intelligence utilisent des normes
telles que XML, SOAP, AXIS 2.0 et WSDL. La plateforme suit la spécification de services Web
WS-Interoperability Basic Profile 1.0.
Remarque :
Les applications des services Web ne sont actuellement prises en charge qu'avec les configurations
d'équilibrage de charge suivantes :
1. Persistance de l'adresse IP source.
2. Persistance des ports de destination et des ports IP sources (disponible uniquement sur le modèle
Cisco Content Services Switch).
3. Persistance SSL.
Remarque :
La persistance SSL peut entraîner des problèmes de sécurité et de fiabilité sur certains
navigateurs Web. Vérifiez auprès de votre administrateur réseau si la persistance SSL est adaptée
à votre organisation.
2.1.5.2 Outil Requête du service Web
L'outil Requête du service Web désigne une application de type assistant qui permet d'adresser des
requêtes à un service Web et de les intégrer à des applications Web. Les requêtes peuvent être
enregistrées pour créer un catalogue de requêtes standard que les composants de génération
d'applications peuvent sélectionner en fonction des besoins.
Le contenu Business Intelligence est généralement lié à une interface utilisateur spécifique composée
d'outils de Business Intelligence. A l'inverse, avec l'outil Requête du service Web, le contenu BI est
livré à toute interface utilisateur capable de traiter des services Web.
37
2011-05-06
Architecture
L'outil Requête du service Web est conçu pour fonctionner avec toute application Microsoft Windows,
comme les autres services Web. Query as a Web Service est basé sur les spécifications W3C de
service Web SOAP, WSDL et XML. Il comprend deux principaux composants :
• Composant serveur
Le composant serveur (intégré à la plateforme SAP BusinessObjects de Business Intelligence)
stocke le catalogue de l'outil Requête du service Web et héberge les services Web publiés.
•
Outil client
C'est l'outil avec lequel les utilisateurs créent et publient leurs requêtes Query as a Web Service.
Vous pouvez installer l'outil client sur plusieurs ordinateurs ayant accès au même catalogue de l'outil
de Requête du service Web stocké sur le serveur et pouvant le partager. L'outil client communique
avec les composants serveur via les services Web.
L'outil Requête du service Web permet d'utiliser les requêtes Web dans toute une gamme de solutions
côté client, y compris :
• Microsoft Office, Excel et InfoPath
• SAP NetWeaver
• OpenOffice
• Applications de gestion de processus et de règles de gestion
• Plateformes Enterprise Service Bus
2.1.6 Sources de données
2.1.6.1 Univers
L'univers simplifie les opérations sur les données en utilisant un langage pratique plutôt qu'un langage
de données pour permettre l'accès aux données, leur manipulation et leur organisation. Ce langage
pratique est stocké sous forme d'objets dans un fichier d'univers. Web Intelligence et Crystal Reports
utilisent des univers pour simplifier le processus de création utilisateur requis pour les requêtes et les
analyses simples et complexes des utilisateurs finaux.
Les univers sont un composant de base de la plateforme SAP BusinessObjects de Business Intelligence.
Tous les objets et connexions d'univers sont stockés et sécurisés dans le référentiel central par le
Connection Server. Les outils de conception d'univers doivent être connectés à la plateforme SAP
BusinessObjects de Business Intelligence pour accéder au système et créer des univers. L'accès aux
univers et la sécurité au niveau des lignes peuvent également être gérés au niveau des groupes ou
des utilisateurs individuels depuis l'environnement de conception.
38
2011-05-06
Architecture
La couche sémantique permet à SAP BusinessObjects Web Intelligence de fournir des documents en
utilisant plusieurs fournisseurs de données synchronisés, y compris des sources de données OLAP
(Online Analytical Processing) et CWM (Common Warehousing Metamodel).
2.1.6.2 Vues d'entreprise
Les vues d'entreprise simplifient la création des rapports et l'interaction entre les rapports en simplifiant
la complexité des données pour les développeurs de rapports. Les vues d'entreprise permettent de
séparer les connexions de données, l'accès aux données, les éléments d'entreprise et le contrôle
d'accès.
Les vues d'entreprise peuvent uniquement être utilisées par Crystal Reports et sont conçues pour
simplifier la sécurité au moment de la visualisation et l'accès aux données requis pour la création de
rapports Crystal. Les vues d'entreprise prennent en charge la combinaison de plusieurs sources de
données dans une vue unique. Les vues d'entreprise sont entièrement prises en charge par la plateforme
SAP BusinessObjects de Business Intelligence.
La plateforme SAP BusinessObjects de Business Intelligence inclut une série de services de gestion
de plateforme préconfigurés et dédiés pour les tâches telles que la gestion des mots de passe, les
métriques de serveur et le contrôle d'accès utilisateur pour les fonctions de gestion décentralisées.
2.1.7 Support linguistique
Les produits de la plateforme SAP BusinessObjects de Business Intelligence sont traduits dans de
nombreuses langues et prennent en charge les données dans un nombre de langues encore plus
important.
Les interfaces produit sont disponibles dans les langues suivantes :
• Tchèque
• Chinois simplifié
• Chinois traditionnel
• Danois
• Néerlandais
• Anglais
• Finnois
• Français
• Allemand
• italien
• Japonais
• Coréen
39
2011-05-06
Architecture
•
•
•
•
•
•
•
Norvégien (Bokmål)
Polonais
Portugais
Russe
espagnol
Suédois
Thaï
Outre la prise en charge des données dans les langues disponibles sur l'interface, les jeux de caractères
suivants sont également pris en charge :
• grec
• malaisien
• hébreu
• arabe
• roumain
• vietnamien
• hongrois
• turc
• hindi
2.1.8 Authentification et connexion unique
La sécurité du système est gérée par le CMS (Central Management Server), des plug-ins de sécurité
et des outils d'authentification tiers tels que SiteMinder ou Kerberos. Ces composants authentifient les
utilisateurs et autorisent l'accès utilisateur à la plateforme SAP BusinessObjects de Business Intelligence,
à ses dossiers et à d'autres objets.
Les plug-ins de sécurité de connexion unique d'authentification utilisateur suivants sont disponibles :
• Enterprise (par défaut), y compris la prise en charge de l'Authentification sécurisée pour
l'authentification tierce.
• LDAP
• Windows AD (Active Directory)
Lors de l'utilisation d'un système ERP (Enterprise Resource Planning), la connexion unique est utilisée
pour authentifier l'accès utilisateur au système ERP de sorte que les rapports puissent être confrontés
aux données ERP. Les systèmes de connexion unique d'authentification utilisateur pour ERP suivants
sont pris en charge :
• SAP ERP et Business Warehouse (BW)
• Oracle E-Business Suite (EBS)
• Siebel Enterprise
• JD Edwards Enterprise One
• PeopleSoft Enterprise
40
2011-05-06
Architecture
2.1.8.1 Plug-ins de sécurité
Les plug-ins de sécurité automatisent la création et la gestion des comptes en vous permettant de
mapper des comptes et des groupes d'utilisateurs depuis des systèmes tiers dans la plateforme SAP
BusinessObjects de Business Intelligence. Vous pouvez mapper des comptes ou des groupes
d'utilisateurs tiers à des comptes ou des groupes d'utilisateurs de Enterprise existants, ou créer des
comptes ou groupes d'utilisateurs Enterprise qui correspondent à chaque entrée mappée dans le
système externe.
Les plug-ins de sécurité mettent dynamiquement à jour les listes d'utilisateurs et de groupes tiers. Ainsi,
une fois que vous avez mappé un groupe LDAP (Lightweight Directory Access Protocol) ou AD (Windows
Active Directory) à la plateforme SAP BusinessObjects de Business Intelligence, tous les utilisateurs
appartenant à ce groupe peuvent se connecter à la plateforme SAP BusinessObjects de Business
Intelligence. Les modifications apportées ultérieurement à l'appartenance à des groupes tiers sont
automatiquement propagées.
La plateforme SAP BusinessObjects de Business Intelligence prend également en charge les plug-ins
de sécurité suivants :
•
Plug-in de sécurité Enterprise
Le CMS (Central Management Server) gère les informations de sécurité, telles que les comptes
utilisateur, l'appartenance aux groupes et les droits des objets qui définissent les droits des utilisateurs
et des groupes. On parle alors d'authentification Enterprise.
L'authentification Enterprise est toujours activée, elle ne peut pas être désactivée. Utilisez
l'authentification système par défaut Enterprise si vous préférez créer des comptes et des groupes
distincts à utiliser dans la plateforme SAP BusinessObjects de Business Intelligence ou si vous
n'avez pas encore configuré de hiérarchie d'utilisateurs et de groupes sur un serveur LDAP ou
Windows AD.
L'authentification sécurisée est un composant de l'authentification Enterprise s'intégrant aux solutions
de connexion unique tierces, y compris JAAS (Java Authentication and Authorization Service). Les
applications qui possèdent une sécurité établie avec le Central Management Server peuvent utiliser
l'authentification sécurisée pour permettre aux utilisateurs de se connecter sans entrer leurs mots
de passe.
•
•
Plug-in de sécurité LDAP
Windows AD
Remarque :
Bien qu'un utilisateur puisse configurer une authentification Windows AD pour la plateforme SAP
BusinessObjects de Business Intelligence, ainsi que des applications personnalisées via la CMC,
la CMC et la zone de lancement BI ne prennent pas en charge l'authentification Windows AD avec
NTLM. Les seules méthodes d'authentification prises en charge par la CMC et la zone de lancement
BI sont Windows AD avec Kerberos, LDAP, Enterprise et l'authentification sécurisée.
41
2011-05-06
Architecture
2.1.8.2 Intégration de Enterprise Resource Planning (ERP)
Les applications ERP (Enterprise Resource Planning, Planification des ressources de l'entreprise)
soutiennent les fonctions essentielles des processus d'une entreprise en rassemblant des informations
en temps réel relatives aux opérations quotidiennes. La plateforme SAP BusinessObjects de Business
Intelligence prend en charge la connexion unique et le reporting depuis les systèmes ERP suivants :
• SAP ERP et Business Warehouse (BW)
Remarque :
Avant de pouvoir utiliser des connexions ODA (OLAP Data Access), SAP BusinessObjects Analysis
(anciennement Voyager) ou SAP BW (Business Information Warehouse), il est nécessaire d'installer
la SAP GUI.
•
•
•
•
Siebel Enterprise
Oracle E-Business Suite
JD Edwards EnterpriseOne
PeopleSoft Enterprise
Remarque :
•
•
La prise en charge SAP ERP et BW est installée par défaut. Utilisez l'option d'installation
Personnalisée/Etendue pour désélectionner la prise en charge de l'intégration SAP si vous ne
souhaitez pas la prise en charge de SAP ERP ou BW.
Les prises en charge de Siebel Enterprise, Oracle E-Business Suite, JD Edwards EnterpriseOne et
PeopleSoft ne sont pas installées par défaut. Utilisez l'option d'installation "Personnalisée/Etendue"
pour sélectionner et installer l'intégration des systèmes ERP non SAP.
Pour obtenir des informations détaillées sur les versions spécifiques prises en charge par la plateforme
SAP BusinessObjects de Business Intelligence, voir le Guide des plateformes prises en charge disponible
sur service.sap.com/bosap-support.
Pour configurer l'intégration ERP, voir le Guide d'administration de la plateforme SAP BusinessObjects
de Business Intelligence.
2.1.9 Intégration SAP
La plateforme SAP BusinessObjects de Business Intelligence s'intègre à votre infrastructure SAP
existante avec les outils SAP suivants :
• Répertoire du paysage système (SLD)
Le répertoire du paysage système de SAP NetWeaver est la source centrale des informations de
paysage système pertinentes pour la gestion du cycle de vie du logiciel. Par le biais d'un répertoire
42
2011-05-06
Architecture
contenant des informations sur tous les logiciels SAP pouvant être installés et de données mises à
jour automatiquement sur les systèmes déjà installés dans un paysage, vous disposez d'un support
outil pour planifier les tâches de cycle de vie du logiciel dans votre paysage système.
Le programme d'installation de la plateforme SAP BusinessObjects de Business Intelligence enregistre
le fournisseur, les noms et les versions des produits auprès du SLD, ainsi que les noms, versions
et l'emplacement des serveurs et des composants frontaux.
•
SAP Solution Manager
SAP Solution Manager est une plateforme fournissant le contenu intégré, les outils et méthodologies
pour implémenter, prendre en charge, opérer et contrôler les solutions SAP et non SAP d'une
entreprise.
Un logiciel non SAP avec une intégration certifiée SAP est entré dans le référentiel central et transféré
automatiquement à votre répertoire du paysage système SAP. Les clients SAP peuvent alors identifier
aisément quelle version d'intégration de produit tiers a été certifiée par SAP dans leur environnement
système SAP. Ce service offre une connaissance supplémentaire des produits tiers outre nos
catalogues en ligne pour les produits tiers.
SAP Solution Manager est accessible aux clients SAP sans coûts additionnels et comprend l'accès
direct au support SAP et aux informations de répertoire de mise à niveau des produits SAP. Pour
en savoir plus sur le répertoire du paysage système, voir la rubrique “Enregistrement de la plateforme
SAP BusinessObjects de Business Intelligence dans le paysage système” du Guide d'administration
de la plateforme SAP BusinessObjects de Business Intelligence.
•
Transport CTS (CTS+)
Le CTS (Change and Transport System) permet d'organiser des projets de développement dans
ABAP Workbench et dans le Customizing, puis de transporter les modifications entre les systèmes
SAP dans votre paysage système. Tout comme les objets ABAP, vous pouvez transporter des objets
Java (J2EE, JEE) et des technologies non ABAP spécifiques à SAP (comme Web Dynpro Java ou
SAP NetWeaver Portal) dans votre paysage.
•
Surveillance avec CA Wily Introscope
CA Wily Introscope est un produit de gestion d'applications Web qui permet de surveiller et de
diagnostiquer les problèmes de performance susceptibles de se produire dans les modules SAP
Java en production, y compris la visibilité dans les applications Java personnalisées et les connexions
aux systèmes dorsaux. Il permet d'isoler les goulets d'étranglement au niveau de la performance
dans les modules NetWeaver, y compris les servlets, JSP, EJB, JCO, les classes, méthodes, etc.
Il offre une surveillance en temps réel avec un temps système réduit, une visibilité des transactions
de bout en bout, des données historiques pour l'analyse ou la planification de la capacité, des
tableaux de bord personnalisables, des alertes automatiques de dépassement de seuil et une
architecture ouverte pour étendre la surveillance au-delà des environnements NetWeaver.
2.1.10 Gestion du cycle de vie (LCM)
43
2011-05-06
Architecture
La gestion du cycle de vie (LCM) fait référence à un ensemble de processus liés à la gestion des
informations produit d'une installation. Elle définit des procédures pour gérer l'installation de la plateforme
SAP BusinessObjects de Business Intelligence dans des environnements de développement, de test,
de production ou de maintenance.
Le LifeCycle Manager de la plateforme SAP BusinessObjects de Business Intelligence est un outil Web
qui permet de déplacer les objets BI d'un système vers un autre sans affecter les dépendances de ces
objets. Il permet également de gérer différentes versions, de gérer les dépendances ou de rétablir un
objet promu à son état précédent.
L'outil LCM est un plug-in destiné à la plateforme SAP BusinessObjects de Business Intelligence. Vous
pouvez promouvoir un objet BI d'un système vers un autre uniquement si la même version de l'application
est installée à la fois sur le système source et le système de destination.
Pour en savoir plus, voir le Guide de l'utilisateur de la console de gestion du cycle de vie de la plateforme
SAP BusinessObjects 4.0 de Business Intelligence.
2.1.11 Contrôle de version intégrée
Les fichiers qui composent la plateforme SAP BusinessObjects de Business Intelligence sur un système
de serveur sont à présent sous contrôle de version. Le programme d'installation installera et configurera
le système de contrôle de version Subversion ou vous pouvez saisir les renseignements pour utiliser
un système de contrôle de version Subversion ou ClearCase existant.
Un système de contrôle de version permet la conservation et la restauration de diverses révisions de
configuration et d'autres fichiers, ce qui signifie qu'il est toujours possible de faire reprendre le système
à un état connu d'un moment quelconque du passé.
2.1.12 Données permanentes
Le terme "données permanentes" fait référence à toute information considérée suffisamment importante
pour être migrée lors d'une mise à niveau de système. Par exemple, le CMS (Central Management
Server) stocke des informations de configuration dans la base de données CMS plutôt que dans le
référentiel Windows ou un fichier de configuration.
Tous les produits de la plateforme SAP BusinessObjects de Business Intelligence stockent les données
permanentes dans la base de données système du CMS. Cela permet de migrer facilement les données
et informations de configuration vers une nouvelle version lors d'une mise à niveau.
44
2011-05-06
Architecture
2.1.13 Chemin de mise à niveau
Il est possible d'effectuer une mise à niveau à partir d'une version antérieure de la plateforme SAP
BusinessObjects de Business Intelligence, mais vous devez d'abord installer la plateforme SAP
BusinessObjects 4.0 de Business Intelligence, puis migrer les paramètres et les données de votre
système existant à l'aide de l'outil de gestion de mise à niveau.
Pour en savoir plus sur la mise à niveau à partir d'une version antérieure, voir le Guide de mise à
niveau de la plateforme SAP BusinessObjects de Business Intelligence.
2.2 Niveaux conceptuels
La plateforme SAP BusinessObjects de Business Intelligence peut être considérée comme une série
de niveaux conceptuels :
•
Niveau Web
Le niveau Web contient des applications Web déployées sur un serveur d'applications Web Java.
Les applications Web fournissent les fonctionnalités de la plateforme SAP BusinessObjects de
Business Intelligence aux utilisateurs finaux via un navigateur Web. Les exemples d'applications
Web comprennent l'interface Web d'administration de la CMC (Central Management Console) et la
zone de lancement BI.
Le niveau Web contient également des services Web. Les services Web fournissent les fonctionnalités
de la plateforme SAP BusinessObjects de Business Intelligence aux outils logiciels via le serveur
d'applications Web, par exemple l'authentification de session, la gestion des droits utilisateur, la
45
2011-05-06
Architecture
planification, la recherche, l'administration, le reporting et la gestion des requêtes. Par exemple,
Live Office est un produit qui utilise les services Web pour intégrer le reporting de la plateforme SAP
BusinessObjects de Business Intelligence aux produits Microsoft Office.
•
Niveau gestion
Le niveau de gestion coordonne et commande tous les composants qui constituent la plateforme
SAP BusinessObjects de Business Intelligence. Il comprend le CMS (Central Management Server)
et l'Event Server. Le CMS fournit la gestion de la sécurité et des informations de configuration,
envoie des demandes de service aux serveurs, gère l'audit, ainsi que la base de données système
du CMS. L'Event Server gère les événements basés sur des fichiers qui se produisent dans le niveau
de stockage.
•
Niveau traitement
Le niveau de traitement analyse les données et génère les rapports. Il s'agit du seul niveau qui
accède directement aux bases de données contenant les données des rapports.
•
Niveau stockage
Le niveau de stockage est responsable de la gestion des fichiers tels que les documents et les
rapports.
L'Input File Repository Server gère les fichiers contenant les informations utilisées dans les rapports,
comme les types de fichiers suivants : .rpt, .car, .exe, .bat, .js, .xls, .doc, .ppt, .rtf,
.txt, .pdf, .wid, .rep, .unv.
L'Output File Repository Server gère les rapports créés par le système, comme les types de fichiers
suivants : .rpt, .csv, .xls, .doc, .rtf, .txt, .pdf, .wid, .rep.
Le niveau de stockage gère également la mise en mémoire cache des rapports afin d'économiser
les ressources système lorsque les utilisateurs accèdent aux rapports.
2.3 Services et serveurs
Le diagramme suivant illustre une hypothèse d'installation de la plateforme de BI.
Remarque :
Les nœuds, serveurs et services sont affichés à titre d'illustration uniquement. Le nombre d'hôtes,
nœuds, serveurs et services, ainsi que le type des serveurs et services, sera différent dans des
installations réelles.
46
2011-05-06
Architecture
Deux hôtes forment le cluster nommé ProductionBISystem :
• L'hôte nommé HostAlpha comporte l'installation de la plateforme de BI et est configuré de sorte à
contenir deux nœuds :
•
•
•
L'hôte nommé HostBeta comporte l'installation de la plateforme de BI et est configuré de sorte à
contenir trois nœuds :
•
•
47
NodeMercury : contient un Adaptive Job Server (NodeMercury.AJS) avec les services pour la
planification et la publication de rapports, un Input File Repository Server (NodeMercury.IFRS)
avec un service de stockage des rapports d'entrée, ainsi qu'un Output File Repository Server
(NodeMercury.OFRS) avec un service de stockage des rapports de sortie.
NodeVenus : contient un serveur de traitement adaptatif (NodeVenus.APS) avec des services
fournissant des fonctions de publication, de surveillance et de traduction, un serveur de traitement
adaptatif (NodeVenus.APS2) avec un service d'audit client, ainsi qu'un Central Management
Server (NodeVenus.CMS) avec un service fournissant les services du CMS.
NodeMars : contient un Central Management Server (NodeMars.CMS) avec un service fournissant
les services du CMS.
NodeJupiter : contient un serveur de traitement Web Intelligence (NodeJupiter.Web Intelligence)
avec un service assurant le reporting Web Intelligence et un Event Server
(NodeJupiter.EventServer) assurant la surveillance des rapports des fichiers.
2011-05-06
Architecture
•
NodeSaturn : contient un serveur de traitement adaptatif (NodeSaturn.APS) avec un service
fournissant l'audit client.
La plateforme de BI utilise les termes serveur et service pour désigner les deux types de logiciel
s'exécutant sur un ordinateur de la plateforme de BI.
Un service est un sous-système de serveur qui exécute une fonction spécifique. Le service s'exécute
dans l'espace mémoire de son serveur sous l'ID de processus du conteneur parent (serveur). Par
exemple, le service de planification et de publication de SAP BusinessObjects Web Intelligence
représente un sous-système qui s'exécute au sein de l'Adaptive Job Server.
Le terme serveur est utilisé pour décrire un processus au niveau du système d'exploitation (appelé
démon sur certains systèmes) hébergeant un ou plusieurs services. Par exemple, le Central Management
Server (CMS) et l'Adaptive Processing Server sont des serveurs. Un serveur s'exécute sous un compte
système spécifique et possède son propre PID.
Un nœud est un ensemble de serveurs de la plateforme de BI exécutés sur le même hôte. Un même
hôte peut contenir un ou plusieurs nœuds.
La plateforme de BI peut être installée sur un seul ordinateur, sur plusieurs ordinateurs d'un intranet
ou sur un réseau étendu (WAN).
2.3.1 Services
Le tableau suivant décrit chacun des services :
Tableau 2-1 : Services
Service
Catégorie de service
Type de serveur
Description du service
Adaptive Connectivity
Service
Services de connectivité
Serveur de traitement
adaptatif
Fournit les services de
connectivité (remplace
Connection Server).
Adaptative Job Server
Fournit la synchronisation de mises à jour
pour les plug-ins de sécurité tiers.
Serveur de traitement
adaptatif
Fournit l'intégration des
applications Web Business Explorer (BEx) de
SAP Business Warehouse (BW) à la zone
de lancement BI.
Service de planification
de la mise à jour de
l'authentification
Service d'applications
Web BEx
48
Services principaux
Services de connectivité
2011-05-06
Architecture
Service
Service de l'application
Web BOE
Business Process BI
Services
Service de gestion centralisée
Service proxy d'audit
client
Service de traitement
Crystal Reports 2011
Service de planification
Crystal Reports 2011
49
Catégorie de service
Type de serveur
Description du service
Serveur conteneur
d'applications Web
Fournit des applications
Web pour WACS : inclut la CMC (Central
Management Console),
la zone de lancement
BI et OpenDocument.
Serveur conteneur
d'applications Web
Fournit les Business
Process BI Web Services pour le WACS :
permet l'incorporation
de la technologie BI
aux applications Web.
Business Process BI
Service est obsolète.
Services principaux
Central Management
Server
Fournit le serveur, l'utilisateur, la gestion de
session et la gestion de
sécurité (autorisation et
authentification). Au
moins un service de
gestion centralisée doit
être disponible dans un
cluster pour que ce
dernier fonctionne.
Services principaux
Serveur de traitement
adaptatif
Regroupe les événements d'audit envoyés par
les clients et les transfère au serveur CMS.
Crystal Reports Processing Server
Accepte et traite les
rapports Crystal Reports 2011 ; il peut partager des données
entre les rapports pour
réduire le nombre d'accès à la base de données.
Adaptative Job Server
Exécute les travaux
Crystal Reports antérieurs planifiés et publie
les résultats dans un
emplacement donné.
Services principaux
Services principaux
Services Crystal Reports
Services Crystal Reports
2011-05-06
Architecture
Service
Catégorie de service
Type de serveur
Description du service
Service de modification
et de visualisation Crystal Reports 2011
Services Crystal Reports
RAS
RAS (Report Application Server)
Crystal Reports Cache
Server
Limite le nombre d'accès à la base de données générés depuis
les rapports Crystal et
accélère le reporting en
gérant un cache des
rapports.
Crystal Reports Processing Server
Accepte et traite les
rapports Crystal ; il peut
partager des données
entre les rapports pour
réduire le nombre d'accès à la base de données.
Adaptative Job Server
Exécute les nouveaux
travaux Crystal Reports
planifiés et publie les
résultats dans un emplacement donné.
Services de connectivité
Serveur de traitement
adaptatif
Fournit des connexions
dynamiques aux
sources de données
qui ne nécessitent pas
un Connection Server.
Services principaux
Dashboard Analytics
Server
Fournit des espaces de
travail BI et une fonctionnalité Module pour
l'analyse de données.
Cache Server Dashboard Design
Limite le nombre d'accès à la bas de données générés depuis
les rapports Dashboard
Design et accélère le
reporting en gérant un
cache des rapports.
Service de mémoire
cache Crystal Reports
Service de traitement
Crystal Reports
Service de planification
Crystal Reports
Service d'accès aux
données personnalisé
Service Tableaux de
bord/Analyses
Service de mémoire
cache Dashboard Design
50
Services Crystal Reports
Services Crystal Reports
Services Crystal Reports
Services Dashboard
Design
2011-05-06
Architecture
Service
Type de serveur
Description du service
Service de traitement
Dashboard Design
Services Dashboard
Design
Serveur de traitement
Dashboard Design
Accepte et traite les
rapports Dashboard
Design ; il peut partager des données entre
les rapports pour réduire le nombre d'accès
à la base de données.
Service de tableau de
bord
Services principaux
Dashboard Server
Prise en charge de
l'espace de travail BI
Service de fédération
de données
Services de fédération
de données
Serveur de traitement
adaptatif
Service de fédération
de données.
Service de planification
de livraison vers la destination
Services principaux
Adaptative Job Server
Exécute les travaux
planifiés et publie les
résultats dans un emplacement donné, tel
que le système de fichiers, le FTP, le courrier électronique ou la
boîte de réception d'un
utilisateur.
Service de récupération de documents
Services Web Intelligence
Serveur de traitement
adaptatif
Enregistrement automatique et récupération de
documents Web Intelligence.
Service DSL Bridge
Services Web Intelligence
Serveur de traitement
adaptatif
Prise en charge des
sessions de double
couche sémantique
(DSL).
Event Server
Surveille les événements de fichier d'un File
Repository Server
(FRS) et déclenche les
rapports pour qu'ils
s'exécutent lorsque
c'est nécessaire.
Service d'événement
51
Catégorie de service
Services principaux
2011-05-06
Architecture
Service
52
Catégorie de service
Type de serveur
Description du service
Service d'accès aux
données Excel
Services de connectivité
Serveur de traitement
adaptatif
Prend en charge les fichiers Excel téléchargés sur la plateforme
SAP BusinessObjects
de Business Intelligence en tant que
sources de données.
Service du moteur d'information
Services Web Intelligence
Web Intelligence Processing Server
Service requis pour le
traitement des documents Web Intelligence.
Service de stockage
des fichiers d'entrée
Services principaux
Input File Repository
Server
Gère les objets rapport
et objets programme
publiés pouvant être
utilisés pour la génération de nouveaux rapports lors de la réception d'un fichier d'entrée.
Service commun Web
Intelligence
Services Web Intelligence
Web Intelligence Processing Server
Prend en charge le
traitement des documents Web Intelligence.
Service principal Web
Intelligence
Services Web Intelligence
Web Intelligence Processing Server
Prend en charge le
traitement des documents Web Intelligence.
Service de surveillance
Web Intelligence
Services Web Intelligence
Serveur de traitement
adaptatif
Surveille les serveurs
Web Intelligence.
Service de traitement
Web Intelligence
Services Web Intelligence
Web Intelligence Processing Server
Accepte et traite les
documents Web Intelligence.
Service de planification
Web Intelligence
Services Web Intelligence
Adaptative Job Server
Permet la prise en
charge des travaux
Web Intelligence planifiés.
Service ClearCase de
Gestion du cycle de vie
Services de gestion du
cycle de vie
Serveur de traitement
adaptatif
Fournit une prise en
charge ClearCase pour
LCM.
Service de planification
de Gestion du cycle de
vie
Services de gestion du
cycle de vie
Adaptative Job Server
Exécute les travaux de
gestion du cycle de vie
planifiés.
2011-05-06
Architecture
Service
Catégorie de service
Type de serveur
Description du service
Service de Gestion du
cycle de vie
Services de gestion du
cycle de vie
Serveur de traitement
adaptatif
Service principal de
gestion du cycle de vie.
Service de surveillance
Services principaux
Serveur de traitement
adaptatif
Fournit les fonctions de
surveillance.
Serveur de traitement
adaptatif
Fournit un accès aux
données OLAP (Online
Analytical Processing)
multidimensionnelles,
convertit au format
XML les données
brutes, qui peuvent être
affichées dans des tableaux croisés et des
diagrammes Excel,
PDF ou Analysis (anciennement Voyager).
Connection Server
Fournit des services de
connectivité natifs pour
les architectures en
64 bits.
Service d'analyse multidimensionnelle
Analysis Services
Service de connectivité
natif
Services de connectivité
Service de connectivité
natif (32 bits)
Services de connectivité
Connection Server
Fournit des services de
connectivité natifs pour
les architectures en
32 bits.
Service de stockage
des fichiers de sortie
Services principaux
Output File Repository
Server
Gère l'ensemble des
documents terminés.
Service de planification
de recherche de plateforme
Services principaux
Adaptative Job Server
Exécute des recherches planifiées
pour indexer l'ensemble
du contenu du référentiel du CMS (Central
Management Server).
Service de recherche
de plateformes
Services principaux
Serveur de traitement
adaptatif
Fournit la fonctionnalité
de recherche pour la
plateforme de BI.
Adaptative Job Server
Fournit les travaux de
métrique planifiés et
publie les résultats dans un emplacement
donné.
Service de planification
de la métrique
53
Services principaux
2011-05-06
Architecture
Service
Service de planification
du programme
Service de planification
de la publication
Service de post-traitement de la publication
54
Catégorie de service
Services principaux
Services principaux
Services principaux
Type de serveur
Description du service
Adaptative Job Server
Exécute les programmes qui ont été planifiés pour s'exécuter à
un moment donné.
Adaptative Job Server
Exécute les travaux de
publication planifiés et
publie les résultats dans un emplacement
donné.
Serveur de traitement
adaptatif
Réalise des actions sur
les rapports lorsqu'ils
sont terminés, comme
l'envoi d'un rapport à
un emplacement précis.
Service de publication
Services principaux
Serveur de traitement
adaptatif
Coordonne le service
de post-traitement de
la publication et le service de travaux de destination pour publier les
rapports dans un emplacement donné, tel que
le système de fichiers,
le FTP, le courrier électronique ou la boîte de
réception d'un utilisateur.
Service Rebean
Services Web Intelligence
Serveur de traitement
adaptatif
SDK utilisé par Web Intelligence et Explorer
Service de réplication
Services principaux
Adaptative Job Server
Exécute des travaux de
fédération planifiés
pour répliquer le contenu entre des sites fédérés.
Service de planification
des requêtes de sécurité
Services principaux
Adaptative Job Server
Exécute les travaux de
requêtes de sécurité
planifiés.
Service de jetons de
sécurité
Services principaux
Serveur de traitement
adaptatif
Prise en charge de la
connexion unique SAP
2011-05-06
Architecture
Service
Service de connexion
unique
Service TraceLog
Service de traduction
Service de planification
de la différence visuelle
Catégorie de service
Type de serveur
Description du service
Central Management
Server
Prise en charge de la
connexion unique Active Directory. Il s'agit
d'un service secondaire. Il est automatiquement ajouté au
"Service de gestion centralisée".
Services principaux
TOUT SERVEUR
Prise en charge du suivi, de la journalisation
et des modalités de
prises en charge
Services principaux
Serveur de traitement
adaptatif
Traduit les InfoObjects
à l'aide d'informations
du client Gestionnaire
de traduction.
Adaptative Job Server
Exécute les travaux de
requête de différence
visuelle (Gestion du
cycle de vie) et publie
les résultats dans un
emplacement donné.
Services principaux
Services de gestion du
cycle de vie
Service de différence
visuelle
Services de gestion du
cycle de vie
Serveur de traitement
adaptatif
Détermine si les documents sont visuellement identiques pour la
promotion de documents et la gestion du
cycle de vie.
Service de visualisation
Services Web Intelligence
Serveur de traitement
adaptatif
Service Common Visualization Object Model,
utilisé par Web Intelligence.
SDK Services Web et
QaaWS
Services principaux
Serveur conteneur
d'applications Web
Services Web sur WACS.
Remarque :
Il se peut que de nouveaux types de services ou de serveurs soient ajoutés lors de futures versions
de maintenance de la plateforme SAP BusinessObjects de Business Intelligence.
55
2011-05-06
Architecture
2.3.2 Catégories de service
Le tableau suivant répertorie tous les serveurs, classés par catégorie de service. Pour obtenir une
description de chaque service, voir Services.
Remarque :
Il se peut que de nouveaux types de services ou de serveurs soient ajoutés lors de futures versions
de maintenance de la plateforme SAP BusinessObjects Business Intelligence.
Tableau 2-2 : Services, classés par catégorie de service
56
Catégorie de service
Service
Type de serveur
Analysis Services
Service d'applications Web BEx
Serveur de traitement adaptatif
Analysis Services
Service d'analyse multidimensionnelle
Serveur de traitement adaptatif
Services de connectivité
Adaptive Connectivity Service
Serveur de traitement adaptatif
Services de connectivité
Service d'accès aux données
personnalisé
Serveur de traitement adaptatif
Services de connectivité
Service d'accès aux données
Excel
Serveur de traitement adaptatif
Services de connectivité
Service de connectivité natif
Connection Server
Services de connectivité
Service de connectivité natif
(32 bits)
Connection Server
Services principaux
Service de planification de la
mise à jour de l'authentification
Adaptative Job Server
Services principaux
Service de l'application Web
BOE
Serveur conteneur d'applications Web
Services principaux
Business Process BI Services
Serveur conteneur d'applications Web
Services principaux
Service de gestion centralisée
Central Management Server
Services principaux
Service proxy d'audit client
Serveur de traitement adaptatif
Services principaux
Service Tableaux de bord/Analyses
Dashboard Analytics Server
Services principaux
Service de tableau de bord
Dashboard Server
2011-05-06
Architecture
57
Catégorie de service
Service
Type de serveur
Services principaux
Service de planification de livraison vers la destination
Adaptative Job Server
Services principaux
Service d'événement
Event Server
Services principaux
Service de stockage des fichiers
d'entrée
Input File Repository Server
Services principaux
Service de surveillance
Serveur de traitement adaptatif
Services principaux
Service de stockage des fichiers
de sortie
Output File Repository Server
Services principaux
Service de planification de recherche de plateforme
Adaptative Job Server
Services principaux
Service de recherche de plateformes
Serveur de traitement adaptatif
Services principaux
Service de planification de la
métrique
Adaptative Job Server
Services principaux
Service de planification du programme
Adaptative Job Server
Services principaux
Service de planification de la
publication
Adaptative Job Server
Services principaux
Service de post-traitement de la
publication
Serveur de traitement adaptatif
Services principaux
Service de publication
Serveur de traitement adaptatif
Services principaux
Service de réplication
Adaptative Job Server
Services principaux
Service de planification des requêtes de sécurité
Adaptative Job Server
Services principaux
Service de jetons de sécurité
Serveur de traitement adaptatif
Services principaux
Service de connexion unique
Central Management Server
Services principaux
Service TraceLog
TOUT SERVEUR
Services principaux
Service de traduction
Serveur de traitement adaptatif
Services principaux
SDK Services Web et QaaWS
Serveur conteneur d'applications Web
Services Crystal Reports
Service de traitement Crystal
Reports 2011
Crystal Reports Processing
Server
2011-05-06
Architecture
58
Catégorie de service
Service
Type de serveur
Services Crystal Reports
Service de planification Crystal
Reports 2011
Adaptative Job Server
Services Crystal Reports
Service de modification et de
visualisation Crystal Reports 2011
RAS
Services Crystal Reports
Service de mémoire cache Crystal Reports
Crystal Reports Cache Server
Services Crystal Reports
Service de traitement Crystal
Reports
Crystal Reports Processing
Server
Services Crystal Reports
Service de planification Crystal
Reports
Adaptative Job Server
Services Dashboard Design
Service de mémoire cache Dashboard Design
Cache Server Dashboard Design
Services Dashboard Design
Service de traitement Dashboard Design
Serveur de traitement Dashboard Design
Services de fédération de données
Service de fédération de données
Serveur de traitement adaptatif
Services de gestion du cycle de
vie
Service ClearCase de la gestion
du cycle de vie
Serveur de traitement adaptatif
Services de gestion du cycle de
vie
Service de planification de Gestion du cycle de vie
Adaptative Job Server
Services de gestion du cycle de
vie
Service de Gestion du cycle de
vie
Serveur de traitement adaptatif
Services de gestion du cycle de
vie
Service de planification de la
différence visuelle
Adaptative Job Server
Services de gestion du cycle de
vie
Service de différence visuelle
Serveur de traitement adaptatif
Services Web Intelligence
Service de récupération de documents
Serveur de traitement adaptatif
Services Web Intelligence
Service DSL Bridge
Serveur de traitement adaptatif
Services Web Intelligence
Service du moteur d'information
Web Intelligence Processing
Server
Services Web Intelligence
Service de surveillance Web Intelligence
Serveur de traitement adaptatif
2011-05-06
Architecture
Catégorie de service
Service
Type de serveur
Services Web Intelligence
Service Rebean
Serveur de traitement adaptatif
Services Web Intelligence
Service de visualisation
Serveur de traitement adaptatif
Services Web Intelligence
Service commun Web Intelligence
Web Intelligence Processing
Server
Services Web Intelligence
Service principal Web Intelligence
Web Intelligence Processing
Server
Services Web Intelligence
Service de traitement Web Intelligence
Web Intelligence Processing
Server
Services Web Intelligence
Service de planification Web Intelligence
Adaptative Job Server
2.3.3 Types de serveurs
Le tableau suivant répertorie tous les serveurs, classés par type de serveur. Pour obtenir une description
de chaque service, voir Services.
Tableau 2-3 : Serveurs, classés par type de serveur
59
Type de serveur
Service
Catégorie de service
Adaptative Job Server
Service de planification de la
mise à jour de l'authentification
Services principaux
Adaptative Job Server
Service de planification Crystal
Reports 2011
Services Crystal Reports
Adaptative Job Server
Service de planification Crystal
Reports
Services Crystal Reports
Adaptative Job Server
Service de planification de livraison vers la destination
Services principaux
Adaptative Job Server
Service de planification de Gestion du cycle de vie
Services de gestion du cycle de
vie
Adaptative Job Server
Service de planification de recherche de plateforme
Services principaux
2011-05-06
Architecture
60
Type de serveur
Service
Catégorie de service
Adaptative Job Server
Service de planification de la
métrique
Services principaux
Adaptative Job Server
Service de planification du programme
Services principaux
Adaptative Job Server
Service de planification de la
publication
Services principaux
Adaptative Job Server
Service de réplication
Services principaux
Adaptative Job Server
Service de planification des requêtes de sécurité
Services principaux
Adaptative Job Server
Service de planification de la
différence visuelle
Services de gestion du cycle de
vie
Adaptative Job Server
Service de planification Web Intelligence
Services Web Intelligence
Serveur de traitement adaptatif
Adaptive Connectivity Service
Services de connectivité
Serveur de traitement adaptatif
Service d'applications Web BEx
Analysis Services
Serveur de traitement adaptatif
Service proxy d'audit client
Services principaux
Serveur de traitement adaptatif
Service d'accès aux données
personnalisé
Services de connectivité
Serveur de traitement adaptatif
Service de fédération de données
Services de fédération de données
Serveur de traitement adaptatif
Service de récupération de documents
Services Web Intelligence
Serveur de traitement adaptatif
Service DSL Bridge
Services Web Intelligence
Serveur de traitement adaptatif
Service d'accès aux données
Excel
Services de connectivité
Serveur de traitement adaptatif
Service de surveillance Web Intelligence
Services Web Intelligence
Serveur de traitement adaptatif
Service ClearCase de Gestion
du cycle de vie
Services de gestion du cycle de
vie
Serveur de traitement adaptatif
Service de la console de gestion
du cycle de vie
Services de gestion du cycle de
vie
Serveur de traitement adaptatif
Service de surveillance
Services principaux
2011-05-06
Architecture
61
Type de serveur
Service
Catégorie de service
Serveur de traitement adaptatif
Service d'analyse multidimensionnelle
Analysis Services
Serveur de traitement adaptatif
Service de recherche de plateformes
Services principaux
Serveur de traitement adaptatif
Service de post-traitement de la
publication
Services principaux
Serveur de traitement adaptatif
Service de publication
Services principaux
Serveur de traitement adaptatif
Service Rebean
Services Web Intelligence
Serveur de traitement adaptatif
Service de jetons de sécurité
Services principaux
Serveur de traitement adaptatif
Service de traduction
Services principaux
Serveur de traitement adaptatif
Service de différence visuelle
Services de gestion du cycle de
vie
Serveur de traitement adaptatif
Service de visualisation
Services Web Intelligence
TOUT SERVEUR
Service TraceLog
Services principaux
Central Management Server
Service de gestion centralisée
Services principaux
Central Management Server
Service de connexion unique
Services principaux
Connection Server
Service de connectivité natif
Services de connectivité
Connection Server
Service de connectivité natif
(32 bits)
Services de connectivité
Crystal Reports Cache Server
Service de mémoire cache Crystal Reports
Services Crystal Reports
Crystal Reports Processing
Server
Service de traitement Crystal
Reports 2011
Services Crystal Reports
Crystal Reports Processing
Server
Service de traitement Crystal
Reports
Services Crystal Reports
Dashboard Analytics Server
Service Tableaux de bord/Analyses
Services principaux
Cache Server Dashboard Design
Service de mémoire cache Dashboard Design
Services Dashboard Design
Serveur de traitement Dashboard Design
Service de traitement Dashboard Design
Services Dashboard Design
2011-05-06
Architecture
Type de serveur
Service
Catégorie de service
Dashboard Server
Service de tableau de bord
Services principaux
Event Server
Service d'événement
Services principaux
Input File Repository Server
Service de stockage des fichiers
d'entrée
Services principaux
Output File Repository Server
Service de stockage des fichiers
de sortie
Services principaux
RAS
Service de modification et de
visualisation Crystal Reports 2011
Services Crystal Reports
Serveur conteneur d'applications Web
Service de l'application Web
BOE
Services principaux
Serveur conteneur d'applications Web
Business Process BI Services
Services principaux
Serveur conteneur d'applications Web
SDK Services Web et QaaWS
Services principaux
Web Intelligence Processing
Server
Service du moteur d'information
Services Web Intelligence
Web Intelligence Processing
Server
Service commun Web Intelligence
Services Web Intelligence
Web Intelligence Processing
Server
Service principal Web Intelligence
Services Web Intelligence
Web Intelligence Processing
Server
Service de traitement Web Intelligence
Services Web Intelligence
2.3.4 Serveurs
Les serveurs sont un regroupement de services exécutés sous un SIA (Server Intelligence Agent) sur
un hôte. Le type de serveur est signalé par les services qui y sont exécutés. Les serveurs peuvent être
créés dans la CMC (Central Management Console). Le tableau suivant répertorie les différents types
de serveurs pouvant être créés dans la CMC.
62
2011-05-06
Architecture
Serveur
Adaptative Job Server
Serveur de traitement
adaptatif
Description
Serveur général traitant les travaux planifiés. Lorsque vous ajoutez un
Job Server à la plateforme SAP BusinessObjects de Business Intelligence,
vous pouvez configurer le Job Server pour traiter les rapports, documents,
programmes ou publications et envoyer les résultats vers différentes destinations.
Serveur générique qui héberge les services responsables du traitement
des demandes provenant de diverses sources.
Remarque :
Le programme d'installation installe un serveur de traitement adaptatif
(APS) par système hôte. Selon les fonctionnalités que vous avez installées,
cet APS peut héberger un grand nombre de services, tels que le service
de surveillance, le service de gestion du cycle de vie, le service d'analyse
multidimensionnelle (MDAS), le service de publication et d'autres.
Si vous installez un environnement de production, n'utilisez pas le serveur
de traitement adaptatif par défaut. Il est plutôt vivement recommandé,
une fois le processus achevé, de réaliser un dimensionnement du système
pour déterminer :
• Le type et le nombre de services du serveur de traitement adaptatif.
• La distribution des services à travers plusieurs serveurs de traitement
adaptatif.
• Le nombre optimal de serveurs de traitement adaptatif. Plusieurs serveurs de traitement adaptatif fournissent une redondance, une meilleure
performance et une fiabilité accrue.
• La distribution des serveurs de traitement adaptatif à travers plusieurs
nœuds.
Créez des instances de serveur de traitement adaptatif telles que déterminées par le processus de dimensionnement.
Par exemple, si le résultat de votre dimensionnement venait à suggérer
la création d'un serveur de traitement adaptatif pour chaque catégorie de
service, cela pourrait aboutir à la création de huit serveurs de traitement
adaptatif. Un pour chaque catégorie de services : services d'analyse,
services de connectivité, services principaux, services Crystal Reports,
services Dashboard Design, services de fédération de données, services
de gestion du cycle de vie et services Web Intelligence.
Central Management Server (CMS)
63
2011-05-06
Architecture
Serveur
Description
Gère une base de données d'informations concernant votre plateforme
SAP BusinessObjects de Business Intelligence (dans la base de données
système du CMS) et les actions utilisateur auditées (dans le magasin de
données d'audit). Tous les services de plateforme sont gérés par le CMS.
Le CMS contrôle également l'accès aux fichiers système où sont stockés
les documents, les informations relatives aux utilisateurs, groupes d'utilisateurs, niveaux de sécurité (y compris l'authentification et l'autorisation)
et le contenu.
Connection Server
Permet l'accès de la base de données aux données source. Les bases
de données relationnelles sont prises en charge, de même que OLAP et
autres formats. Le Connection Server gère les connexions et l'interaction
avec les diverses sources de données et fournit un ensemble de fonctions
communes aux clients.
Crystal Reports Cache
Server
Intercepte les demandes de rapport envoyées par les clients au Page
Server. Si le Cache Server ne peut pas répondre à la demande avec une
page de rapport mise en cache, il transmet la demande au serveur de
traitement Crystal Reports, qui exécute le rapport et renvoie les résultats.
Le Cache Server met alors la page de rapport en mémoire cache en vue
d'une potentielle utilisation ultérieure.
Crystal Reports Processing Répond aux demandes de page en traitant les rapports et en générant
Server
des pages au format de page encapsulée (EPF). Le principal avantage
du format EPF est qu'il prend en charge l'accès aux pages à la demande,
si bien que seule la page demandée est renvoyée et non le rapport complet. Cela améliore les performances système et réduit le trafic réseau
inutile dans le cas de grands rapports.
Dashboard Analytics Ser- Processus serveur utilisé par le composant Espace de travail BI pour
ver
créer et gérer le contenu d'entreprise et personnel de module d'espace
de travail BI.
64
Dashboard Server
Utilisé par le composant Espace de travail BI pour créer et gérer des tableaux de bord d'entreprise et personnels. Les espaces de travail BI proposent des fonctionnalités de gestion des tableaux de bord permettant
d'aider les organisations à surveiller et comprendre leurs activités de gestion.
Cache Server Dashboard
Design
Intercepte les demandes de rapport envoyées par les clients au Dashboard
Server. Si le Cache Server ne peut pas répondre à la demande avec une
page de rapport mise en cache, il transmet la demande au Dashboard
Server, qui exécute le rapport et renvoie les résultats. Le Cache Server
met alors la page de rapport en mémoire cache en vue d'une potentielle
utilisation ultérieure.
2011-05-06
Architecture
Serveur
Description
Serveur de traitement Da- Répond aux demandes de Dashboard Design en traitant les rapports et
shboard Design
en générant des pages au format de page encapsulée (EPF). Le principal
avantage du format EPF est qu'il prend en charge l'accès aux pages à la
demande, si bien que seule la page demandée est renvoyée et non le
rapport complet. Cela améliore les performances système et réduit le
trafic réseau inutile dans le cas de grands rapports.
Event Server
Surveille les événements du système qui peuvent déclencher l'exécution
d'un rapport. Lorsque vous configurez un déclenchement d'événement,
l'Event Server surveille la condition et notifie au CMS l'exécution d'un
événement. Le CMS peut ensuite démarrer tous les travaux configurés
pour s'exécuter lors de l'événement.
File Repository Server
En charge de la création des objets système de fichiers, tels que les rapports exportés, et des fichiers importés dans des formats non natifs. Un
Input FRS stocke les objets de rapport et de programme qui ont été publiés
sur le système par les administrateurs et les utilisateurs finaux. Un Output
FRS stocke toutes les instances de rapport générées par le Job Server.
Web Intelligence Processi- Traite les documents SAP BusinessObjects Web Intelligence.
ng Server
Report Application Server Fournit des fonctionnalités de reporting ad hoc permettant aux utilisateurs
de créer et de modifier des rapports Crystal via le SDK (Software Development Kit) de SAP Crystal Reports Server Embedded.
2.4 Applications client
Vous pouvez interagir avec la plateforme SAP BusinessObjects de Business Intelligence en utilisant
deux types d'applications de bureau :
• Applications de bureau
Ces applications doivent être installées sur un système d'exploitation Microsoft Windows pris en
charge. Elles peuvent traiter des données et créer des rapports localement.
Remarque :
Le programme d'installation de la plateforme SAP BusinessObjects de Business Intelligence n'installe
plus les applications de bureau. Pour installer une application de bureau sur un serveur, utilisez le
programme d'installation autonome des outils client de la plateforme SAP BusinessObjects de
Business Intelligence.
Les applications client de bureau permettent de décharger une partie du traitement des rapports BI
sur des ordinateurs client individuels. La plupart des applications de bureau accèdent directement
aux données de votre organisation via des pilotes installés sur le bureau et communiquent avec
65
2011-05-06
Architecture
votre déploiement de la plateforme SAP BusinessObjects de Business Intelligence via CORBA ou
CORBA SSL crypté.
Crystal Reports et Live Office sont des exemples de ce type d'application.
Remarque :
Bien que Live Office soit une application à fonctionnalité riche, elle forme une interface avec les
services Web de la plateforme SAP BusinessObjects de Business Intelligence via HTTP.
•
Applications Web
Ces applications sont hébergées par un serveur d'applications Web et sont accessibles via un
navigateur Web pris en charge sur les systèmes d'exploitation Windows, Macintosh, Unix et Linux.
Cela permet de fournir un accès Business Intelligence (BI) à de grands groupes d'utilisateurs, sans
avoir à déployer de logiciels de bureau. La communication est assurée via HTTP avec ou sans
cryptage SSL (HTTPS).
La zone de lancement BI, SAP BusinessObjects Web Intelligence, la CMC (Central Management
Console) et les visualiseurs de rapport sont des exemples de ce type d'application.
2.4.1 Installées avec les outils client de la plateforme SAP BusinessObjects de
Business Intelligence
2.4.1.1 Web Intelligence Desktop
Web Intelligence Desktop représente un outil d'analyse et de reporting ad hoc conçu pour les utilisateurs
avec ou sans accès à la plateforme SAP BusinessObjects de Business Intelligence.
Il permet aux utilisateurs de parcourir et de combiner les données de sources relationnelles, OLAP
(online analytical processing), de feuilles de calcul ou de fichiers texte en utilisant des termes métier
courants dans une interface autorisant le glisser-déposer. Les workflows permettent d'analyser les
questions très larges ou très ciblées et de poser d'autres questions au cours du workflow d'analyse.
Les utilisateurs de Web Intelligence Desktop peuvent continuer à utiliser des fichiers de document Web
Intelligence (.wid), même s'ils ne peuvent pas se connecter à un CMS (Central Management Server).
2.4.1.2 Gestionnaire de vues d'entreprise
66
2011-05-06
Architecture
Le Gestionnaire de vues d'entreprise permet aux utilisateurs de créer des objets de couche sémantique
qui simplifient la complexité des bases de données sous-jacentes.
Le Gestionnaire de vues d'entreprise permet de créer des connexions de données, des connexions de
données dynamiques, des fondations de données, des éléments d'entreprise, des vues d'entreprise et
des vues relationnelles. Il permet aussi de définir une sécurité détaillée au niveau des colonnes et des
lignes pour les objets d'un rapport.
Les concepteurs peuvent créer des connexions à plusieurs sources de données, joindre des tables,
créer des alias pour des noms de champs, des champs calculés, puis utiliser cette structure simplifiée
sous forme de vue d'entreprise. Les concepteurs et les utilisateurs de rapports peuvent ensuite utiliser
la vue d'entreprise comme base de leurs rapports, plutôt qu'accéder directement aux données et créer
leurs propres requêtes.
2.4.1.3 Outil de conversion de rapport
L'outil de conversion de rapport convertit les rapports au format Web Intelligence et les publie sur un
CMS (Central Management Server).
Les rapports peuvent être extraits des dossiers Publics, Favoris ou Boîte de réception du
CMS. Une fois les rapports convertis, vous pouvez les publier dans le même dossier que le rapport
Web Intelligence d'origine ou dans un autre dossier. L'outil ne convertit pas tous les rapports et toutes
les fonctionnalités de Web Intelligence. Le niveau de conversion dépend des fonctions présentes dans
le rapport d'origine. Certaines d'entre elles empêchent la conversion du rapport. D'autres sont modifiées,
implémentées de nouveau ou supprimées par l'outil pendant la conversion.
L'outil de conversion de rapport vous permet également de réaliser l'audit de vos rapports convertis.
Vous pouvez ainsi identifier les rapports qui ne peuvent pas être totalement convertis par l'outil de
conversion de rapport et en expliquer la raison.
2.4.1.4 Outil de conception d'univers
L'Outil de conception d'univers (anciennement Universe Designer) permet aux concepteurs de données
de combiner les données de plusieurs sources dans une couche sémantique qui masque la complexité
des bases de données aux utilisateurs finaux. Il simplifie la complexité des données en utilisant un
langage métier plutôt qu'un langage technique pour les parcourir, les manipuler et les organiser.
L'outil de conception d'univers fournit une interface graphique pour sélectionner et visualiser les tables
d'une base de données. Les tables de bases de données sont représentées par des symboles de tables
dans un diagramme de schéma. Les concepteurs peuvent utiliser cette interface pour manipuler des
tables, créer des jointures entre les tables, des tables d'alias et des contextes et résoudre des boucles
dans un schéma.
67
2011-05-06
Architecture
Vous pouvez également créer des univers à partir de sources de métadonnées. L'outil de conception
d'univers est utilisé pour générer des univers à la fin du processus de création.
2.4.1.5 Outil Requête du service Web
L'Outil Requête du service Web (anciennement Query as a Web Service) permet d'utiliser les requêtes
BI (Business Intelligence) dans des applications Web personnalisées. Les utilisateurs créent une requête
depuis une connexion de l'univers et la publient sous forme de service Web de sorte qu'elle soit intégrée
à une application Web.
L'outil Requête du service Web propose de nouvelles solutions client aux entreprises. Par exemple, il
permet à SAP BusinessObjects Dashboard Design (anciennement Xcelsius) d'agréger plusieurs sources
de données disparates en une vue BI sécurisée.
L'outil Requête du service Web fonctionne également avec toute une gamme de solutions côté client
parmi lesquelles :
• Microsoft Office, Excel et InfoPath
• SAP NetWeaver
• OpenOffice
• Applications de gestion de processus et de règles de gestion
• Services d'entreprise
2.4.1.6 Outil de conception d'information
L'outil de conception d'information (anciennement Information Designer) est un environnement de
conception de métadonnées SAP BusinessObjects qui permet au concepteur d'extraire, de définir et
de manipuler les métadonnées de sources relationnelles et OLAP pour créer et déployer des univers
SAP BusinessObjects.
2.4.1.7 Outil de gestion de la traduction
La plateforme SAP BusinessObjects de Business Intelligence prend en charge les documents et univers
multilingues. Un document multilingue contient des versions localisées des métadonnées d'univers et
des invites de document. Par exemple, un utilisateur peut créer des rapports à partir du même univers
dans les langues de son choix.
68
2011-05-06
Architecture
L'outil de gestion de la traduction (anciennement Gestionnaire de traduction) définit les univers
multilingues et gère la traduction des univers, ainsi que de leurs documents et invites Web Intelligence.
Outil de gestion de la traduction :
• Traduit les univers ou les documents de SAP BusinessObjects Web Intelligence pour un public
multilingue.
• Définit les parties métadonnées du document et la traduction appropriée. Génère un format XLIFF
externe et importe les fichiers XLIFF pour obtenir des informations traduites.
• Liste la structure de l'univers ou du document de SAP BusinessObjects Web Intelligence à traduire.
• Permet de traduire les métadonnées via l'interface utilisateur ou par le biais d'un outil de traduction
externe en important et en exportant des fichiers XLIFF.
• Crée des documents multilingues.
2.4.1.8 Outil d'administration de fédération de données
L'Outil d'administration de fédération de données (anciennement Data Federator) est une application
Rich Client qui offre des fonctionnalités faciles à utiliser pour gérer votre service de fédération de
données.
Etroitement intégré à la plateforme SAP BusinessObjects de Business Intelligence, le service de
fédération de données active les univers à plusieurs sources en diffusant les requêtes dans plusieurs
sources de données et vous permet ainsi de fédérer les données par le biais d'une fondation de données
unique.
L'outil d'administration de fédération de données vous permet d'optimiser les requêtes de fédération
de données et d'ajuster le moteur de recherche de fédération de données en vue d'obtenir les meilleures
performances possibles.
Il permet d'effectuer les opérations suivantes :
• Tester les requêtes SQL.
69
•
Visualiser les plans d'optimisation qui détaillent la façon dont les requêtes sont transmises à chaque
source.
•
Calculer des “statistiques” et définir des paramètres système pour ajuster les services de fédération
de données et obtenir les meilleures performances possibles.
•
Gérer les propriétés afin de contrôler la façon dont les requêtes sont exécutées dans chaque source
de données au niveau du connecteur.
•
Surveiller les requêtes SQL en cours.
•
Parcourir l'historique des requêtes exécutées.
2011-05-06
Architecture
2.4.1.9 Indicateurs pour la plateforme SAP BusinessObjects de Business
Intelligence
Les indicateurs sont des mini-applications permettant d'accéder rapidement et facilement aux fonctions
souvent utilisées et fournissant des informations visuelles à partir de votre bureau. Les indicateurs pour
la plateforme SAP BusinessObjects de Business Intelligence (précédemment connus sous le nom de
BI Widgets) permettent à votre entreprise d'offrir un accès au contenu BI (Business Intelligence) existant
de la plateforme SAP BusinessObjects de Business Intelligence ou vous pouvez ajouter des applications
Web Dynpro enregistrées sous forme d'indicateurs XBCML (Extensible Business Client Markup
Language) sur les serveurs d'applications SAP NetWeaver en tant qu'indicateurs de bureau.
Pour afficher des indicateurs XBCML sur le bureau de l'utilisateur, on utilise le client SAP Web Dynpro
Flex. Le client SAP Web Dynpro Flex est un moteur d'affichage basé sur Adobe Flex, qui est utilisé
pour afficher des indicateurs. Pour en savoir plus sur la configuration des applications Web Dynpro,
voir la rubrique Pour activer les indicateurs sur le serveur d'applications SAP NetWeaver du Guide de
l'utilisateur d'indicateurs pour SAP BusinessObjects.
Remarque :
La prise en charge des indicateurs XBCML par le client SAP Web Dynpro Flex commence avec la
version 7.0 EhP2 SP3. La prise en charge d'attente du client Flex est réservée aux problème du client
Flex rencontrés dans les indicateurs XBCML dans ces versions spécifiées.
Grâce aux indicateurs destinés à la plateforme SAP BusinessObjects de Business Intelligence, vous
recherchez ou parcourez le contenu existant, comme les documents Web Intelligence, les modèles
Dashboard Design et les applications Web Dynpro, puis collez les informations sur votre bureau afin
qu'elles soient accessibles en cas de besoin.
En tant qu'indicateur, le contenu bénéficie des fonctionnalités suivantes du cadre d'application des
indicateurs :
• Taille et positionnement contrôlés par l'utilisateur
• Actualisation automatique
• Paramètre facultatif, tel que la fenêtre d'application supérieure
• Sécurité totale de la plateforme SAP BusinessObjects de Business Intelligence (parties de rapport
Web Intelligence et modèles Dashboard Design uniquement)
• Affichage enregistré
• Etat de contexte des données enregistrées (parties de rapport Web Intelligence uniquement)
• Liens OpenDocument Web Intelligence vers des rapports détaillés (documents Web Intelligence
uniquement)
• Affichages tabulaires (modèles Dashboard Design uniquement)
70
2011-05-06
Architecture
2.4.2 Installées avec la plateforme SAP BusinessObjects de Business Intelligence
2.4.2.1 Central Configuration Manager (CCM)
Le CCM (Central Configuration Manager) est un outil de gestion de nœuds et de dépannage de serveurs
proposé sous deux formes. Dans un environnement Microsoft Windows, le CCM permet de gérer des
serveurs locaux et distants via son interface utilisateur graphique ou depuis une ligne de commande.
Dans un environnement Unix, le script shell du CCM (ccm.sh permet de gérer des serveurs à partir
de la ligne de commande.
Le CCM permet de créer et de configurer des nœuds Server Intelligence Agent (SIA) et de démarrer
ou d'arrêter votre serveur d'applications Web. Sous Windows, il permet également de configurer des
paramètres réseau, tels que le cryptage SSL (Secure Socket Layer). Ces paramètres s'appliquent à
tous les serveurs d'un même nœud.
Remarque :
La plupart des tâches de gestion des serveurs sont à présent gérées via la CMC, et non via le CCM.
Désormais, le CCM est utilisé pour le dépannage et la configuration des nœuds.
2.4.2.2 Outil de gestion de mise à niveau
L'outil de gestion de mise à niveau (anciennement Assistant d'importation) est installé dans le cadre
de la plateforme de BI et guide les administrateurs tout au long du processus d'importation des
utilisateurs, groupes et dossiers des versions précédentes de la plateforme de BI. Il permet également
l'importation et la mise à niveau des objets, événements, groupes de serveurs, objets de référentiel et
calendriers.
Pour en savoir plus sur la mise à niveau à partir d'une version antérieure de la plateforme de BI, voir
le Guide de mise à niveau de la plateforme SAP BusinessObjects de Business Intelligence.
2.4.2.3 Outil de diagnostic de référentiel
71
2011-05-06
Architecture
L'outil de diagnostic de référentiel permet d'analyser, de diagnostiquer et de réparer les incohérences
qui peuvent se produire entre la base de données système du CMS ( Central Management Server) et
le stockage des fichiers FRS (File Repository Servers).
Il permet également de créer un rapport sur le statut de réparation et les actions exécutées. Pour
déterminer la synchronisation entre le système de fichiers et la base de données, le RDT doit être utilisé
après la première exécution d'une sauvegarde à chaud par l'utilisateur. Il peut également être utilisé
après une restauration et avant le démarrage des services de la plateforme SAP BusinessObjects de
Business Intelligence. L'utilisateur peut définir une limite pour le nombre d'erreurs trouvées et réparées
par le RDT avant l'arrêt.
2.4.3 Disponibles séparément
2.4.3.1 SAP BusinessObjects Analysis, édition pour Microsoft Office
SAP BusinessObjects Advanced Analysis, édition pour Microsoft Office constitue une alternative de
premier choix à Business Explorer (BEx) en permettant aux analystes professionnels d'explorer des
données OLAP (Online Analytical Processing) multidimensionnelles.
Les analystes peuvent ainsi répondre rapidement aux questions de gestion et partager avec d'autres
utilisateurs leurs analyses et leur espace de travail sous forme d'analyses.
SAP BusinessObjects Analysis, édition pour Microsoft Office, fournit aux analystes la possibilité :
• D'identifier les tendances, les extrêmes et les détails stockés dans les systèmes financiers sans
l'aide d'un administrateur de base de données.
• D'obtenir des réponses à leurs questions de gestion efficacement en consultant des jeux de données
multidimensionnels de petite ou grande taille.
• D'accéder à l'ensemble des sources de données OLAP disponibles au sein de l'entreprise et de
partager les résultats à l'aide d'une interface intuitive simple.
• D'accéder aux différentes sources de données OLAP des mêmes analyses pour obtenir un aperçu
complet de l'activité et de l'impact croisé des tendances.
• D'interroger, d'analyser, de comparer et de prévoir les facteurs d'activité.
• D'utiliser une gamme complète de calculs de gestion et temporels.
2.4.3.2 SAP Crystal Reports
72
2011-05-06
Architecture
Le logiciel SAP Crystal Reports permet aux utilisateurs de concevoir des rapports interactifs à partir
d'une source de données.
2.4.3.3 SAP BusinessObjects Dashboard Design
SAP BusinessObjects Dashboard Design (anciennement Xcelsius) désigne un outil conçu pour visualiser
les données et créer des tableaux de bord dynamiques et interactifs. Les données et les formules sont
importées ou directement saisies dans une feuille de calcul Excel incorporée. Une interface flash fournit
une zone de dessin permettant d'afficher différents tableaux de bord et analyses.
Les données peuvent être mises à jour dynamiquement depuis la plateforme SAP BusinessObjects de
Business Intelligence et exportées vers différents formats qui peuvent être affichés par les utilisateurs
de données dans des formats standard tels que PowerPoint, PDF ou Flash.
2.4.3.4 SAP BusinessObjects Explorer
SAP BusinessObjects Explorer est une application de détection des données qui utilise une puissante
fonctionnalité de recherche afin d'extraire des réponses aux questions professionnelles à partir de
données, d'une façon directe et rapide.
Lorsque vous installez SAP BusinessObjects Explorer, les serveurs suivants sont ajoutés au CCM
(Central Configuration Manager) et à la CMC (Central Management Console) de la plateforme SAP
BusinessObjects de Business Intelligence :
• Serveur de base Explorer : gère tous les serveurs Explorer.
• Serveur d'indexation Explorer : assure et gère l'indexation des données et des métadonnées de
l'espace d'informations.
• Serveur de recherche Explorer : traite les requêtes de recherche et renvoie les résultats.
• Serveur d'exploration Explorer : assure et gère les fonctionnalités d'exploration et d'analyse de
l'espace d'informations, notamment la recherche sur les données, le filtrage et l'agrégation.
2.4.4 Clients d'applications Web
Les clients d'applications Web résident sur un serveur d'applications Web et sont accessibles sur un
navigateur Web client. Les applications Web sont déployées automatiquement lors de l'installation de
la plateforme SAP BusinessObjects de Business Intelligence.
73
2011-05-06
Architecture
Les applications Web sont facilement accessibles depuis un navigateur Web et la communication peut
être sécurisée par cryptage SSL si vous planifiez d'autoriser un accès utilisateur externe au réseau de
votre organisation.
De plus, les applications Web Java peuvent être reconfigurées ou déployées après l'installation initiale
en utilisant l'outil de ligne de commande WDeploy fourni, qui permet de déployer des applications Web
sur un serveur d'applications Web comme suit :
1. Mode autonome
Toutes les ressources d'applications Web sont déployées sur un serveur d'applications Web qui
sert à la fois le contenu statique et dynamique. Ce mode est adapté aux petites installations.
2. Mode divisé
Le contenu statique de l'application Web (HTML, images, CSS) est déployé sur un serveur Web
dédié alors que le contenu dynamique (JSP) est déployé sur un serveur d'applications Web. Ce
mode est adapté aux installations plus importantes qui bénéficient du fait que le serveur d'applications
Web n'a pas à servir le contenu Web statique.
Pour en savoir plus sur WDeploy, voir le Guide de déploiement d'applications Web de la plateforme
SAP BusinessObjects de Business Intelligence.
2.4.4.1 Central Management Console (CMC)
La CMC (Central Management Console) est un outil basé sur le Web qui permet d'effectuer des tâches
d'administration, y compris la gestion des utilisateurs, des contenus et des serveurs. Il permet également
de publier, d'organiser et de configurer des paramètres de sécurité. La CMC étant une application Web,
vous pouvez effectuer toutes les tâches d'administration via un navigateur Web sur tout ordinateur
pouvant se connecter au serveur.
Tous les utilisateurs peuvent se connecter à la CMC pour modifier leurs paramètres de préférences
utilisateur. Seuls les membres du groupe Administrateurs peuvent modifier les paramètres de gestion,
à moins que les droits requis n'aient été explicitement accordés. Les rôles peuvent aussi être affectés
à la CMC pour accorder des droits à certains utilisateurs pour des tâches d'administration mineures.
2.4.4.2 Zone de lancement BI
La zone de lancement BI (précédemment connue sous le nom d'InfoView) est une interface Web à
laquelle les utilisateurs finaux accèdent pour afficher, planifier et suivre les rapports Business Intelligence
(BI) publiés. Elle permet d'accéder à n'importe quel type de contenu Business Intelligence, d'interagir
avec ces contenus et de les exporter, y compris les rapports, les analyses, les tableaux de bord, les
scorecards et les cartes de stratégie.
74
2011-05-06
Architecture
La zone de lancement BI permet aux utilisateurs de gérer :
• la navigation et la recherche dans le catalogue BI,
• l'accès au contenu BI (création, édition et visualisation),
• la planification et la publication du contenu BI.
2.4.4.3 Espaces de travail BI
Les espaces de travail BI (précédemment connus sous le nom Dashboard Builder) aident à suivre les
activités commerciales et les performances à l'aide de modules (modèles de données) et des espaces
de travail Business Intelligence (BI) (visualisation de données dans un ou plusieurs modules). Les
modules et les espaces de travail BI fournissent les informations nécessaires pour ajuster les règles
de gestion en fonction du changement des conditions. Cela vous aide à suivre et à analyser les données
de gestion clés via les modules et les espaces de travail BI de gestion. L'analyse et la prise de décision
en groupe sont également prises en charge via les fonctionnalités de collaboration et de workflow
intégrées. Les espaces de travail BI offrent les fonctions suivantes :
• Navigation par onglets
• Création de pages : gestion des espaces de travail BI et des modules
• Un générateur d'application interactif
• La liaison de contenu entre modules pour une analyse approfondie des données
Remarque :
Pour utiliser les fonctionnalités des espaces de travail BI, vous devez acheter une licence de plateforme
SAP BusinessObjects de Business Intelligence qui inclut l'utilisation des espaces de travail BI dans le
contrat.
2.4.4.4 Visualiseurs de rapports
Les visualiseurs de rapports prennent en charge différentes plateformes et différents navigateurs et
appartiennent à l'une des catégories suivantes :
•
Visualiseurs de rapports côté client (visualiseur Active X, visualiseur Java)
Les visualiseurs de rapports côté client sont téléchargés et installés dans le navigateur de l'utilisateur.
Lorsqu'un utilisateur demande un rapport, le serveur d'applications traite la requête, puis récupère
les pages du rapport dans la plateforme SAP BusinessObjects de Business Intelligence. Le serveur
d'applications Web transmet ensuite les pages du rapport au visualiseur côté client qui les traite et
les affiche dans le navigateur Web.
•
75
Visualiseurs de rapports zéro client (visualiseur DHTML)
2011-05-06
Architecture
Les visualiseurs de rapports zéro client résident sur le serveur d'applications Web. Lorsqu'un
utilisateur demande un rapport, le serveur d'applications Web récupère les pages du rapport dans
la plateforme SAP BusinessObjects de Business Intelligence et crée des pages DHTML qui s'affichent
dans le navigateur Web.
Tous les visualiseurs de rapports traitent les requêtes de rapport et présentent les pages du rapport
qui s'affichent dans le navigateur Web.
Pour en savoir plus sur les fonctionnalités ou plateformes spécifiques prises en charge par chaque
visualiseur de rapport, voir le Guide de l'utilisateur de la zone de lancement BI, le Report Application
Server .NET SDK Developer Guide ou le Guide du développeur pour Viewers Java SDK.
2.4.4.5 SAP BusinessObjects Web Intelligence
SAP BusinessObjects Web Intelligence désigne un outil Web qui fournit des fonctionnalités de requête,
de reporting et d'analyse pour les sources de données relationnelles dans un produit Web unique.
Il permet aux utilisateurs de créer des rapports, d'effectuer des requêtes ad hoc, d'analyser des données
et de mettre en forme des rapports dans une interface autorisant le glisser-déposer. Web Intelligence
masque la complexité des sources de données sous-jacentes.
Les rapports peuvent être publiés sur un portail Web pris en charge ou dans des applications Microsoft
Office à l'aide de SAP BusinessObjects Live Office.
2.4.4.6 SAP BusinessObjects Analysis, édition OLAP
SAP BusinessObjects Analysis, édition pour OLAP (anciennement Voyager) désigne un outil OLAP
(Online Analytical Processing) figurant sur le portail de la zone de lancement BI, qui permet d'utiliser
des données multidimensionnelles. Il permet aussi de combiner des informations issues de différentes
sources de données OLAP dans un espace de travail unique. Les fournisseurs OLAP pris en charge
incluent SAP BW et Microsoft Analysis Services.
L'ensemble de fonctions d'Analysis, édition pour OLAP combine les éléments de SAP Crystal Reports
(accès direct aux données des cubes OLAP à des fins de reporting de production) et de la solution
SAP BusinessObjects Web Intelligence (reporting analytique ad hoc avec les univers des sources de
données OLAP). Il offre une gamme de calculs d'activité et de temps et inclut des fonctions telles que
les curseurs de temps pour rendre l'analyse des données OLAP aussi simple que possible.
Remarque :
L'application Web Analysis, édition pour OLAP est uniquement disponible sous forme d'application
Web Java. Il n'existe pas d'application correspondante pour .NET.
76
2011-05-06
Architecture
2.4.4.7 SAP BusinessObjects Mobile
SAP BusinessObjects Mobile permet aux utilisateurs d'accéder à distance aux mêmes rapports,
métriques et données en temps réel Business Intelligence (BI) disponibles dans les applications client
de bureau depuis un appareil sans fil. Le contenu est optimisé pour les périphériques mobiles de sorte
que les utilisateurs peuvent facilement accéder aux rapports courants, naviguer dans ces rapports et
les analyser sans aucune formation supplémentaire.
Avec SAP BusinessObjects Mobile, les responsables et les techniciens de l'information disposent en
permanence de données à jour sur la base desquelles ils peuvent prendre des décisions avisées. Les
équipes de vente et service après-vente peuvent fournir à tout moment des informations pertinentes
relatives au client, au produit et à l'ordre de travail.
SAP BusinessObjects Mobile prend en charge une large gamme de périphériques mobiles, y compris
BlackBerry, Windows Mobile et Symbian.
Pour en savoir plus sur l'installation, la configuration et le déploiement Mobile, reportez-vous au Guide
d'installation et de déploiement de SAP BusinessObjects Mobile. Pour en savoir plus sur l'utilisation
de SAP BusinessObjects Mobile, reportez-vous au guide Utilisation de SAP BusinessObjects Mobile.
2.5 Workflows des informations
Lors de l'exécution de tâches dans la plateforme SAP BusinessObjects de Business Intelligence, telles
que la connexion, la planification ou la visualisation d'un rapport, des flux d'informations transitent sur
le système et les serveurs communiquent entre eux. La section suivante décrit quelques flux de
traitement, tels qu'ils se produisent dans le système de la plateforme SAP BusinessObjects de Business
Intelligence.
2.5.1 Authentification
2.5.1.1 Connexion à la plateforme SAP BusinessObjects de Business Intelligence
77
2011-05-06
Architecture
Ce workflow décrit une connexion utilisateur à la plateforme SAP BusinessObjects de Business
Intelligence à partir d'un navigateur Web.
1. Le navigateur envoie la requête de connexion au serveur d'applications Web via le serveur Web.
2. Le serveur d'applications Web détermine qu'il s'agit d'une requête de connexion. Le serveur
d'applications Web envoie le nom d'utilisateur, le mot de passe et le type d'authentification au CMS
pour authentification.
3. Le CMS valide le nom d'utilisateur et le mot de passe par rapport à la base de données appropriée
(dans ce cas précis, l'authentification Enterprise est utilisée et les références de l'utilisateur sont
authentifiées par rapport à la base de données système du CMS).
4. Une fois la validation réussie, le CMS crée une session pour l'utilisateur dans la mémoire.
5. Le CMS envoie une réponse au serveur d'applications Web pour l'aviser que la validation a réussi.
Le serveur d'applications Web génère un jeton de connexion pour la session utilisateur dans la
mémoire. Durant la reste de la session, le serveur d'applications Web utilise le jeton de connexion
pour valider l'utilisateur auprès du CMS.
6. Le serveur d'applications Web génère une page HTML à envoyer au client. Le serveur d'applications
Web renvoie la réponse à l'ordinateur de l'utilisateur, où elle s'affiche dans le client Web.
2.5.1.2 Démarrage du SIA
Un SIA (Server Intelligence Agent) peut être configuré pour démarrer automatiquement avec le système
d'exploitation hôte ou manuellement avec le CCM (Central Configuration Manager).
Un SIA extrait des informations sur les serveurs qu'il gère depuis un CMS (Central Management Server).
Si le SIA utilise un CMS local et que celui-ci n'est pas en cours d'exécution, le SIA le démarre. Si un
SIA utilise un CMS distant, il tente de s'y connecter.
Une fois le SIA lancé, la séquence d'événements ci-après est exécutée.
1. Le SIA recherche un SMS dans son cache.
a. Si le SIA est configuré pour démarrer un CMS local et que le CMS n'est pas en cours d'exécution,
le SIA le démarre et se connecte.
b. Si le SIA est configuré pour utiliser un CMS en cours d'exécution (local ou distant), il tente de se
connecter au premier CMS dans son cache. Si ce CMS n'est pas disponible, il tente de se
connecter au CMS suivant dans son cache. Si aucun des CMS mis en cache n'est disponible,
le SIA attend qu'un CMS soit disponible.
2. Le CMS confirme l'identité du SIA pour s'assurer qu'il est valide.
3. Une fois le SIA connecté à un CMS, il demande une liste de serveurs à gérer.
Le SIA ne stocke pas d'informations sur les serveurs qu'il gère. Les informations de configuration
qui déterminent quel serveur est géré par un SIA sont stockées dans la base de données système
du CMS et sont extraites du CMS par le SIA à son démarrage.
4. Le CMS demande à la base de données système du CMS la liste des serveurs gérés par le SIA.
La configuration de chaque serveur est également extraite.
5. Le CMS renvoie au SIA la liste des serveurs et leur configuration.
78
2011-05-06
Architecture
6. Le SIA lance chaque serveur configuré pour démarrer automatiquement avec la configuration
correspondante et surveille son statut. Chaque serveur lancé par le SIA est configuré pour utiliser
le même CMS que le SIA.
Les serveurs non configurés pour démarrer automatiquement avec le SIA ne sont pas lancés.
2.5.1.3 Fermeture du SIA
Un SIA (Server Intelligence Agent) peut être configuré pour s'arrêter automatiquement avec le système
d'exploitation hôte ou manuellement avec le CCM (Central Configuration Manager).
A la fermeture du SIA, les étapes suivantes sont exécutées :
1. Le CMS ordonne au SIA de s'arrêter.
2. Le SIA informe le CMS qu'il est en cours de fermeture.
a. Si le SIA est en cours d'arrêt car le système d'exploitation hôte se referme, il demande à ses
serveurs de s'arrêter. Les serveurs qui ne s'arrêtent pas au bout de 25 secondes sont forcés de
s'arrêter.
b. Si le SIA est arrêté manuellement, il attend que le serveur géré ait terminé de traiter les travaux
existants. Dans ce cas, les serveurs gérés n'acceptent pas de nouveaux travaux. Une fois les
travaux terminés, les serveurs s'arrêtent. Lorsque tous les serveurs sont arrêtés, le SIA s'arrête
également.
Remarque :
Lors d'un arrêt forcé, le SIA ordonne à tous les serveurs gérés de s'arrêter immédiatement.
2.5.2 Planification
2.5.2.1 Planification d'un rapport SAP Crystal
Ce workflow décrit le processus de planification par un utilisateur d'un rapport SAP Crystal à exécuter
ultérieurement.
1. Le client Web envoie une requête de planification dans une URL au serveur d'applications Web,
généralement via le serveur Web.
2. Le serveur d'applications Web interprète la requête URL et détermine qu'il s'agit d'une requête de
planification. Le serveur d'applications Web envoie l'heure de planification, les valeurs de connexion
à la base de données, les valeurs des paramètres, la destination et le format au CMS spécifié.
79
2011-05-06
Architecture
3. Le CMS (Central Management Server) vérifie si l'utilisateur dispose des droits appropriés pour
planifier l'objet. Si tel est le cas, le CMS ajoute un nouvel enregistrement à la base de données
système du CMS. Le <Variable to replace "CMS"/> ajoute également l'instance à sa liste de
planifications en attente.
2.5.2.2 Planification d'un rapport SAP Crystal pour exécution immédiate
Ce workflow décrit le processus de planification par un utilisateur d'un rapport SAP Crystal à exécuter
immédiatement.
1. L'utilisateur planifie un rapport et la requête est envoyée au serveur d'applications Web.
2. Le serveur d'applications Web transmet la requête au CMS (Central Management Server).
3. Le CMS détermine si l'utilisateur possède les droits requis pour planifier le rapport.
4. Le cas échéant, le CMS valide la requête de planification du rapport dans la base de données
système du CMS.
5. A l'heure planifiée, le CMS recherche un Crystal Reports Job Server disponible en fonction de la
valeur "Nombre maximal de travaux autorisés" définie sur chaque Crystal Reports Job Server.
6. Le CMS envoie les informations sur le travail au Crystal Reports Job Server.
7. Le Crystal Reports Job Server détermine l'emplacement de l'Input File Repository Server (FRS) qui
héberge ce rapport. Le Crystal Reports Job Server demande ensuite le modèle de rapport à l'Input
File Repository Server.
8. L'Input File Repository Server recherche le modèle de rapport demandé afin de l'envoyer au Crystal
Reports Job Server.
9. Le modèle de rapport est stocké dans un répertoire temporaire sur le Crystal Reports Job Server.
10. Le Crystal Reports Job Server lance un processus enfant (JobServerChild.exe) pour coordonner
l'exécution du rapport.
11. JobServerChild.exe lance ProcReport.dll et lui transmet toutes les instances reçues du Crystal
Reports Job Server. ProcReport.dll appelle Crpe32.dll.
12. Le rapport est créé lorsque Crpe32.dll a terminé les tâches suivantes :
• Ouverture du rapport.
• Connexion à la base de données de production.
• Traitement du rapport.
• Création et enregistrement de l'instance de rapport.
• Renvoi du rapport à JobServerChild.exe.
13. Le Crystal Reports Job Server met régulièrement à jour le statut des travaux sur le CMS. A ce stade,
le statut indique que le rapport est en cours de traitement.
14. JobServerChild.exe charge l'instance de rapport sur l'Output File Repository Server.
15. L'Output File Repository Server notifie JobServerChild.exe que le rapport a été enregistré.
16. JobServerChild.exe notifie le Crystal Reports Job Server que le rapport a été créé.
17. Le Report Job Server met à jour le statut des travaux sur le CMS. JobServerChild.exe est
automatiquement effacé de la mémoire.
80
2011-05-06
Architecture
18. Le CMS met à jour le statut des travaux dans sa mémoire, puis il écrit les informations sur l'instance
dans la base de données système du CMS.
2.5.2.3 Exécution d'un rapport SAP Crystal planifié
Ce workflow décrit le processus d'un rapport SAP Crystal planifié exécuté à une heure planifiée.
1. Le CMS (Central Management Server) vérifie la base de données système du CMS pour déterminer
si une planification de rapport SAP Crystal doit être exécutée à ce moment.
2. A l'heure du travail planifié, le CMS recherche un Crystal Reports Job Server disponible en fonction
de la valeur "Nombre maximal de travaux autorisés" définie sur chaque Crystal Reports Job Server.
Le CMS envoie les informations sur le travail au Crystal Reports Job Server. Ces informations
comprennent l'ID de rapport, le format, la destination, les informations de connexion, les paramètres
et les formules de sélection.
3. Crystal Reports Job Server communique avec l'Input File Repository Server (FRS) pour obtenir un
exemple de rapport suivant l'ID de rapport demandé.
4. Le Crystal Reports Job Server lance le processus JobChildserver.
5. Le processus enfant (JobChildserver) lance ProcReport.dll après avoir reçu le modèle de l'Input File
Repository Server par le biais de l'infrastructure de BusinessObjects Enterprise. ProcReport.dll
contient tous les paramètres que le CMS a transmis au Crystal Reports Job Server.
6. ProcReport.dll lance Crpe32.dll qui traite le rapport sur la base de tous les paramètres ayant été
transmis.
7. Pendant le traitement, les enregistrements sont extraits d'un serveur de base de données tel que
défini dans un rapport.
8. Le Crystal Reports Job Server met régulièrement à jour le statut des travaux sur le CMS. A ce stade,
le statut indique que le rapport est en cours de traitement.
9. Une fois que le rapport est compilé dans la mémoire du serveur Crystal Reports Job Server, il doit
être exporté dans un autre format, par exemple PDF (Portable Document Format). Lors de
l'exportation au format PDF, le fichier .ddl est utilisé.
10. Le rapport contenant les données enregistrées doit également être soumis à l'emplacement par
défaut. Il est ensuite envoyé à l'Output FRS.
11. A la fin de ce processus, le Crystal Reports Job Server met à jour le statut des travaux sur le CMS.
A ce stade, le statut indique que le processus s'est déroulé correctement.
12. Le CMS met à jour le statut des travaux dans sa mémoire, puis il écrit les informations sur l'instance
dans la base de données système du CMS.
2.5.2.4 Planification d'un document SAP BusinessObjects Web Intelligence
Ce workflow décrit le processus de planification par un utilisateur d'un document SAP BusinessObjects
Web Intelligence à exécuter ultérieurement.
81
2011-05-06
Architecture
1. L'utilisateur définit une planification d'un document, puis la requête est envoyée au serveur Web.
Le serveur Web transmet la requête de planification du document au serveur d'applications Web.
2. Le serveur d'applications Web transmet la requête de planification du document au CMS.
3. Le CMS détermine si l'utilisateur possède les droits requis pour planifier le document.
4. Une instance du document de SAP BusinessObjects Web Intelligence est créée dans le CMS qui
contient toutes les informations de planification pertinentes.
5. Le cas échéant, l'utilisateur définit ensuite les différents paramètres de planification.
6. Le CMS envoie la requête d'objet planifié à la base de données système.
2.5.2.5 Exécution d'un document planifié SAP BusinessObjects Web Intelligence,
édition OLAP
Ce workflow décrit le processus d'un document planifié SAP BusinessObjects Web Intelligence exécuté
à une heure planifiée.
1. Le CMS (Central Management Server) vérifie la base de données système du CMS pour déterminer
si une planification SAP BusinessObjects Web Intelligence doit être exécutée.
2. A l'heure planifiée, le CMS envoie la requête de planification et toutes les informations la concernant
à l'Adaptive Job Server qui héberge le service de planification et de publication de SAP
BusinessObjects Web Intelligence.
3. L'Adaptive Job Server (service de planification et de publication Web Intelligence) recherche un
serveur de traitement Web Intelligence disponible, en fonction de la valeur Nombre maximal de
travaux autorisés configurée sur chaque serveur de traitement de SAP BusinessObjects Web
Intelligence.
4. Le serveur de traitement de SAP BusinessObjects Web Intelligence détermine l'emplacement de
l'Input File Repository Server (FRS) qui héberge le document et le fichier métacouche d'univers sur
lequel ce document est basé. Le serveur de traitement de SAP BusinessObjects Web Intelligence
demande ensuite le document à l'Input File Repository Server. L'Input File Repository Server
recherche le document de SAP BusinessObjects Web Intelligence, ainsi que le fichier d'univers sur
lequel ce document est basé et les transmet au serveur de traitement de SAP BusinessObjects
Web Intelligence.
5. Le document de SAP BusinessObjects Web Intelligence est placé dans un répertoire temporaire
sur le serveur de traitement de SAP BusinessObjects Web Intelligence. Le serveur de traitement
de SAP BusinessObjects Web Intelligence ouvre le document en mémoire. QT.dll génère le code
SQL à partir de l'univers sur lequel est basé le document. Le Connection Server (composant du
serveur de traitement de SAP BusinessObjects Web Intelligence) se connecte à la base de données.
Les données de la requête sont renvoyées au moteur de documents, via QT.dll, où a lieu le traitement
du document. Une nouvelle instance réussie est créée.
6. Le serveur de traitement de SAP BusinessObjects Web Intelligence télécharge l'instance du document
sur l'Output File Repository Server.
7. Le serveur de traitement de SAP BusinessObjects Web Intelligence informe l'Adaptive Job Server
(service de planification et de publication de SAP BusinessObjects Web Intelligence) que la création
du document est terminée. Si le document est planifié pour une destination spécifique (système de
82
2011-05-06
Architecture
fichiers, FTP, SMTP ou boîte de réception), l'Adaptive Job Server extrait le document traité de
l'Output File Repository Server et l'envoie à chaque destination spécifiée. Cela n'est pas le cas dans
cet exemple.
8. L'Adaptive Job Server (service de planification et de publication Web Intelligence) met à jour le statut
des travaux sur le CMS.
9. Le CMS met à jour le statut des travaux dans sa mémoire, puis il écrit les informations sur l'instance
dans la base de données système du CMS.
2.5.2.6 Planification d'un objet
Ce workflow décrit le processus de planification par un utilisateur d'un objet à exécuter.
1. L'utilisateur planifie un objet et la requête est envoyée au serveur Web.
2. Le serveur Web transmet la requête de planification de l'objet au serveur d'applications Web.
3. Le serveur d'applications Web transmet la requête au CMS (Central Management Server).
4. Le CMS détermine si l'utilisateur possède les droits requis pour planifier l'objet.
5. Le cas échéant, le CMS valide la requête de planification de l'objet dans la base de données système
du CMS.
6. A l'heure planifiée, le CMS recherche un Program Job Server disponible en fonction de la valeur
Nombre maximal de travaux autorisés configurée sur chaque Program Job Server.
7. Le CMS envoie les informations sur le travail au Program Job Server.
8. Le Program Job Server communique avec l'Input File Repository Server pour lui demander l'objet
programme.
9. L'Input File Repository Server renvoie l'objet programme au Program Job Server.
10. Le Program Job Server lance l'objet planifié.
11. Le Program Job Server met régulièrement à jour le statut des travaux sur le CMS. A ce stade, le
statut indique que le programme est en cours de traitement.
12. Le Program Job Server envoie un fichier journal à l'Output File Repository Server.
13. L'Output File Repository Server notifie le Program Job Server que l'objet a été planifié en lui envoyant
un fichier journal de l'objet.
14. Le Program Job Server met à jour le statut des travaux sur le CMS.
15. Le CMS met à jour le statut des travaux dans sa mémoire, puis il écrit les informations sur l'instance
de l'objet dans la base de données système du CMS.
2.5.2.7 Planification d'un objet pour exécution immédiate
Ce workflow décrit le processus de planification par un utilisateur d'un objet à exécuter immédiatement.
1. L'utilisateur planifie un objet et la requête est envoyée au serveur Web.
83
2011-05-06
Architecture
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
Le serveur Web transmet la requête de planification de l'objet au serveur d'applications Web.
Le serveur d'applications Web transmet la requête au CMS (Central Management Server).
Le CMS détermine si l'utilisateur possède les droits requis pour planifier l'objet.
Le cas échéant, le CMS valide la requête de planification de l'objet dans la base de données système
du CMS.
A l'heure planifiée, le CMS recherche un Program Job Server disponible en fonction de la valeur
"Nombre maximal de travaux autorisés" configurée sur chaque Program Job Server.
Le CMS envoie les informations sur le travail au Program Job Server.
Le Program Job Server communique avec l'Input File Repository Server pour lui demander l'objet
programme.
L'Input File Repository Server renvoie l'objet programme au Program Job Server.
Le Program Job Server lance l'objet planifié.
Le Program Job Server met régulièrement à jour le statut des travaux sur le CMS. A ce stade, le
statut indique que le programme est en cours de traitement.
Le Program Job Server envoie un fichier journal à l'Output File Repository Server.
L'Output File Repository Server notifie le Program Job Server que l'objet a été planifié en lui envoyant
un fichier journal de l'objet.
Le Program Job Server met à jour le statut des travaux sur le CMS.
Le CMS met à jour le statut des travaux dans sa mémoire, puis il écrit les informations sur l'instance
de l'objet dans la base de données système du CMS.
2.5.3 Visualisation
2.5.3.1 Visualisation d'un rapport SAP Crystal
Ce workflow décrit le processus de requête par un utilisateur à une page de rapport SAP Crystal lorsque
le rapport ne se trouve pas déjà sur un Cache Server.
1. L'utilisateur envoie la requête de visualisation au serveur d'applications Web, via le serveur Web.
2. Le serveur d'applications Web interprète la requête et détermine qu'il s'agit d'une requête pour
visualiser une page de rapport. Le serveur d'applications Web consulte le CMS (Central Management
Server) pour vérifier que l'utilisateur a les droits appropriés pour visualiser le rapport.
3. Le CMS détermine si l'utilisateur possède les droits requis pour visualiser le rapport.
4. Le CMS envoie une réponse au serveur d'applications Web pour confirmer que l'utilisateur a les
droits suffisants pour visualiser le rapport.
5. Le serveur d'applications Web envoie une requête au Crystal Reports Cache Server pour obtenir
la page de rapport demandée.
84
2011-05-06
Architecture
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
Le Crystal Reports Cache Server détermine si le fichier demandé existe dans le répertoire cache.
Le fichier EPF demandé n'existe pas dans le répertoire cache.
Le Crystal Reports Cache Server envoie la requête au Crystal Reports Page Server.
Le Crystal Reports Page Server envoie une requête à l'Output File Repository Server (FRS) pour
obtenir l'instance de rapport demandée.
L'Output File Repository Server envoie l'instance de rapport demandée au Crystal Reports Page
Server.
Le Crystal Reports Page Server ouvre l'instance de rapport et vérifie si le rapport contient des
données.
Le Crystal Reports Page Server détermine que le rapport contient des données, puis il crée le fichier
pour la page de rapport demandée sans se connecter à la base de données de production.
Le Crystal Reports Page Server envoie le fichier EPF au Crystal Reports Cache Server.
Le Crystal Reports Cache Server enregistre le fichier EPF dans le répertoire cache.
Le Crystal Reports Cache Server envoie la page demandée au serveur d'applications Web.
Le serveur d'applications Web transfère le fichier au serveur Web.
Le serveur Web envoie la page demandée au visualiseur de rapport.
2.5.3.2 Visualisation d'un rapport SAP Crystal mis en cache
Ce workflow décrit le processus de requête par un utilisateur à une page de rapport SAP Crystal lorsque
le rapport se trouve déjà sur un Cache Server.
1. Un client Web envoie une requête de visualisation dans une URL au serveur d'applications Web.
2. Le serveur d'applications Web interprète la requête et détermine qu'il s'agit d'une requête pour
visualiser la première page d'une instance de rapport sélectionnée. Le serveur d'applications Web
envoie une requête au CMS (Central Management Server) pour vérifier que l'utilisateur a les droits
appropriés pour visualiser l'instance.
3. Le CMS vérifie les droits de l'utilisateur dans la base de données système du CMS.
4. Le CMS envoie une réponse au serveur d'applications Web pour confirmer que l'utilisateur a les
droits suffisants pour visualiser l'instance.
5. Le serveur d'applications Web envoie une requête au Crystal Reports Cache Server pour lui demander
la première page de l'instance de rapport. Le Crystal Reports Cache Server vérifie si la page existe
déjà. Si la page existe, le Crystal Reports Cache Server renvoie la page au serveur d'applications
Web.
6. Le serveur d'applications Web envoie la page au client Web, où elle s'affiche.
2.5.3.3 Visualisation d'un espace de travail SAP Analysis, édition pour OLAP
85
2011-05-06
Architecture
Ce workflow décrit le processus de requête par un utilisateur d'un espace de travail SAP Analysis,
édition pour OLAP (anciennement Voyager).
1. Le client Web envoie une requête de visualisation d'un nouvel espace de travail au serveur
d'applications Web, via le serveur Web. Le client Web communique avec le serveur d'applications
Web en utilisant la technologie DHTML AJAX (Asynchronous JavaScript and XML). La technologie
AJAX permet la mise à jour partielle d'une page, ce qui évite l'affichage d'une nouvelle page à
chaque nouvelle requête.
2. Le serveur d'applications Web traduit la requête et l'envoie ensuite au CMS (Central Management
Server) pour déterminer si un utilisateur a les droits requis pour visualiser ou créer un espace de
travail.
3. Le CMS extrait les références de connexion de l'utilisateur de la base de données système du CMS.
4. Si l'utilisateur est autorisé à visualiser ou créer un espace de travail, le CMS le confirme au serveur
d'applications Web. En même temps, il envoie aussi une liste de tous les Multi-Dimensional Analysis
Services (MDAS) disponibles.
5. Le serveur d'applications Web choisit un MDAS dans la liste des services disponibles, puis envoie
à ce service une requête CORBA pour trouver le(s) serveur(s) OLAP approprié(s) pour créer un
espace de travail ou actualiser un espace de travail existant.
6. Le MDAS doit communiquer avec l'Input File Repository Server (FRS) pour extraire le document
de l'espace de travail approprié qui contient les informations relatives à la base de données OLAP
sous-jacente, ainsi qu'une requête OLAP initiale ayant été enregistrée avec lui. L'Input File Repository
Server extrait l'espace de travail Advanced Analysis approprié du répertoire sous-jacent et le transmet
au serveur MDAS.
7. Le MDAS ouvre l'espace de travail, formule une requête et envoie cette requête au serveur de base
de données OLAP. Le MDAS doit utiliser un client de base de données OLAP approprié et configuré
pour la source de données OLAP. La requête du client Web doit être traduite en requête OLAP
appropriée. Le serveur de base de données OLAP renvoie le résultat de la requête au MDAS.
8. Le MDAS, en fonction du type de la requête (requête de création, de visualisation, d'impression ou
d'exportation), affiche un aperçu du résultat afin de permettre au serveur Java WAS de terminer
l'affichage plus rapidement. Le MDAS renvoie les packages XML du résultat affiché au serveur
d'applications Web.
9. Le serveur d'applications Web affiche l'espace de travail et envoie la page mise en forme ou une
partie de celle-ci au client Web, via le serveur Web. Le client Web affiche la page mise à jour ou la
nouvelle page demandée. Cette solution sans client ne nécessite aucun téléchargement de
composants Java ou ActiveX.
2.5.4 A la demande
2.5.4.1 Visualisation d'un rapport SAP Crystal à la demande
86
2011-05-06
Architecture
Ce workflow décrit le processus de requête par un utilisateur d'une page de rapport SAP Crystal à la
demande.
1. Le client Web envoie la requête de visualisation sur demande dans une URL au serveur d'applications
Web, généralement via le serveur Web.
2. Le serveur d'applications Web interprète la page demandée et les valeurs transmises dans la requête
URL et détermine qu'il s'agit d'une requête pour visualiser la première page de l'objet rapport
sélectionné.
3. Le serveur d'applications Web envoie une requête au CMS (Central Management Server) pour
vérifier que l'utilisateur a les droits appropriés pour visualiser l'objet. Le CMS vérifie les droits de
l'utilisateur dans la base de données système du CMS.
4. Le CMS envoie une réponse au serveur d'applications Web pour confirmer que l'utilisateur a les
droits suffisants pour visualiser l'objet.
5. Le serveur d'applications Web envoie une requête au Crystal Reports Cache Server pour lui demander
la première page de l'objet rapport.
6. Le Crystal Reports Cache Server vérifie si la page existe déjà. A moins que le rapport ne réponde
aux exigences requises pour le partage de rapport à la demande (dans un délai défini par rapport
à une autre requête à la demande, connexion à la base de données et paramètres), le Crystal
Reports Cache Server envoie une requête au Crystal Reports Processing Server pour générer la
page.
7. Le Crystal Reports Processing Server demande l'objet rapport à l'Input File Repository Server.
L'Input File Repository Server transmet une copie de l'objet au Crystal Reports Processing Server.
Le Crystal Reports Processing Server ouvre le rapport en mémoire et vérifie s'il contient des données.
8. Dans la mesure où un objet rapport ne contient pas de données, le Crystal Reports Processing
Server doit se connecter à la base de données pour demander des données.
9. Le Crystal Reports Processing Server envoie la page au Crystal Reports Cache Server. Le Crystal
Reports Cache Server enregistre une copie de la page dans son répertoire cache pour les requêtes
de visualisation ultérieures.
10. Le Crystal Reports Cache Server envoie la page au serveur d'applications Web.
11. Le serveur d'applications Web envoie la page .epf au serveur Web. Le serveur Web envoie la page
à l'ordinateur de l'utilisateur, où elle s'affiche dans le visualiseur dans le client Web.
2.5.4.2 Visualisation d'un document SAP BusinessObjects Web Intelligence sur
demande
Ce workflow décrit le processus de visualisation d'un document SAP BusinessObjects Web Intelligence
sur demande.
1. Un navigateur Web envoie la demande de visualisation au serveur d'applications Web, via le serveur
Web.
2. Le serveur d'applications Web détermine qu'il s'agit d'une requête de document Web Intelligence,
puis envoie une requête au CMS (Central Management Server) pour vérifier que l'utilisateur possède
les droits requis pour visualiser le document.
87
2011-05-06
Architecture
3. Le CMS envoie une réponse au serveur d'applications Web pour confirmer que l'utilisateur a les
droits suffisants pour visualiser le document.
4. Le serveur d'applications Web envoie une requête au Web Intelligence Processing Server pour
obtenir le document.
5. Le Web Intelligence Processing Server demande à l'Input File Repository Server le document, ainsi
que le fichier d'univers sur lequel le document demandé est basé. Le fichier d'univers contient des
informations sur la métacouche, notamment les droits sur les lignes et les colonnes.
6. L'Input File Repository Server transmet au serveur de traitement de Web Intelligence une copie du
document, ainsi que le fichier d'univers sur lequel le document demandé est basé.
7. Le moteur de rapport Web Intelligence ouvre le document en mémoire.
8. Le moteur de rapport Web Intelligence utilise le composant QT (en cours de processus) et Connection
Server (en cours de processus). Le composant QT génère/valide/regénère le code SQL et se
connecte à la base de données pour exécuter la requête. Le Connection Server utilise le code SQL
pour extraire les données de la base de données et les envoyer au moteur de rapport, où a lieu le
traitement du document.
9. Le Web Intelligence Processing Server envoie la page de document à visualiser demandée au
serveur d'applications Web. Le serveur d'applications Web transfère cette page à visualiser au
serveur Web. Le serveur Web envoie la page à visualiser à l'ordinateur de l'utilisateur, où elle s'affiche
dans un navigateur Web.
2.5.4.3 Visualisation d'un rapport SAP Crystal à la demande lorsque Web Java
est le format de visualisation par défaut
Ce workflow décrit le processus de visualisation par un utilisateur d'un rapport SAP Crystal lorsque
Web Java est le format de visualisation par défaut.
1. Le client Web envoie la requête de visualisation à la demande au serveur d'applications Web, via
le serveur Web.
2. Le serveur d'applications Web interprète la page demandée et les valeurs transmises dans la requête
URL et détermine qu'il s'agit d'une requête pour visualiser la première page de l'objet rapport
sélectionné.
3. Le serveur d'applications Web envoie une requête au CMS (Central Management Server) pour
vérifier que l'utilisateur a les droits appropriés pour visualiser l'objet. Le CMS vérifie les droits de
l'utilisateur dans la base de données système du CMS.
4. Le CMS envoie une réponse au serveur d'applications Web pour confirmer que l'utilisateur a les
droits suffisants pour visualiser l'objet.
5. Le serveur d'applications Web envoie une requête au Crystal Reports Cache Server pour lui demander
la première page de l'objet rapport.
6. Le Crystal Reports Cache Server vérifie si la page existe déjà. A moins que le rapport ne réponde
aux exigences requises pour le partage de rapport à la demande (dans un délai défini par rapport
à une autre requête à la demande, connexion à la base de données et paramètres), le Crystal
Reports Cache Server envoie une requête au Crystal Reports Processing Server pour générer la
page.
88
2011-05-06
Architecture
7. Le Crystal Reports Processing Server demande l'objet rapport à l'Input File Repository Server.
L'Input File Repository Server transmet une copie de l'objet au Crystal Reports Processing Server.
Le Crystal Reports Processing Server ouvre le rapport en mémoire et vérifie s'il contient des données.
8. Dans la mesure où un objet rapport ne contient pas de données, le Crystal Reports Processing
Server doit se connecter à la base de données pour demander des données.
9. Le Crystal Reports Processing Server envoie la page .epf au Crystal Reports Cache Server. Le
Crystal Reports Cache Server enregistre une copie de la page .epf dans son répertoire cache pour
les requêtes de visualisation ultérieures. A ce stade, une page .etf peut également être générée et
envoyée au Crystal Reports Cache Server. La page .etf (volet de navigation gauche dans
l'arborescence des groupes du rapport) est générée lorsque la première page du rapport est générée
et le rapport groupé. Un rapport ne contient qu'une seule page .etf, mais celle-ci peut être de grande
taille.
10. Le Crystal Reports Cache Server envoie la page .epf au serveur d'applications Web.
11. Le serveur d'applications Web envoie la page .epf au serveur Web. Le serveur Web envoie la
page .epf à l'ordinateur de l'utilisateur, où elle s'affiche dans le visualiseur dans le client Web.
89
2011-05-06
Architecture
90
2011-05-06
Gestion des licences
Gestion des licences
3.1 Gestion des clés de licence
Cette section explique comment gérer les clés de licence pour votre déploiement de la plateforme de
BI.
Rubriques associées
• Pour afficher les informations de licence
• Pour ajouter une clé de licence
• Pour visualiser l'activité du compte actuel
3.1.1 Pour afficher les informations de licence
La zone Clés de licence de la CMC identifie le nombre de licences basées sur des rôles (Visualiseur
BI et Analyste BI), d'accès simultanés, d'utilisateurs nommés et de processeurs associées à chaque
clé.
1. Accédez à la zone de gestion Clés de licence de la CMC.
2. Sélectionnez une clé de licence.
Les détails associés à la clé figurent dans la zone Informations sur la clé de licence. Pour acquérir
des clés de licence supplémentaires, contactez votre représentant commercial SAP.
Rubriques associées
• Gestion des clés de licence
• Pour ajouter une clé de licence
• Pour visualiser l'activité du compte actuel
3.1.2 Pour ajouter une clé de licence
91
2011-05-06
Gestion des licences
Si vous effectuez une mise à niveau à partir d'une version d'essai du produit, vérifiez que vous supprimez
la clé Evaluation avant de procéder à l'ajout de nouvelles clés de licence ou de codes clé d'activation
de produit.
1. Accédez à la zone de gestion Clés de licence de la CMC.
2. Saisissez la clé dans le champ Ajouter une clé.
3. Cliquez sur Ajouter.
La clé est ajoutée à la liste.
Rubriques associées
• Pour afficher les informations de licence
• Pour visualiser l'activité du compte actuel
3.1.3 Pour visualiser l'activité du compte actuel
1. Accédez à la zone de gestion Paramètres de la CMC.
2. Cliquez sur Afficher les métriques système globales.
Cette section affiche l'utilisation de la licence actuelle ainsi que des performances supplémentaires.
Rubriques associées
• Gestion des clés de licence
• Pour ajouter une clé de licence
• Pour afficher les informations de licence
3.2 Mesure des licences
Le BOLMT (BusinessObjects License Measurement Tool) est un utilitaire de ligne de commande Java
qui permet de recueillir et de stocker les données de licence de la plateforme de BI. Le document XML
de sortie, qui contient des mesures de déploiement de licences, est envoyé vers les services GLAS
(Global License Auditing Services) de SAP à des fins de consolidation dans le cadre de l'audit de
licences.
L'administrateur système installe et exécute le BOLMT pour chaque cluster de la plateforme de BI à
chaque fois qu'un audit de licences est demandé. BOLMT recueille les mesures d'utilisation des licences
basées sur les rôles, des licences Nommées et Utilisateur simultané.
92
2011-05-06
Gestion des licences
L'administrateur peut indiquer un répertoire de sortie spécifique pour le document XML et configurer
le document de sortie de manière à ce qu'il ne contienne aucune information susceptible de permettre
d'identifier les utilisateurs système.
3.2.1 Exécution d'un audit de licences
Pour effectuer un audit de licences, vous devez disposer des droits d'administrateur et d'un accès au
répertoire contenant le fichier BOLMT.jar dans l'installation de la plateforme de BI.
1. Ouvrez une console de ligne de commande.
2. Accédez au répertoire contenant les exécutables Java de votre installation de la plateforme de BI
Par défaut, le fichier est installé dans le répertoire suivant :[REPINSTALL]\SAP BusinessObjects
Enterprise XI 4.0\java\lib
3. Exécutez le fichier BOLMT.jar.
La commande d'exécution est entrée au format suivant : -jar BOLMT.jar [options] <outputFile>
Le tableau ci-dessous résume les options disponibles :
Option
Description
-c --cms
Spécifie l'identificateur de nom et le numéro de port utilisé pour le Central Management Server (CMS). Indiqué sous la forme nom du cms:numéro de
port. Par défaut, les paramètres du CMS pour l'hôte local sont utilisés si ce
paramètre n'est pas spécifié.
-p --password
Spécifie le mot de passe utilisé par le compte administrateur pour se connecter
au CMS.
-a--auth
Spécifie la méthode d'authentification utilisée pour établir la connexion entre
l'utilisateur et le CMS. La méthode par défaut est Entreprise spécifiée sous la
forme secEnterprise.
-s--sanitize
Spécifie que le document d'audit de sortie doit filtrer toute information personnelle susceptible de permettre d'identifier les utilisateurs.
Remarque :
La spécification du fichier de sortie constitue toujours le dernier argument de la ligne de commande.
Ce paramètre est facultatif. Si aucun argument n'est spécifié, la sortie standard de la console est
utilisée. Vous pouvez également acheminer la sortie vers le script en tant qu'argument de ligne de
commande.
Exemple :
C:\Program Files (x86)\SAP
Business Objects\SAP BusinessObjects Enterprise XI 4. 0\java\lib>"C:\Program Files
(x86)\SAP Business Objects\SAP BusinessObjects Enterprise XI 4.0\win64_x64\sapjvm\bin
\java.exe" -jar BOLMT.jar --cms=mycms:6400 -uAdministrator
-p=7juujg --auth=secEnterprise --sanitize audit.xml
93
2011-05-06
Gestion des licences
94
2011-05-06
Gestion des utilisateurs et des groupes
Gestion des utilisateurs et des groupes
4.1 Présentation de la gestion des comptes
La gestion des comptes concerne toutes les tâches relatives à la création, au mappage, à la modification
et à l'organisation des informations concernant les utilisateurs et les groupes. La zone de gestion
"Utilisateurs et groupes" de la CMC (Central Management Console) fournit un emplacement central
pour exécuter ces tâches.
Une fois les comptes d'utilisateur et les groupes créés, vous pouvez ajouter des objets et définir les
droits correspondants. Lorsque les utilisateurs se connectent, ils peuvent visualiser les objets à l'aide
de la zone de lancement BI ou de leur application Web personnalisée.
4.1.1 Gestion des utilisateurs
Dans la zone de gestion des "Utilisateurs et groupes", vous pouvez saisir toutes les informations
requises pour accéder à la plateforme de BI. Vous pouvez également visualiser les deux comptes
d'utilisateur par défaut résumés dans le tableau “Comptes d'utilisateur par défaut”.
Tableau 4-1 : Comptes d'utilisateur par défaut
95
Nom du compte
Description
Administrateur
Cet utilisateur appartient aux groupes Adminis
trateurs et Tout le monde. Un administrateur
peut exécuter toutes les tâches dans toutes les
applications de la plateforme de BI (telles que la
CMC, le CCM, l'Assistant de publication et la
Zone de lancement BI).
Guest
Cet utilisateur appartient au groupe Tout le monde. Ce compte est activé par défaut et aucun
mot de passe ne lui est affecté par le système.
Si vous lui en affectez un, la connexion unique à
la zone de lancement BI est rompue.
2011-05-06
Gestion des utilisateurs et des groupes
Nom du compte
Description
SMAdmin
Il s'agit d'un compte en lecture seule utilisé par
SAP Solution Manager pour accéder aux composants de la plateforme de BI.
4.1.1.1 Licences basées sur les rôles
Dans le cadre des licences basées sur les rôles utilisateur, deux rôles peuvent être affectés aux
utilisateurs de la plateforme de BI :
•
•
Analyste BI
Visualiseur BI
Chaque rôle est fourni avec des niveaux d'accès spécifiques aux applications de la plateforme de BI.
Vous ne pouvez pas modifier ou remplacer le niveau d'accès des deux rôles utilisateur. Les rôles
utilisateur s'appliquent aux comptes utilisateur créés sur la plateforme de BI ou aux utilisateurs existants
importés de services de répertoires tiers comme Windows AD ou LDAP.
Remarque :
Les rôles utilisateur ne doivent pas être confondus avec l'appartenance à un groupe. Lorsque vous
affectez à un utilisateur un des deux rôles disponibles, des droits prédéfinis sur les applications lui sont
automatiquement affectés. Pour associer un utilisateur à des niveaux spécifiques d'accès de groupe,
l'utilisateur doit être ajouté au groupe adéquat.
Cliquez sur Clé de licence dans la CMC pour en savoir plus sur votre schéma de licences ou contactez
votre gestionnaire de compte SAP Business Objects pour en savoir plus sur les droits d'accès de
chaque rôle utilisateur.
4.1.1.1.1 Rôle de l'analyste BI
Le rôle de l'analyste BI est conçu pour les utilisateurs qui créent du contenu dans le système de la
plateforme de BI. Le rôle d'analyste BI doit être affecté aux utilisateurs qui modifient ou créent des
rapports, conçoivent et gèrent des univers ou effectuent des tâches administratives dans la CMC.
4.1.1.1.2 Rôle Visualiseur BI
Le rôle Visualiseur BI est conçu principalement pour les utilisateurs de contenu. Ces utilisateurs
visualisent uniquement les rapports sans en modifier le contenu.
Le système empêche les utilisateurs affectés au rôle Visualiseur BI de créer du contenu, modifier des
rapports et d'accomplir les tâches administratives générales dans le système. Le rôle Visualiseur BI
ne doit pas être affecté aux utilisateurs qui ont besoin de :
• Créer des rapports
• Mettre à jour ou modifier des rapports
96
2011-05-06
Gestion des utilisateurs et des groupes
•
Accomplir des tâches administratives à l'aide de la CMC
Remarque :
Les utilisateurs Visualiseur BI ne peuvent pas accéder à la CMC.
4.1.2 Gestion des groupes
Les groupes sont des rassemblements d'utilisateurs qui partagent les mêmes droits de compte. Vous
pouvez par conséquent créer des groupes par service, rôle ou emplacement. Les groupes vous
permettent de modifier les droits des utilisateurs dans un seul endroit (un groupe), au lieu de modifier
individuellement les droits de chaque compte d'utilisateur. Vous pouvez également affecter des droits
d'accès aux objets à un ou plusieurs groupes.
Dans la zone "Utilisateurs et groupes", vous pouvez créer des groupes donnant à plusieurs personnes
le droit d'accéder au rapport ou au dossier approprié. Cela vous permet ainsi de modifier un seul compte
d'utilisateur au lieu de la totalité. Vous pouvez également visualiser les divers comptes de groupe par
défaut résumés dans le tableau “Comptes de groupe par défaut”.
Pour visualiser les groupes disponibles dans la CMC, cliquez sur Liste des groupes dans le panneau
Arborescence. Vous pouvez également cliquer sur Hiérarchie de groupe pour afficher une liste
hiérarchique de tous les groupes disponibles.
Tableau 4-2 : Comptes de groupe par défaut
97
Nom du compte
Description
Administrateurs
Les membres de ce groupe peuvent effectuer
toutes les tâches dans toutes les applications de
la plateforme de BI (CMC, CCM, Assistant de
publication et Zone de lancement BI). Par défaut,
le groupe Administrateurs contient uniquement
l'utilisateur Administrator.
Tout le monde
Chaque utilisateur appartient au groupe Tout le
monde.
Concepteur de groupe QaaWS
Les membres de ce groupe ont accès à Query
as a Web Service.
Utilisateurs de l'outil de conversion de rapports
Les membres de ce groupe ont accès à l'application Outil de conversion de rapports.
2011-05-06
Gestion des utilisateurs et des groupes
Nom du compte
Description
Traducteurs
Les membres de ce groupe ont accès à l'application Gestionnaire de traduction.
Utilisateurs de Universe Designer
Les utilisateurs qui appartiennent à ce groupe disposent des droits d'accès aux dossiers Universe
Designer et Connexions. Ils peuvent contrôler
les droits d'accès à l'application Designer. Vous
devez ajouter des utilisateurs à ce groupe selon
vos besoins. Aucun utilisateur n'appartient à ce
groupe par défaut.
Rubriques associées
• Fonctionnement des droits sur la plateforme de BI
• Octroi d'un droit d'accès à des utilisateurs et à des groupes
4.1.3 Types d'authentification disponibles
Avant de configurer des comptes et des groupes d'utilisateurs sur la plateforme de BI, choisissez le
type d'authentification que vous souhaitez utiliser. Le tableau “Types d'authentification” résume les
options d'authentification qui peuvent être disponibles, en fonction des outils de sécurité utilisés par
votre organisation.
Tableau 4-3 : Types d'authentification
98
Type d'authentification
Description
Enterprise
Utilisez l'authentification système par défaut Enterprise si vous préférez créer des comptes et
des groupes distincts à utiliser sur la plateforme
de BI ou si vous n'avez pas encore défini de hiérarchie d'utilisateurs et de groupes sur un serveur
de répertoires LDAP ou un serveur Windows AD.
2011-05-06
Gestion des utilisateurs et des groupes
99
Type d'authentification
Description
LDAP
Si vous configurez un serveur de répertoires
LDAP, vous pouvez utiliser les comptes d'utilisateur et les groupes existants sur la plateforme de
BI. En mappant les comptes LDAP à la plateforme
de BI, les utilisateurs peuvent accéder aux applications de la plateforme de BI avec leur nom
d'utilisateur et leur mot de passe LDAP. Ainsi, il
est inutile de recréer des comptes d'utilisateur et
des groupes individuels sur la plateforme de BI.
Windows AD
Vous pouvez utiliser des comptes et des groupes
d'utilisateurs Windows AD existants sur la plateforme de BI. Le mappage de comptes AD à la
plateforme de BI permet aux utilisateurs de se
connecter aux applications de la plateforme de
BI au moyen de leur nom d'utilisateur et de leur
mot de passe AD. Ainsi, il est inutile de recréer
des comptes d'utilisateur et des groupes individuels sur la plateforme de BI.
SAP
Vous pouvez mapper des rôles SAP existants
dans les comptes de la plateforme de BI. Le
mappage de rôles SAP permet aux utilisateurs
de se connecter aux applications de la plateforme
de BI avec leurs références SAP. Ainsi, il est inutile de recréer des comptes d'utilisateur et des
groupes individuels sur la plateforme de BI.
Oracle EBS
Vous pouvez mapper des rôles Oracle EBS existants dans les comptes de la plateforme de BI.
Le mappage de rôles Oracle EBS permet aux
utilisateurs de se connecter aux applications de
la plateforme de BI avec leurs références Oracle
EBS. Ainsi, il est inutile de recréer des comptes
d'utilisateur et des groupes individuels sur la plateforme de BI.
Siebel
Vous pouvez mapper des rôles Siebel existants
dans les comptes de la plateforme de BI. Le
mappage de rôles Siebel permet aux utilisateurs
de se connecter aux applications de la plateforme
de BI avec leurs références Siebel. Ainsi, il est
inutile de recréer des comptes d'utilisateur et des
groupes individuels sur la plateforme de BI.
2011-05-06
Gestion des utilisateurs et des groupes
Type d'authentification
Description
PeopleSoft Enterprise
Vous pouvez mapper des rôles PeopleSoft existants dans les comptes de la plateforme de BI.
Le mappage de rôles PeopleSoft permet aux utilisateurs de se connecter aux applications de la
plateforme de BI avec leurs références PeopleSoft. Ainsi, il est inutile de recréer des comptes
d'utilisateur et des groupes individuels sur la plateforme de BI.
JD Edwards EnterpriseOne
Vous pouvez mapper des rôles JD Edwards existants dans les comptes de la plateforme de BI.
Le mappage de rôles JD Edwards permet aux
utilisateurs de se connecter aux applications de
la plateforme de BI avec leurs références JD Edwards. Ainsi, il est inutile de recréer des comptes
d'utilisateur et des groupes individuels sur la plateforme de BI.
4.2 Gestion des comptes Enterprise et des comptes généraux
L'authentification Enterprise étant l'authentification par défaut pour la plateforme de BI, elle est
automatiquement activée lorsque vous installez le système pour la première fois. Lorsque vous ajoutez
et gérez des utilisateurs et des groupes, la plateforme de BI conserve des informations relatives à
l'utilisateur et au groupe au sein de sa base de données.
Remarque :
Lorsqu'un utilisateur se déconnecte de sa session Web dans la plateforme de BI en naviguant vers
une page hors plateforme ou en fermant son navigateur Web, sa session Enterprise n'est pas
déconnectée et la licence est toujours utilisée. La session Enterprise expirera au bout de 24 heures
environ. Pour terminer la session Enterprise de l'utilisateur et libérer la licence pour d'autres utilisateurs,
l'utilisateur doit se déconnecter de la plateforme.
4.2.1 Pour créer un compte d'utilisateur
Lorsque vous créez un nouvel utilisateur, spécifiez ses propriétés et sélectionnez le ou les groupes
auxquels il doit appartenir.
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Cliquez sur Gérer > Nouveau > Nouvel utilisateur.
100
2011-05-06
Gestion des utilisateurs et des groupes
La boîte de dialogue "Nouvel utilisateur" s'affiche.
3. Création d'un utilisateur Enterprise
a. Sélectionnez Enterprise dans la liste Type d'authentification.
b. Saisissez le nom de compte, le nom complet, l'adresse électronique et une description.
Conseil :
Utilisez la zone de description pour inclure des informations supplémentaires sur l'utilisateur ou
le compte.
c. Définissez les informations concernant le mot de passe et les paramètres
4. Pour créer un utilisateur qui se connectera à l'aide d'un autre type d'authentification, sélectionnez
l'option appropriée dans la liste Type d'authentification et entrez le nom du compte.
5. Spécifiez comment désigner le compte utilisateur selon les options stipulées par votre contrat de
licence de plateforme SAP BusinessObjects de Business Intelligence.
Si votre contrat de licence est basé sur les rôles utilisateur, sélectionnez l'une des options suivantes :
• Visualiseur BI : L'accès aux applications de la plateforme de BI pour tous les comptes ayant le
rôle Visualiseur BI est défini dans le contrat de licence. L'accès utilisateur est limité aux workflows
d'application définis pour le rôle Visualiseur BI. Les droits d'accès sont généralement limités à
l'affichage des documents Business Intelligence. Ce rôle convient généralement aux utilisateurs
qui utilisent du contenu via les applications de la plateforme.
• Analyste BI : L'accès aux applications de la plateforme de BI pour tous les comptes ayant le
rôle Analyste BI est défini dans le contrat de licence. Les utilisateurs peuvent accéder à tous les
workflows d'application définis pour le rôle Analyste BI. Les droits d'accès incluent l'affichage et
la modification des documents Business Intelligence. Ce rôle convient généralement aux
utilisateurs qui créent et modifient le contenu pour les applications de la plateforme.
Si votre contrat de licence n'est pas basé sur les rôles utilisateur, spécifiez un type de connexion
pour le compte utilisateur.
• Choisissez l'option Utilisateur simultané si cet utilisateur relève d'un contrat de licence qui
indique le nombre d'utilisateurs autorisés à se connecter simultanément.
• Choisissez l'option Utilisateur nommé si cet utilisateur relève d'un contrat de licence qui associe
un utilisateur spécifique à une licence. Les licences Utilisateur nommé sont utiles pour les
personnes qui doivent accéder à la plateforme de BI, quel que soit le nombre d'utilisateurs
connectés à ce moment là.
6. Cliquez sur Créer et fermer.
L'utilisateur est ajouté au système, ainsi qu'au groupe Tout le monde automatiquement. Une boîte
de réception est automatiquement créée pour l'utilisateur, ainsi qu'un alias Enterprise. Vous pouvez
maintenant ajouter l'utilisateur à un groupe ou spécifier les droits de cet utilisateur.
Rubriques associées
• Fonctionnement des droits sur la plateforme de BI
• Licences basées sur les rôles
101
2011-05-06
Gestion des utilisateurs et des groupes
4.2.2 Pour modifier un compte d'utilisateur
Suivez cette procédure pour modifier les propriétés ou l'appartenance d'un utilisateur à un groupe.
Remarque :
L'utilisateur sera affecté s'il est connecté lorsque vous apportez la modification.
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Sélectionnez l'utilisateur dont vous souhaitez modifier les propriétés.
3. Cliquez sur Gérer > Propriétés.
La boîte de dialogue "Propriétés" correspondant à cet utilisateur s'affiche.
4. Modifiez les propriétés de l'utilisateur.
Outre les options disponibles au moment de la création du compte, vous pouvez maintenant
désactiver le compte en cochant la case Le compte est désactivé.
Remarque :
Les modifications apportées au compte d'utilisateur n'apparaissent qu'à la prochaine connexion de
l'utilisateur.
5. Cliquez sur Enregistrer et fermer.
Rubriques associées
• Pour créer un alias pour un utilisateur existant
4.2.3 Pour supprimer un compte d'utilisateur
Suivez cette procédure pour supprimer un compte d'utilisateur. L'utilisateur peut recevoir un message
d'erreur s'il est connecté lors de la suppression de son compte. Lorsque vous supprimez un compte
d'utilisateur, le dossier Favoris, les catégories personnelles et la boîte de réception de cet utilisateur
sont également supprimés.
Si vous pensez que l'utilisateur peut avoir besoin d'accéder à son compte ultérieurement, cochez la
case Le compte est désactivé dans la page "Propriétés" de l'utilisateur sélectionné, plutôt que de
supprimer le compte.
Remarque :
La suppression d'un compte utilisateur n'empêche pas nécessairement l'utilisateur de se reconnecter
à la plateforme de BI. Si le compte utilisateur existe également sur un système tiers et si le compte
appartient à un groupe tiers mappé à la plateforme de BI, il se peut que l'utilisateur puisse encore se
connecter.
102
2011-05-06
Gestion des utilisateurs et des groupes
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Sélectionnez l'utilisateur à supprimer.
3. Cliquez sur Gérer > Supprimer.
La boîte de dialogue de confirmation de la suppression apparaît.
4. Cliquez sur OK.
Le compte d'utilisateur est supprimé.
Rubriques associées
• Pour modifier un compte d'utilisateur
• Pour supprimer un compte d'utilisateur
• Pour désactiver un alias
4.2.4 Pour créer un groupe
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Cliquez sur Gérer > Nouveau > Nouveau groupe.
La boîte de dialogue "Créer un groupe d'utilisateurs" s'affiche.
3. Saisissez le nom et la description du groupe.
4. Cliquez sur OK.
Après avoir créé un nouveau groupe, vous pouvez ajouter des utilisateurs, des sous-groupes ou spécifier
une appartenance à un groupe de sorte que le nouveau groupe soit réellement un sous-groupe. Etant
donné qu'ils apportent des niveaux d'organisation supplémentaires, les sous-groupes sont utiles lorsque
vous définissez des droits d'accès aux objets en vue de contrôler l'accès des utilisateurs au contenu
de la plateforme de BI.
4.2.5 Pour modifier les propriétés d'un groupe
Vous pouvez modifier les propriétés d'un groupe en changeant des paramètres.
Remarque :
Les utilisateurs appartenant à ce groupe seront affectés par la modification à leur prochaine connexion.
1. Dans la zone de gestion "Utilisateurs et groupes" de la CMC, sélectionnez le groupe.
2. Cliquez sur Gérer > Propriétés.
La boîte de dialogue "Propriétés" s'affiche.
3. Modifiez les propriétés du groupe.
103
2011-05-06
Gestion des utilisateurs et des groupes
Cliquez sur les liens dans la liste de navigation pour accéder à différentes boîtes de dialogue et
modifier les propriétés correspondantes.
• Si vous souhaitez modifier le titre ou la description du groupe, cliquez sur Propriétés.
• Si vous souhaitez modifier les droits que les utilisateurs ou groupes principaux possèdent sur le
groupe, cliquez sur Sécurité de l'utilisateur.
• Si vous souhaitez modifier les valeurs de profil des membres de groupes, cliquez sur Valeurs
du profil.
• Si vous souhaitez ajouter le groupe en tant que sous-groupe à un autre groupe, cliquez sur
Membre de.
4. Cliquez sur Enregistrer.
4.2.6 Pour afficher les membres d'un groupe
Suivez cette procédure si vous voulez afficher les utilisateurs qui appartiennent à un groupe spécifique.
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Développez Hiérarchie de groupe dans le panneau Arborescence.
3. Sélectionnez le groupe dans le panneau Arborescence.
Remarque :
L'affichage de la liste peut prendre quelques minutes si le groupe contient un grand nombre
d'utilisateurs ou s'il est mappé à un répertoire tiers.
La liste des utilisateurs appartenant au groupe s'affiche.
4.2.7 Pour ajouter des sous-groupes
Vous pouvez ajouter un groupe à un autre groupe. Dans ce cas, le groupe ajouté devient un sous-groupe.
Remarque :
L'ajout d'un sous-groupe est similaire à la spécification d'une appartenance à un groupe.
1. Dans la zone de gestion "Utilisateurs et groupes" de la CMC, sélectionnez le groupe à ajouter en
tant que sous-groupe à un autre groupe.
2. Cliquez sur Actions > Joindre au groupe.
La boîte de dialogue "Joindre au groupe" apparaît.
3. Déplacez le groupe auquel vous souhaitez ajouter le premier groupe de la liste Groupes disponibles
vers la liste Groupe(s) de destination.
4. Cliquez sur OK.
104
2011-05-06
Gestion des utilisateurs et des groupes
Rubriques associées
• Pour définir l'appartenance à un groupe
4.2.8 Pour définir l'appartenance à un groupe
Un groupe peut devenir membre d'un autre groupe. Le groupe qui devient membre est appelé
sous-groupe. Le groupe auquel vous ajoutez le sous-groupe est le groupe parent. Les sous-groupes
héritent des droits du groupe parent.
1. Dans la zone de gestion "Utilisateurs et groupes" de la CMC, cliquez sur le groupe à ajouter à un
autre groupe.
2. Cliquez sur Actions > Membre de.
La boîte de dialogue "Membre de" s'affiche.
3. Cliquez sur Joindre au groupe.
La boîte de dialogue "Joindre au groupe" apparaît.
4. Déplacez le groupe auquel vous souhaitez ajouter le premier groupe de la liste Groupes disponibles
vers la liste Groupe(s) de destination.
Tout droit associé au groupe parent sera hérité par le nouveau groupe que vous avez créé.
5. Cliquez sur OK.
Vous revenez à la boîte de dialogue "Membre de" et le groupe parent apparaît dans la liste des
groupes parent.
4.2.9 Pour supprimer un groupe
Vous pouvez supprimer un groupe lorsque celui-ci ne vous est plus nécessaire. Vous ne pouvez pas
supprimer les groupes par défaut Administrateurs et Tout le monde.
Remarque :
•
•
Les utilisateurs appartenant au groupe supprimé seront affectés par la modification à leur prochaine
connexion.
Ils perdront tous les droits qu'ils ont hérités de ce groupe.
Pour supprimer un groupe d'authentification tiers, tel que le groupe Utilisateurs Windows AD, utilisez
la zone de gestion "Authentification" de la CMC.
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Sélectionnez le groupe à supprimer.
3. Cliquez sur Gérer > Supprimer.
105
2011-05-06
Gestion des utilisateurs et des groupes
La boîte de dialogue de confirmation de la suppression apparaît.
4. Cliquez sur OK.
Le groupe est supprimé.
4.2.10 Pour activer le compte Guest
Le compte Guest est désactivé par défaut pour garantir que personne ne puisse se connecter à la
plateforme de BI à l'aide de ce compte. Ce paramètre par défaut désactive également la fonction de
connexion unique anonyme de la plateforme de BI, ce qui empêche les utilisateurs d'accéder à la zone
de lancement BI sans fournir un nom d'utilisateur et un mot de passe valides.
Effectuez cette tâche si vous voulez activer le compte Guest afin que les utilisateurs n'aient pas besoin
de leur propre compte pour accéder à la zone de lancement BI.
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Cliquez sur Liste des utilisateurs dans le panneau Navigation.
3. Sélectionnez Guest.
4. Cliquez sur Gérer > Propriétés.
La boîte de dialogue "Propriétés" s'affiche.
5. Désactivez la case Le compte est désactivé.
6. Cliquez sur Enregistrer & Fermer.
4.2.11 Ajout d'utilisateurs à des groupes
Vous pouvez ajouter des utilisateurs à des groupes de la façon suivante :
•
•
Sélectionnez le groupe, puis cliquez sur Actions > Ajouter des membres au groupe.
Sélectionnez l'utilisateur, puis cliquez sur Actions > Membre de.
•
Sélectionnez l'utilisateur, puis cliquez sur Actions > Joindre au groupe.
Les procédures suivantes décrivent l'ajout d'utilisateurs à des groupes à l'aide de ces méthodes.
Rubriques associées
• Pour définir l'appartenance à un groupe
106
2011-05-06
Gestion des utilisateurs et des groupes
4.2.11.1 Pour ajouter un utilisateur à un ou plusieurs groupes
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Sélectionnez l'utilisateur que vous souhaitez ajouter à un groupe.
3. Cliquez sur Actions > Joindre au groupe.
Remarque :
Tous les utilisateurs de la plateforme de BI qui figurent dans le système appartiennent au groupe
Tout le monde.
La boîte de dialogue "Joindre au groupe" apparaît.
4. Déplacez le groupe auquel vous souhaitez ajouter l'utilisateur de la liste Groupes disponibles vers
la liste Groupe(s) de destination.
Conseil :
Utilisez la combinaison de touches MAJ + clic ou CTRL + clic pour sélectionner plusieurs groupes.
5. Cliquez sur OK.
4.2.11.2 Pour ajouter un ou plusieurs utilisateurs à un groupe
1. Dans la zone de gestion "Utilisateurs et groupes" de la CMC, sélectionnez le groupe.
2. Cliquez sur Actions > Ajouter des membres au groupe.
La boîte de dialogue "Ajouter" apparaît.
3. Cliquez sur Liste des utilisateurs.
La liste Utilisateurs/Groupes disponibles est actualisée et affiche tous les comptes utilisateur du
système.
4. Déplacez l'utilisateur que vous souhaitez ajouter au groupe de la liste Utilisateurs/Groupes
disponibles vers la liste Utilisateurs/Groupes sélectionnés.
Conseil :
•
•
•
Pour sélectionner plusieurs utilisateurs, utilisez la combinaison de touches MAJ + clic ou CTRL
+ clic.
Pour rechercher un utilisateur particulier, utilisez le champ Rechercher.
S'il existe plusieurs utilisateurs dans votre système, cliquez sur les boutons Précédente et Suivante
pour naviguer dans la liste des utilisateurs.
5. Cliquez sur OK.
107
2011-05-06
Gestion des utilisateurs et des groupes
4.2.12 Modification des paramètres de mot de passe
Dans la CMC, vous pouvez modifier les paramètres de mot de passe d'un utilisateur donné ou de tous
les utilisateurs du système. Les différentes restrictions énumérées ci-dessous s'appliquent uniquement
aux comptes Enterprise ; elles ne s'appliquent pas aux comptes que vous avez mappés à une base
de données d'utilisateurs externe (LDAP ou Windows AD). Toutefois, et de manière générale, votre
système externe vous permettra de placer des restrictions similaires sur les comptes externes.
4.2.12.1 Pour modifier les paramètres de mot de passe d'utilisateur
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Sélectionnez l'utilisateur dont vous voulez modifier les paramètres de mot de passe.
3. Cliquez sur Gérer > Propriétés.
La boîte de dialogue "Propriétés" s'affiche.
4. Cochez ou décochez la case associée au paramètre de mot de passe que vous voulez modifier.
Les options disponibles sont les suivantes :
•
•
•
Le mot de passe n'expire jamais
L'utilisateur doit modifier le mot de passe à la prochaine session
L'utilisateur ne peut pas modifier le mot de passe
5. Cliquez sur Enregistrer & Fermer.
4.2.12.2 Pour modifier les paramètres généraux de mot de passe
1. Accédez à la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur Enterprise.
La boîte de dialogue "Enterprise" s'affiche.
3. Activez la case à cocher pour chaque paramètre de mot de passe à utiliser et renseignez-la si
nécessaire.
Le tableau suivant identifie les valeurs minimales et maximales pour chacun des paramètres que
vous pouvez configurer.
108
2011-05-06
Gestion des utilisateurs et des groupes
Tableau 4-4 : Paramètres de mot de passe
Paramètre de mot de passe
Valeur minimale
Valeur maximale recommandée
Appliquer des mots de passe
à casse mixte
Sans objet
Sans objet
Doit comprendre N caractères au minimum
0 caractère
64 caractères
Doit changer de mot de passe tous les N jours
1 jour
100 jours
Les N derniers mots de passe ne peuvent être réutilisés
1 mot de passe
100 mots de passe
Le mot de passe peut être
modifié après N minute(s)
0 minute
100 minutes
Désactiver le compte après
N échecs de connexion
1 échec
100 échecs
Réinitialiser le nombre
d'échecs de connexion après
N minute(s)
1 minute
100 minutes
Réactiver le compte après
N minute(s)
0 minute
100 minutes
4. Cliquez sur Mettre à jour.
4.2.13 Octroi d'un droit d'accès à des utilisateurs et à des groupes
Vous pouvez accorder à des utilisateurs et à des groupes un accès administratif à d'autres utilisateurs
et groupes. Les droits d'administration incluent : affichage, modification et suppression d'objets ; affichage
et suppression d'instances d'objet ; suspension d'instances d'objet. Par exemple, pour le dépannage
109
2011-05-06
Gestion des utilisateurs et des groupes
et la maintenance du système, vous pouvez accorder au département informatique un accès permettant
de modifier et de supprimer des objets.
Rubriques associées
• Pour affecter des utilisateurs ou groupes principaux à une liste de contrôle d'accès d'un objet
4.2.14 Contrôle de l'accès aux boîtes de réception des utilisateurs
Lorsque vous ajoutez un utilisateur, le système crée automatiquement une boîte de réception pour cet
utilisateur. Cette boîte de réception porte le même nom que l'utilisateur. Par défaut, seuls l'utilisateur
et l'administrateur disposent des droits nécessaires pour y accéder.
Rubriques associées
• Planification d'un objet pour exécution immédiate
• Gestion des paramètres de sécurité des objets dans la CMC
4.2.15 Configuration des options de la zone de lancement BI
Les administrateurs peuvent configurer la manière dont les utilisateurs accèdent aux applications de
la zone de lancement BI. En configurant les propriétés dans le fichier BOE.war, vous pouvez spécifier
quelles informations sont disponibles dans l'écran de connexion de l'utilisateur. Vous pouvez également
utiliser la CMC pour définir les préférences de la zone de lancement BI pour certains groupes.
4.2.15.1 Configuration de l'écran de connexion à la zone de lancement BI
Par défaut, l'écran de connexion à la zone de lancement BI invite les utilisateurs à saisir leur nom
d'utilisateur et leur mot de passe. Vous pouvez faire en sorte que les utilisateurs soient également
invités à saisir le nom du CMS et le type d'authentification. Pour modifier ce paramètre, vous devez
modifier les propriétés de la zone de lancement BI pour le fichier BOE.war.
4.2.15.1.1 Pour configurer l'écran de connexion à la zone de lancement BI
Pour modifier les paramètres par défaut de la zone de lancement BI, vous devez définir des propriétés
de la zone de lancement BI personnalisées pour le fichier BOE.war. Ce fichier est déployé sur l'ordinateur
hébergeant le serveur d'applications Web.
110
2011-05-06
Gestion des utilisateurs et des groupes
1. Accédez au répertoire suivant de votre installation de la plateforme de BI :
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles\we
bapps\BOE\WEB-INF\config\custom\
Remarque :
Si vous utilisez la version Tomcat installée avec la plateforme de BI, vous pouvez également accéder
au répertoire suivant : C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\we
bapps\BOE\WEB-INF\config\custom
•
Si vous utilisez tout autre serveur d'applications Web pris en charge, consultez la documentation
de votre serveur d'applications Web pour déterminer le chemin approprié.
2. Créez un fichier.
Remarque :
Utilisez Notepad ou tout autre éditeur de texte.
3. Enregistrez le fichier sous le nom suivant .
BIlaunchpad.properties
4. Pour inclure les options d'authentification à l'écran de connexion à la zone de lancement BI, ajoutez
ceci :
authentication.visible=true
5. Pour modifier le type d'authentification par défaut, ajoutez ceci :
authentication.default=<authentication>
Remplacez <authentification> par l'une des options suivantes
Type d'authentification
valeur d'<authentification>
Entreprise
secEnterprise
LDAP
secLDAP
Windows AD
secWinAD
SAP
secSAPR3
6. Pour inviter les utilisateurs à fournir le nom du CMS dans l'écran de connexion à la zone de lancement
BI :
cms.visible=true
7. Enregistrez le fichier et fermez-le.
8. Redémarrez le serveur d'applications Web.
Utilisez WDeploy pour redéployer le fichier BOE.war sur le serveur d'applications Web. Pour en savoir
plus sur l'utilisation de WDeploy, voir le Guide de déploiement d'applications Web de la plateforme SAP
BusinessObjects de Business Intelligence.
111
2011-05-06
Gestion des utilisateurs et des groupes
4.2.15.2 Configuration des préférences de la zone de lancement BI pour les
groupes
Les administrateurs peuvent définir les préférences de la zone de lancement BI pour des groupes
d'utilisateurs spécifiques. Ces préférences servent de préférences par défaut de la zone de lancement
BI pour tous les utilisateurs d'un groupe.
Remarque :
Si les utilisateurs ont défini leurs propres préférences, les paramètres définis par l'administrateur
n'apparaissent pas dans leur vue de la zone de lancement BI. Les utilisateurs peuvent passer à tout
moment de leurs propres préférences à celles définies par l'administrateur et utiliser les paramètres
mis à jour.
Par défaut, aucune préférence de la zone de lancement BI n'est définie pour les groupes d'utilisateurs.
Les administrateurs peuvent spécifier des préférences pour les éléments suivants :
• Onglet Accueil
• Documents - emplacement initial
• Dossiers
• Catégories
• Nombre d'objets par page
• Colonnes affichées dans l'onglet "Document"
• Mode d'affichage des documents dans la zone de lancement BI : via des onglets ou une nouvelle
fenêtre
4.2.15.2.1 Définition des Préférences de la zone de lancement BI pour un groupe
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Sélectionnez le groupe dans la liste Groupe.
3. Cliquez sur Actions > Préférences de la zone de lancement BI
La boîte de dialogue "Préférences de la zone de lancement BI" s'affiche.
4. Décochez la case Aucune préférence définie
5. Pour définir la vue initiale d'un utilisateur :
• Pour afficher l'onglet Accueil lorsque l'utilisateur se connecte pour la première fois, cliquez sur
l'onglet Accueil et sélectionnez l'une des options suivantes :
112
2011-05-06
Gestion des utilisateurs et des groupes
Option
Description
Onglet Accueil par défaut
L'onglet Accueil par défaut fourni avec la plateforme de BI sera
utilisé.
Sélectionner l'onglet Accueil
Affiche un site Web spécifique comme onglet d'accueil.
Cliquez sur Parcourir l'onglet Accueil. Dans la fenêtre "Sélectionnez un onglet Accueil personnalisé", sélectionnez un objet
de référentiel et cliquez sur Ouvrir.
Remarque :
Vous pouvez uniquement sélectionner un objet qui a déjà été
ajouté au référentiel.
•
Pour afficher l'onglet Documents lorsque l'utilisateur se connecte pour la première fois, cliquez
sur Documents et précisez quel tiroir et quel nœud doivent être ouverts par défaut. Vous pouvez
sélectionner l'un des éléments suivants :
Tiroir
Options de nœud
Mes documents
Sélectionnez l'un des éléments suivants à afficher dans l'onglet Documents :
• Mes favoris
• Catégories personnelles
• Ma boîte de réception
Dossiers
Sélectionnez l'une des options suivantes :
• Dossiers publics : affiche les dossiers publics dans l'onglet Documents
• Sélection du dossier public
Cliquez sur Parcourir le dossier pour sélectionner un dossier public spécifique à afficher dans l'onglet Documents.
Catégories
Sélectionnez l'une des options suivantes :
• Catégories d'entreprise : affiche les catégories d'entreprise dans l'onglet
Documents
• Sélection d'une catégorie d'entreprise
Cliquez sur Parcourir le dossier pour sélectionner une catégories d'entreprise spécifique à afficher dans l'onglet Documents.
Par exemple, si vous voulez que le tiroir Mes documents soit ouvert dans la boîte de réception
BI de l'utilisateur lorsqu'il se connecte pour la première fois, cliquez sur Mes documents, puis
cliquez sur Ma boîte de réception.
6. Sous "Sélectionner les colonnes affichées dans l'onglet Documents", sélectionnez le résumé à
afficher pour chaque objet dans le panneau Liste de l'utilisateur :
• Type
113
2011-05-06
Gestion des utilisateurs et des groupes
•
•
•
•
•
•
•
•
Dernière exécution
Instances
Description
Créé par
Création le
Emplacement (catégories)
Reçu le (boîte de réception)
De (boîte de réception)
7. Sous "Définissez l'emplacement de visualisation de document", choisissez la façon dont vous voulez
que les utilisateurs visualisent les documents.
Les utilisateurs peuvent ouvrir les documents à visualiser dans des nouveaux onglets de la zone
de lancement BI ou dans de nouvelles fenêtres du navigateur Web.
8. Saisissez un nombre dans le champ Nombre d'objets (max.) par page pour indiquer le nombre
maximal d'objets à afficher par page lorsque l'utilisateur visualise des listes d'objets.
9. Cliquez sur Enregistrer et fermer.
Les préférences spécifiées serviront de préférences par défaut pour les utilisateurs du groupe que vous
avez sélectionné à l'étape 2. Les utilisateurs pourront toutefois créer leurs propres préférences de zone
de lancement BI s'ils disposent des droits correspondants. Si vous ne souhaitez pas que les utilisateurs
puissent modifier les préférences, ne leur accordez pas le droit de définir des préférences.
4.3 Gestion des alias
Si un utilisateur possède plusieurs comptes dans la plateforme de BI, vous pouvez les lier à l'aide de
la fonction Affecter un alias. Cette fonction est utile lorsqu'un utilisateur possède un compte tiers mappé
à Enterprise et un compte Enterprise.
L'affectation d'un alias à l'utilisateur permet à celui-ci de se connecter à l'aide d'un nom d'utilisateur
tiers et d'un mot de passe ou d'un nom d'utilisateur Enterprise et d'un mot de passe. L'alias permet
donc à un utilisateur de se connecter via plusieurs types d'authentification.
Dans la CMC, les informations d'alias sont affichées au bas de la page "Propriétés" de l'utilisateur. Un
utilisateur peut posséder n'importe quelle combinaison d'alias Enterprise, LDAP ou Windows AD.
4.3.1 Pour créer un utilisateur et ajouter un alias tiers
Lorsque vous créez un utilisateur et sélectionnez un type d'authentification autre qu'Enterprise, le
système crée le nouvel utilisateur dans la plateforme de BI et crée un alias tiers pour l'utilisateur.
114
2011-05-06
Gestion des utilisateurs et des groupes
Remarque :
Pour que le système puisse créer l'alias tiers, les conditions suivantes doivent être respectées :
•
L'outil d'authentification doit avoir été activé dans la CMC.
•
Le format du nom du compte doit correspondre au format requis pour le type d'authentification.
•
Le compte utilisateur doit exister dans l'outil d'authentification tiers et doit appartenir à un groupe
déjà mappé à la plateforme de BI.
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Cliquez sur Gérer > Nouveau > Nouvel utilisateur.
La boîte de dialogue "Nouvel utilisateur" s'affiche.
3. Sélectionnez le type d'authentification pour l'utilisateur, par exemple, Windows AD.
4. Saisissez le nom du compte tiers de l'utilisateur, par exemple, bsmith.
5. Sélectionnez le type de connexion pour l'utilisateur.
6. Cliquez sur Créer et fermer.
L'utilisateur est ajouté à la plateforme de BI et un alias lui est attribué pour le type d'authentification
sélectionné, par exemple, secWindowsAD:ENTERPRISE:bsmith. Si nécessaire, vous pouvez ajouter,
affecter et réaffecter des alias à l'utilisateur.
4.3.2 Pour créer un alias pour un utilisateur existant
Vous pouvez créer des alias pour des utilisateurs existants de la plateforme de BI. Il peut s'agir d'un
alias Enterprise ou d'un alias pour un outil d'authentification tiers.
Remarque :
Pour que le système puisse créer l'alias tiers, les conditions suivantes doivent être respectées :
•
L'outil d'authentification doit avoir été activé dans la CMC.
•
Le format du nom du compte doit correspondre au format requis pour le type d'authentification.
•
Le compte utilisateur doit exister dans l'outil d'authentification tiers et doit appartenir à un groupe
mappé à la plateforme de BI.
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Sélectionnez l'utilisateur auquel vous souhaitez ajouter un alias.
3. Cliquez sur Gérer > Propriétés.
La boîte de dialogue "Propriétés" s'affiche.
4. Cliquez sur Nouvel alias.
5. Sélectionnez le type d'authentification.
6. Saisissez le nom du compte de l'utilisateur.
7. Cliquez sur Mettre à jour.
115
2011-05-06
Gestion des utilisateurs et des groupes
Un alias est créé pour l'utilisateur. Lorsque vous affichez l'utilisateur dans la CMC, au moins deux
alias apparaissent, celui déjà affecté à l'utilisateur et celui que vous venez de créer.
8. Cliquez sur Enregistrer & Fermer pour quitter la boîte de dialogue "Propriétés".
4.3.3 Pour affecter un alias d'un autre utilisateur
Lorsque vous affectez un alias à un utilisateur, vous déplacez un alias tiers d'un autre utilisateur vers
l'utilisateur affiché. Vous ne pouvez pas affecter ou réaffecter des alias Enterprise.
Remarque :
Si un utilisateur ne possède qu'un seul alias et si vous affectez cet alias à un autre utilisateur, le système
efface le compte de l'utilisateur, ainsi que le dossier Favoris, les catégories personnelles et la boîte de
réception correspondant à ce compte.
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Sélectionnez l'utilisateur auquel vous souhaitez affecter un alias.
3. Cliquez sur Gérer > Propriétés.
La boîte de dialogue "Propriétés" s'affiche.
4. Cliquez sur Affecter un alias.
5. Saisissez le compte utilisateur possédant l'alias que vous souhaitez affecter, et cliquez sur
Rechercher.
6. Déplacez l'alias à affecter de la liste Alias disponibles vers la liste Alias à ajouter à Nomutilisa
teur.
Ici Nomutilisateur représente le nom de l'utilisateur auquel vous affectez un alias.
Conseil :
Pour sélectionner plusieurs alias, utilisez la combinaison de touches MAJ + clic ou CTRL + clic.
7. Cliquez sur OK.
4.3.4 Pour supprimer un alias
Lorsque vous supprimez un alias, celui-ci disparaît totalement du système. Si un utilisateur ne possède
qu'un seul alias que vous supprimez, le système efface automatiquement le compte de l'utilisateur,
ainsi que le dossier Favoris, les catégories personnelles et la boîte de réception correspondant à ce
compte.
Remarque :
La suppression de l'alias d'un utilisateur n'empêche pas nécessairement cet utilisateur de se reconnecter
à la plateforme de BI. Si le compte utilisateur existe encore dans le système tiers et si le compte
appartient à un groupe mappé à la plateforme de BI, celle-ci autorisera toujours l'utilisateur à se
116
2011-05-06
Gestion des utilisateurs et des groupes
connecter. Que le système crée un nouvel utilisateur ou qu'il affecte l'alias à un utilisateur existant
dépend des options de mise à jour sélectionnées pour l'outil d'authentification dans la zone de gestion
"Authentification" de la CMC.
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Sélectionnez l'utilisateur dont vous souhaitez supprimer l'alias.
3. Cliquez sur Gérer > Propriétés.
La boîte de dialogue "Propriétés" s'affiche.
4. Cliquez sur le bouton Supprimer l'alias situé à côté de l'alias que vous souhaitez supprimer.
5. Si vous devez confirmer, cliquez sur OK.
L'alias est supprimé.
6. Cliquez sur Enregistrer & Fermer pour quitter la boîte de dialogue "Propriétés".
4.3.5 Pour désactiver un alias
Vous pouvez empêcher un utilisateur de se connecter à la plateforme de BI à l'aide d'une méthode
d'authentification particulière en désactivant l'alias de l'utilisateur associé à cette méthode. Pour empêcher
un utilisateur d'accéder totalement à la plateforme, désactivez tous les alias de cet utilisateur.
Remarque :
Le fait de supprimer un utilisateur du système ne l'empêche pas nécessairement de se reconnecter à
la plateforme de BI. Si le compte utilisateur existe toujours dans le système tiers et s'il appartient à un
groupe mappé à la plateforme de BI, le système autorisera toujours l'utilisateur à se connecter. Pour
être certain qu'un utilisateur ne peut plus utiliser l'un de ses alias pour se connecter à la plateforme, il
est préférable de désactiver cet alias.
1. Accédez à la zone de gestion "Utilisateurs et groupes" de la CMC.
2. Sélectionnez l'utilisateur dont vous souhaitez désactiver l'alias.
3. Cliquez sur Gérer > Propriétés.
La boîte de dialogue "Propriétés" s'affiche.
4. Désactivez la case à cocher Activé pour l'alias que vous souhaitez désactiver.
Répétez cette étape pour chaque alias que vous souhaitez désactiver.
5. Cliquez sur Enregistrer & Fermer.
L'utilisateur ne peut plus se connecter à l'aide du type d'authentification que vous venez de désactiver.
Rubriques associées
• Pour supprimer un alias
117
2011-05-06
Gestion des utilisateurs et des groupes
118
2011-05-06
Définition des droits
Définition des droits
5.1 Fonctionnement des droits sur la plateforme de BI
Les droits sont les unités de base permettant de contrôler l'accès des utilisateurs aux objets, utilisateurs,
applications, serveurs et autres fonctionnalités de la plateforme de BI. Ils jouent un rôle important dans
la sécurisation du système en définissant les actions individuelles que les utilisateurs peuvent exécuter
sur les objets. Les droits vous permettent non seulement de contrôler l'accès à votre contenu de la
plateforme de BI, mais également de déléguer la gestion des utilisateurs et des groupes à différents
services et d'accorder au personnel du service informatique un accès administratif aux serveurs et
groupes de serveurs.
Il est important de noter que les droits sont définis sur des objets tels que les rapports et les dossiers
plutôt que sur les “utilisateurs ou groupes principaux” qui y accèdent. Par exemple, pour donner à un
directeur l'accès à un dossier particulier, dans la zone "Dossiers", vous ajoutez le directeur à la “liste
de contrôle d'accès” (liste des utilisateurs et groupes principaux qui ont accès à un objet) pour le dossier.
Vous ne pouvez pas accorder l'accès au directeur en configurant ses droits d'accès dans la zone
"Utilisateurs et groupes". Les droits d'accès du directeur dans la zone "Utilisateurs et groupes" sont
utilisés pour accorder à d'autres utilisateurs ou groupes principaux (tels que les administrateurs délégués)
le droit d'accéder au directeur en tant qu'objet du système. De cette façon, les utilisateurs ou groupes
principaux sont eux-mêmes considérés comme des objets par les autres utilisateurs disposant de droits
de gestion supérieurs.
Chaque droit sur un objet peut être accordé, refusé ou non spécifié. Le modèle de sécurité de la
plateforme de BI consiste à refuser un droit qui n'a pas été spécifié. Par ailleurs, ce même principe
s'applique lorsque des paramètres accordent et refusent à la fois un droit à un utilisateur ou à un groupe.
Ce modèle “basé sur le refus” permet de veiller à ce que les utilisateurs et les groupes n'acquièrent
pas automatiquement des droits qui ne leur ont pas été accordés explicitement.
Il existe une exception importante à cette règle. Si un droit explicitement défini sur un objet enfant est
en contradiction avec les droits hérités de l'objet parent, le droit défini sur l'objet enfant remplace les
droits hérités. Cette exception s'applique aux utilisateurs qui sont également membres de groupes. Si
un utilisateur se voit accorder explicitement un droit refusé au groupe de l'utilisateur, le droit défini sur
l'utilisateur remplace les droits hérités.
Rubriques associées
• Remplacement des droits
119
2011-05-06
Définition des droits
5.1.1 Niveaux d'accès
Les “niveaux d'accès” sont des groupes de droits dont les utilisateurs ont souvent besoin. Ils permettent
aux administrateurs de définir rapidement et uniformément les niveaux de sécurité courants au lieu
d'avoir à définir les droits individuels un par un.
La plateforme de BI est fournie avec plusieurs niveaux d'accès prédéfinis. Ces niveaux d'accès prédéfinis
reposent sur un modèle de droits progressifs : le premier étant Visualiser et le dernier Contrôle total,
chaque niveau d'accès se construisant sur les droits accordés au niveau précédent.
Cependant, vous pouvez également créer et personnaliser vos propres niveaux d'accès, ce qui peut
réduire de façon significative les coûts d'administration et de maintenance associés à la sécurité.
Imaginez une situation dans laquelle un administrateur doit gérer deux groupes, des directeurs
commerciaux et des employés commerciaux. Les deux groupes doivent accéder à cinq rapports dans
le système de la plateforme de BI, mais les directeurs commerciaux requièrent davantage de droits
que les employés. Les niveaux d'accès prédéfinis ne répondent aux besoins d'aucun des deux groupes.
Au lieu d'ajouter des groupes à chaque rapport en tant que groupes principaux et de modifier leurs
droits dans cinq emplacements différents, l'administrateur peut créer deux niveaux d'accès, Directeurs
commerciaux et Employés commerciaux. L'administrateur ajoute ensuite aux rapports les deux groupes
en tant que groupes principaux et affecte à ces groupes leur niveau d'accès respectif. Si les droits
doivent être modifiés, l'administrateur peut modifier les niveaux d'accès. Etant donné que les niveaux
d'accès s'appliquent aux deux groupes sur les cinq rapports, les droits affectés à ces groupes sur ces
rapports sont rapidement mis à jour.
Rubriques associées
• Utilisation des niveaux d'accès
5.1.2 Définition de droits avancés
Pour vous conférer un contrôle total sur la sécurité des objets, la CMC vous permet de définir des
“droits avancés”. Ces paramètres avancés offrent une plus grande flexibilité pour définir les niveaux
de sécurité des objets à un niveau granulaire.
Utilisez des paramètres de droits avancés, par exemple, si vous devez personnaliser les droits d'accès
d'un utilisateur ou groupe principal sur un objet ou un ensemble d'objets particulier. Les droits avancés
sont particulièrement utiles pour refuser explicitement un droit à un utilisateur ou à un groupe, sans
changement possible lors de modifications ultérieures de l'appartenance aux groupes ou des niveaux
de la sécurité des dossiers.
Le tableau suivant résume les différentes options disponibles lorsque vous définissez des droits avancés.
120
2011-05-06
Définition des droits
Tableau 5-1 : Options des droits d'accès
Icône
Option
Description
Accordé
Le droit est accordé à un utilisateur ou groupe principal.
Refusé
Le droit est refusé à un utilisateur ou groupe principal.
Non spécifié
Le droit n'est pas spécifié pour un utilisateur ou groupe
principal. Par défaut, les droits définis sur Non spécifié
sont refusés.
Appliquer à l'objet
Le droit s'applique à l'objet. Cette option est disponible
lorsque vous cliquez sur Accordé ou sur Refusé.
Appliquer au sous-objet
Ce droit s'applique aux sous-objets. Cette option est
disponible lorsque vous cliquez sur Accordé ou sur
Refusé.
Rubriques associées
• Droits spécifiques au type
5.1.3 Héritage
Des droits sont définis sur un objet pour un utilisateur ou groupe principal afin de contrôler l'accès à
cet objet. Cependant, il est peu pratique de définir la valeur explicite de chaque droit possible sur chaque
objet pour chaque utilisateur ou groupe principal. Imaginez un système comprenant 100 droits,
1 000 utilisateurs et 10 000 objets : pour définir les droits explicitement sur chaque objet, le CMS devrait
stocker des milliards de droits dans sa mémoire et, point non négligeable, un administrateur serait tenu
de définir manuellement chacun d'eux.
Les profils hérités résolvent cette impraticabilité. Avec l'héritage, les droits dont les utilisateurs disposent
sur les objets du système proviennent d'une combinaison de leur appartenance à différents groupes
et sous-groupes et des objets qui ont hérité des droits de dossiers et sous-dossiers parents. Ces
utilisateurs peuvent hériter des droits du groupe auxquels ils appartiennent ; les sous-groupes peuvent
hériter des droits de leurs groupes parents et les utilisateurs et les groupes peuvent hériter des droits
issus de leurs dossiers parents.
Par défaut, les utilisateurs ou groupes qui disposent de droits sur un dossier hériteront des mêmes
droits sur tout objet ultérieurement publié dans ce dossier. Il est donc préférable de commencer par
121
2011-05-06
Définition des droits
définir les droits d'accès appropriés pour les utilisateurs et les groupes au niveau du dossier, puis de
publier des objets dans ce dossier.
La plateforme de BI reconnaît deux types d'héritage : l'héritage de groupe et l'héritage de dossier.
5.1.3.1 Héritage de groupe
L'héritage de groupe permet aux utilisateurs ou groupes principaux d'hériter des droits des groupes
auxquels ils appartiennent. L'héritage de groupe est une fonction particulièrement utile si vous organisez
tous vos utilisateurs en groupes répartis selon les règles de sécurité en vigueur dans votre entreprise.
Le diagramme “Héritage de groupe - exemple 1”, illustre le mode de fonctionnement de l'héritage de
groupe. Le groupe rouge est un sous-groupe du groupe bleu et il hérite par conséquent des droits du
groupe bleu. Dans ce cas, il hérite du droit 1 comme étant accordé et des autres droits comme étant
non spécifiés. Chaque membre du groupe rouge hérite de ces droits. En outre, tous les autres droits
définis sur le sous-groupe sont hérités par ses membres. Dans cet exemple, l'utilisateur vert est un
membre du groupe rouge et il hérite par conséquent du droit 1 comme étant accordé", des droits 2, 3,
4 et 6 comme étant non spécifiés et du droit 5 comme étant refusé.
Figure 5-1 : Héritage de groupe - exemple 1
Lorsque l'héritage de groupe est activé pour un utilisateur appartenant à plusieurs groupes, le système
examine les droits de tous les groupes parents lors de la vérification des références de connexion.
L'utilisateur se voit refuser tout droit explicitement refusé dans un groupe parent, ainsi que tout droit
non spécifié. Seuls lui sont accordés les droits qu'au moins l'un des groupes lui accorde (explicitement
ou par les niveaux d'accès) et qu'aucun groupe ne lui refuse explicitement.
Dans le diagramme “Héritage de groupe - exemple 2”, l'utilisateur vert est un membre de deux groupes
non associés. Il hérite du groupe bleu les droits 1 et 5 accordés et les autres droits non spécifiés,
cependant, étant donné que l'utilisateur vert appartient également au groupe rouge et que le droit 5 est
explicitement refusé au groupe rouge, l'héritage par l'utilisateur vert du droit 5 du groupe bleu est annulé.
122
2011-05-06
Définition des droits
Figure 5-2 : Héritage de groupe - exemple 2
Rubriques associées
• Remplacement des droits
5.1.3.2 Héritage de dossier
L'héritage de dossier permet aux utilisateurs ou groupes principaux d'hériter de tous les droits qui leur
ont été accordés sur le dossier parent d'un objet. L'héritage de dossier s'avère particulièrement utile
lorsque vous organisez le contenu de la plateforme de BI selon une hiérarchie de dossiers qui reflète
les règles de sécurité en vigueur dans votre entreprise. Par exemple, supposons que vous créiez un
dossier appelé Rapport des ventes et que vous accordiez à votre groupe Ventes un accès Visualiser
à la demande pour ce dossier. Par défaut, tous les utilisateurs bénéficiant de droits sur le dossier
Rapport des ventes hériteront des mêmes droits sur les rapports que vous publierez ultérieurement
dans ce dossier. Le groupe Ventes aura donc un accès Visualiser à la demande sur tous les rapports
et vous n'aurez besoin de définir les droits d'accès aux objets qu'une seule fois, au niveau du dossier.
Dans l'“Exemple d'héritage de dossier”, les droits ont été définis pour le groupe rouge sur un dossier.
Les droits 1 et 5 ont été accordés tandis que les autres droits sont restés non spécifiés. Si l'héritage
de dossier est activé, les membres du groupe rouge disposent de droits au niveau de l'objet identiques
aux droits du groupe au niveau du dossier. Les droits 1 et 5 sont hérités comme étant accordés, tandis
que les autres droits restent non spécifiés.
123
2011-05-06
Définition des droits
Figure 5-3 : Exemple d'héritage de dossier
Rubriques associées
• Remplacement des droits
5.1.3.3 Remplacement des droits
Le “remplacement des droits” est un comportement des droits selon lequel les droits définis sur les
objets enfant remplacent les droits définis sur les objets parent. Le remplacement des droits se produit
dans les circonstances suivantes :
•
•
Généralement, les droits définis sur les objets enfant ont priorité sur les droits correspondants définis
sur les objets parent.
Généralement, les droits définis sur des sous-groupes ou membres de groupes ont priorité sur les
droits correspondants définis sur les groupes.
Il n'est pas nécessaire de désactiver l'héritage pour définir des droits personnalisés sur un objet. L'objet
enfant hérite des paramètres de droits de l'objet parent sauf pour les droits explicitement définis sur
l'objet enfant. De plus, toute modification apportée aux paramètres de droits sur l'objet parent s'applique
également à l'objet enfant.
“Remplacement des droits - Exemple 1” illustre comment fonctionne le remplacement des droits sur
les objets parent et enfant. L'utilisateur bleu n'a pas le droit de modifier le contenu d'un dossier ; le
sous-dossier hérite de ce paramètre de droit. Cependant, un administrateur accorde à l'utilisateur bleu
des droits Modifier sur un document du sous-dossier. Le droit Modifier que l'utilisateur bleu reçoit sur
le document remplace les droits hérités du dossier et du sous-dossier.
124
2011-05-06
Définition des droits
Figure 5-4 : Remplacement des droits - Exemple 1
“Remplacement des droits - Exemple 2” illustre comment fonctionne le remplacement des droits sur
les membres et les groupes. Le groupe bleu n'a pas le droit de modifier un dossier ; le sous-groupe
bleu hérite de ce paramètre de droit. Cependant, un administrateur accorde à l'utilisateur bleu, qui est
membre du groupe bleu et du sous-groupe bleu, des droits Modifier sur le dossier. Les droits Modifier
que l'utilisateur bleu obtient sur le dossier remplacent les droits hérités du groupe bleu et du sous-groupe
bleu.
Figure 5-5 : Remplacement des droits - Exemple 2
La section “Remplacement des droits complexe” illustre une situation dans laquelle les effets du
remplacement de droits sont moins évidents. L'utilisateur violet est membre des sous-groupes 1A et 2A,
qui se trouvent respectivement dans les groupes 1 et 2. Les groupes 1 et 2 possèdent tous deux des
droits Modifier sur le dossier. Le groupe 1A hérite des droits Modifier du groupe 1, mais un administrateur
refuse ces droits Modifier au groupe 2A. Les paramètres de droits du groupe 2A remplacent ceux du
groupe 2 en raison du remplacement des droits. Par conséquent, l'utilisateur violet hérite de paramètres
de droits contradictoires des groupes 1A et 2A. Les groupes 1A et 2A n'ont pas de relation parent-enfant ;
par conséquent, le remplacement des droits ne s'applique pas. Les paramètres de droit d'un sous-groupe
ne remplacent pas ceux d'un autre car ils ont un statut égal. L'utilisateur violet se voit donc refuser les
droits Modifier en raison du modèle de droits “basé sur le refus” de la plateforme de BI.
125
2011-05-06
Définition des droits
Figure 5-6 : Remplacement des droits complexe
Le remplacement des droits vous permet d'apporter de petites modifications aux paramètres de droits
sur un objet enfant sans annuler tous les paramètres de droits hérités. Prenons l'exemple d'un
responsable des ventes qui doit visualiser des rapports confidentiels situés dans le dossier Confidentiel.
Le responsable des ventes fait partie du groupe Ventes qui n'a pas accès au dossier et à son contenu.
L'administrateur accorde au responsable les droits Visualiser sur le dossier Confidentiel et continue
à en refuser l'accès au groupe Ventes. Dans ce cas, les droits Visualiser accordés au responsable
des ventes remplacent l'accès refusé dont il a hérité en tant que membre du groupe Ventes.
5.1.3.4 Périmètre des droits
Le “périmètre des droits” permet de contrôler la portée de l'héritage des droits. Pour définir le périmètre
d'un droit, vous décidez si le droit s'applique à l'objet, à ses sous-objets ou aux deux. Par défaut, le
périmètre d'un droit s'étend aux objets et aux sous-objets.
Le périmètre des droits peut être utilisé pour protéger un contenu personnel dans des emplacements
partagés. Imaginez une situation dans laquelle le service financier possède un dossier Notes de frais
partagé contenant un sous-dossier Notes de frais personnelles pour chaque employé. Les employés
souhaitent être en mesure de visualiser le dossier Notes de frais et d'y ajouter des objets, mais ils
veulent également protéger le contenu de leur sous-dossier Notes de frais personnelles. L'administrateur
accorde à tous les employés les droits Visualiser et Ajouter sur le dossier Notes de frais et limite le
périmètre de ces droits à ce dossier uniquement. Les droits Visualiser et Ajouter ne s'appliquent donc
pas aux sous-objets du dossier Notes de frais. L'administrateur accorde ensuite aux employés les droits
Visualiser et Ajouter sur leur propre sous-dossier Notes de frais personnelles.
Le périmètre des droits peut également limiter les droits effectifs que possède un administrateur délégué.
Par exemple, un administrateur délégué peut disposer de droits Modifier en toute sécurité et Modifier
sur un dossier, mais le périmètre de ces droits est limité au dossier uniquement et ne s'applique pas à
ses sous-objets. L'administrateur délégué ne peut pas accorder ces droits à un autre utilisateur sur l'un
des sous-objets du dossier.
126
2011-05-06
Définition des droits
5.1.4 Droits spécifiques au type
Les “droits spécifiques au type” sont des droits affectant uniquement des types d'objets spécifiques,
tels que des rapports Crystal, des dossiers ou des niveaux d'accès. Les droits spécifiques au type sont
répartis comme suit :
•
Droits généraux pour le type d'objet
Ces droits sont identiques aux droits globaux généraux (par exemple, droit d'ajout, de suppression
ou de modification d'un objet), mais vous les définissez sur des types d'objet spécifiques qui
remplacent les paramètres de droits globaux généraux.
•
Droits spécifiques pour le type d'objet
Ces droits sont disponibles uniquement pour des types d'objets spécifiques. Par exemple, le droit
d'exportation des données d'un rapport s'affiche pour les rapports Crystal mais pas pour les
documents Word.
Le diagramme “Droits spécifiques au type : exemple” illustre le fonctionnement des droits spécifiques
au type. Dans ce diagramme, le droit 3 représente le droit de modification d'un objet Le groupe bleu
ne dispose pas du droit Modifier sur le dossier de niveau supérieur mais se voit attribuer cedroit, pour
les rapports Crystal situés dans le dossier et le sous-dossier. Ces droits Modifier sont spécifiques aux
rapports Crystal et remplacent les paramètres de droit d'un niveau d'accès global général. Par
conséquent, les membres du groupe bleu possèdent des droits Modifier pour les rapports Crystal mais
pas pour le fichier XLF contenu dans le sous-dossier.
Figure 5-7 : Droits spécifiques au type : exemple
Les droits spécifiques au type sont utiles car ils vous permettent de limiter les droits des utilisateurs ou
groupes principaux en fonction du type d'objet. Prenons l'exemple d'un administrateur qui souhaite que
les employés puissent ajouter des objets à un dossier mais pas créer de sous-dossiers. L'administrateur
127
2011-05-06
Définition des droits
accorde les droits Ajouter au niveau global général pour le dossier, puis refuse les droits Ajouter pour
le type d'objet Dossier.
Les droits sont répartis dans les ensembles suivants en fonction des types d'objet auxquels ils
s'appliquent :
•
Général
Ces droits affectent tous les objets.
•
Contenu
Ces droits sont répartis en fonction des types de contenu d'objet particuliers. Les types de contenu
d'objet peuvent être, par exemple, des rapports Crystal et des fichiers PDF Adobe Acrobat.
•
Application
Ces droits sont répartis en fonction de l'application de la plateforme de BI affectée. Les applications
peuvent être, par exemple, la CMC et la zone de lancement BI.
•
Système
Ces droits sont répartis en fonction du composant système principal affecté. Les composants système
principaux peuvent être, par exemple, des calendriers, des événements ou encore des utilisateurs
et des groupes.
Les droits spécifiques au type se trouvent dans les ensembles Contenu, Application et Système.
Dans chaque ensemble, les droits sont encore répartis dans d'autres catégories en fonction du type
d'objet.
5.1.5 Détermination des droits effectifs
Tenez compte des éléments suivants lorsque vous définissez les droits d'accès à un objet :
•
•
Chaque niveau d'accès accorde et refuse certains droits et attribut le statut "non spécifié" aux autres
droits. Lorsque plusieurs niveaux d'accès sont accordés à un utilisateur, le système agrège les droits
effectifs et, par défaut, refuse tout droit non spécifié.
Lorsque vous attribuez plusieurs niveaux d'accès à un utilisateur ou groupe principal pour un objet,
cet utilisateur ou groupe principal bénéficie de la combinaison des droits de chaque niveau d'accès.
Deux niveaux d'accès sont attribués à l'utilisateur de “Plusieurs niveaux d'accès”. L'un des niveaux
d'accès accorde à l'utilisateur les droits 3 et 4, alors que l'autre niveau accorde uniquement le droit 3.
Les droits effectifs de cet utilisateur sont donc les droits 3 et 4.
Figure 5-8 : Plusieurs niveaux d'accès
128
2011-05-06
Définition des droits
•
Les droits avancés peuvent être associés aux niveaux d'accès pour personnaliser les paramètres
des droits d'accès à un objet d'un utilisateur ou d'un groupe principal. Par exemple, si un droit avancé
et un niveau d'accès sont attribués explicitement à un utilisateur ou un groupe principal pour un
objet et si le droit avancé est en contradiction avec un des droits du niveau d'accès, le droit avancé
remplace le droit du niveau d'accès.
Les droits avancés peuvent remplacer leurs équivalents dans les niveaux d'accès uniquement s'ils
sont définis sur le même objet pour le même utilisateur ou groupe principal. Par exemple, un droit
avancé Ajouter défini au niveau global général peut remplacer le droit Ajouter général défini pour
un niveau d'accès. En revanche, il ne peut pas remplacer un droit Ajouter spécifique à un type dans
un niveau d'accès.
Toutefois, les droits avancés ne remplacent pas toujours les niveaux d'accès. Imaginons un utilisateur
ou un groupe principal ne disposant pas du droit Modifier sur un objet parent. En revanche, cet
utilisateur ou ce groupe principal dispose d'un niveau d'accès qui lui accorde le droit Modifier sur
l'objet enfant. L'utilisateur ou le groupe principal dispose donc bien du droit Modifier sur l'objet
enfant, car les droits définis pour l'objet enfant remplacent ceux définis pour l'objet parent.
•
Le droit de priorité permet de remplacer les droits hérités de l'objet parent par les droits définis pour
un objet enfant.
5.2 Gestion des paramètres de sécurité des objets dans la CMC
Vous pouvez gérer les paramètres de sécurité de la plupart des objets de la CMC à l'aide des options
de sécurité du menu Gérer. Ces options permettent d'affecter des utilisateurs ou groupes principaux
à la liste de contrôle d'accès d'un objet, à visualiser les droits dont dispose un utilisateur ou groupe
principal et à modifier les droits de l'utilisateur ou groupe principal sur cet objet.
La procédure spécifique de gestion de la sécurité varie en fonction de vos besoins en matière de sécurité
et du type d'objet pour lequel vous définissez des droits. Toutefois, en règle générale, le workflow des
tâches suivantes varie peu :
•
•
•
Visualisation des droits dont dispose un utilisateur ou groupe principal sur un objet.
Affectation d'utilisateurs ou de groupes principaux à une liste de contrôle d'accès pour un objet et
indication des droits et niveaux d'accès dont ces utilisateurs et groupes principaux disposent.
Définition des droits sur un dossier de niveau supérieur dans la plateforme de BI.
5.2.1 Pour visualiser les droits d'un utilisateur ou groupe principal sur un objet
En règle générale, vous suivez ce workflow pour visualiser les droits dont dispose un utilisateur ou
groupe principal sur un objet.
1. Sélectionnez l'objet dont vous voulez visualiser les paramètres de sécurité.
2. Cliquez sur Gérer > Sécurité de l'utilisateur.
129
2011-05-06
Définition des droits
La boîte de dialogue "Sécurité de l'utilisateur" apparaît et affiche la liste de contrôle d'accès de
l'objet.
3. Sélectionnez un utilisateur/groupe principal dans la liste de contrôle d'accès, puis cliquez sur
Visualiser la sécurité.
L'"Explorateur d'autorisations" s'ouvre et affiche la liste des droits effectifs dont dispose l'utilisateur
ou groupe principal sur l'objet. En outre, l'"Explorateur d'autorisations" permet d'effectuer les tâches
suivantes :
•
•
Rechercher un autre utilisateur ou groupe principal dont vous voulez visualiser les droits.
Filtrer les droits affichés selon les critères suivants :
•
•
•
•
•
•
•
droits affectés
droits accordés
droits non affectés
droits du niveau d'accès
type d'objet
nom du droit
Trier la liste de droits affichée par ordre croissant ou décroissant selon les critères suivants :
•
•
•
•
ensemble
type
nom du droit
statut du droit (accordé, refusé ou non spécifié)
En outre, vous pouvez cliquer sur l'un des liens dans la colonne "Source" pour afficher la source
des droits hérités.
5.2.2 Pour affecter des utilisateurs ou groupes principaux à une liste de contrôle
d'accès d'un objet
Les listes de contrôle d'accès spécifient les utilisateurs auxquels des droits sont accordés ou refusés
sur un objet. En règle générale, vous suivez ce workflow pour affecter un utilisateur ou groupe principal
à une liste de contrôle d'accès d'un objet et pour spécifier les droits dont dispose l'utilisateur ou le
groupe principal sur cet objet.
1. Sélectionnez l'objet auquel ajouter un utilisateur ou groupe principal.
2. Cliquez sur Gérer > Sécurité de l'utilisateur.
La boîte de dialogue "Sécurité de l'utilisateur" apparaît et affiche la liste de contrôle d'accès.
3. Cliquez sur Ajouter des utilisateurs/groupes principaux.
La boîte de dialogue "Ajouter des utilisateurs/groupes principaux" s'affiche.
4. Déplacez les utilisateurs et groupes que vous souhaitez ajouter en tant qu'utilisateurs ou groupes
principaux de la liste Utilisateurs/Groupes disponibles vers la liste Utilisateurs/Groupes
sélectionnés.
130
2011-05-06
Définition des droits
5. Cliquez sur Ajouter et affecter la sécurité.
6. Sélectionnez les niveaux d'accès que vous voulez accorder à l'utilisateur ou groupe principal.
7. Choisissez d'activer ou non l'héritage de groupe ou de dossier.
Si nécessaire, vous pouvez également modifier les droits à un niveau granulaire pour remplacer certains
droits à un niveau d'accès donné.
Rubriques associées
• Pour modifier les droits d'un utilisateur ou groupe principal sur un objet
5.2.3 Pour modifier les droits d'un utilisateur ou groupe principal sur un objet
En règle générale, il est recommandé d'utiliser des droits d'accès pour accorder des droits à un utilisateur
ou groupe principal. Toutefois, vous devrez peut-être remplacer certains droits granulaires à un niveau
d'accès donné dans certaines circonstances. Les droits avancés permettent de personnaliser les droits
d'un utilisateur ou groupe principal en venant s'ajouter aux niveaux d'accès dont dispose déjà cet
utilisateur ou groupe principal. En règle générale, vous suivez ce workflow pour attribuer des droits
avancés à un utilisateur ou groupe principal sur un objet.
1. Affectez l'utilisateur/groupe principal à la liste de contrôle d'accès pour l'objet.
2. Une fois l'utilisateur/groupe principal ajouté, accédez à Gérer > Sécurité de l'utilisateur pour
afficher la liste de contrôle d'accès de l'objet.
3. Sélectionnez l'utilisateur ou groupe principal dans la liste de contrôle d'accès, puis cliquez sur
Affecter la sécurité.
La boîte de dialogue "Affecter la sécurité" s'affiche.
4. Cliquez sur l'onglet Avancé.
5. Cliquez sur Ajouter/Supprimer des droits.
6. Modifiez les droits de l'utilisateur ou groupe principal.
Tous les droits disponibles sont résumés dans l'annexe Droits.
Rubriques associées
• Pour affecter des utilisateurs ou groupes principaux à une liste de contrôle d'accès d'un objet
5.2.4 Définition des droits sur un dossier de niveau supérieur dans la plateforme
de BI
En règle générale, vous suivez ce workflow pour définir des droits sur un dossier de niveau supérieur
dans la plateforme de BI.
131
2011-05-06
Définition des droits
Remarque :
Pour cette version, les utilisateurs et groupes principaux ont besoin de droits Visualiser pour pouvoir
naviguer dans ce dossier et afficher ses sous-objets. Cela signifie qu'ils ont besoin de droits Visualiser
sur le dossier de niveau supérieur pour visualiser les objets contenus dans les dossiers. Si vous
souhaitez limiter les droits Visualiser d'un utilisateur ou groupe principal, vous pouvez lui accorder les
droits Visualiser sur un dossier spécifique et définir le périmètre des droits à appliquer à ce seul dossier.
1. Accédez à la zone de la CMC où se trouve le dossier de niveau supérieur pour lequel définir des
droits.
2. Cliquez sur Gérer > Sécurité de niveau supérieur > Tous les Objets.
Objets désigne ici le contenu du dossier de niveau supérieur. Si vous devez confirmer, cliquez sur
OK.
La boîte de dialogue "Sécurité de l'utilisateur" apparaît et affiche la liste de contrôle d'accès du
dossier de niveau supérieur.
3. Affectez l'utilisateur ou groupe principal à la liste de contrôle d'accès du dossier de niveau supérieur.
4. Si nécessaire, affectez des droits avancés à l'utilisateur ou groupe principal.
Rubriques associées
• Pour affecter des utilisateurs ou groupes principaux à une liste de contrôle d'accès d'un objet
• Pour modifier les droits d'un utilisateur ou groupe principal sur un objet
5.2.5 Vérification des paramètres de sécurité pour un utilisateur ou un groupe
principal
Dans certains cas, vous pouvez avoir besoin de savoir quels sont les objets auxquels un utilisateur ou
groupe principal s'est vu accorder ou refuser l'accès. Pour ce faire, vous pouvez utiliser une requête
de sécurité. Les requêtes de sécurité permettent de déterminer les objets sur lesquels un utilisateur
ou groupe principal possède des droits et de gérer les droits utilisateur. Pour chaque requête de sécurité,
vous devez fournir les informations suivantes :
•
Requête d'utilisateur/groupe principal
Spécifiez l'utilisateur ou le groupe pour lequel vous souhaitez exécuter la requête de sécurité. Vous
pouvez spécifier un utilisateur ou groupe principal pour chaque requête de sécurité.
•
Requête d'autorisation
Spécifiez les droits pour lesquels vous souhaitez exécuter la requête de sécurité, le statut de ces
droits et le type d'objet sur lequel ces droits sont définis. Vous pouvez, par exemple, exécuter une
requête de sécurité pour tous les rapports qu'un utilisateur ou groupe principal peut actualiser ou
pour tous les rapports qu'un utilisateur ou groupe principal ne peut pas exporter.
•
132
Contexte de la requête
2011-05-06
Définition des droits
Spécifiez les zones de la CMC que vous souhaitez faire rechercher par la requête de sécurité. Pour
chaque zone, vous pouvez choisir d'inclure ou non des sous-objets dans la requête de sécurité.
Une requête de sécurité peut inclure au maximum quatre zones.
Lorsque vous exécutez une requête de sécurité, les résultats s'affichent dans la zone "Résultats de
requête" du volet Arborescence sous Requêtes de sécurité. Si vous souhaitez affiner une requête de
sécurité, vous pouvez exécuter une seconde requête à l'intérieur des résultats à partir de la première
requête.
Les requêtes de sécurité sont utiles car elles vous permettent de voir les objets sur lesquels un utilisateur
ou groupe principal possède des droits, et elles fournissent également les emplacements de ces objets
si vous souhaitez modifier ces droits. Imaginez une situation dans laquelle un employé commercial est
promu au rang de directeur commercial. Le directeur commercial requiert des droits Planifier pour les
rapports Crystal sur lesquels il ne possédait auparavant que les droits Visualiser, et ces rapports se
trouvent dans des dossiers différents. Dans ce cas, l'administrateur exécute une requête de sécurité
pour que les droits du directeur commercial lui permettent de visualiser les rapports Crystal dans tous
les dossiers et inclut les sous-objets dans la requête. Une fois la requête de sécurité exécutée,
l'administrateur peut voir tous les rapports Crystal pour lesquels le directeur commercial possède des
droits Visualiser dans la zone "Résultats de requête". Le volet Détails affichant l'emplacement de
chaque rapport Crystal, l'administrateur peut rechercher chaque rapport et modifier les droits du directeur
commercial sur ces rapports.
5.2.5.1 Pour exécuter une requête de sécurité
1. Dans la zone "Utilisateurs et groupes", dans le volet Détails, sélectionnez l'utilisateur ou le groupe
pour lequel vous voulez exécuter une requête de sécurité.
2. Cliquez sur Gérer > Outils > Créer une requête de sécurité.
133
2011-05-06
Définition des droits
La boîte de dialogue "Créer une requête de sécurité" s'affiche.
3. Assurez-vous que l'utilisateur ou groupe principal dans la zone Requête d'utilisateur/groupe
principal est correct.
Si vous souhaitez exécuter une requête de sécurité pour un utilisateur ou groupe principal différent,
vous pouvez cliquer sur Parcourir pour en sélectionner un autre. Dans la boîte de dialogue
"Rechercher la requête d'utilisateur/groupe principal", développez la Liste des utilisateurs ou la
Liste des groupes pour accéder à l'utilisateur ou au groupe principal ou le rechercher à l'aide de
son nom. Lorsque vous avez terminé, cliquez sur OK pour revenir à la boîte de dialogue "Créer une
requête de sécurité".
4. Dans la zone "Requête d'autorisation", spécifiez les droits et le statut de chaque droit pour lequel
vous souhaitez exécuter la requête.
• Si vous souhaitez exécuter une requête pour des droits spécifiques dont dispose un
utilisateur/groupe principal sur des objets, cliquez sur Parcourir, définissez le statut de chaque
droit pour lequel exécuter la requête de sécurité, puis cliquez sur OK.
Conseil :
Vous pouvez supprimer des droits spécifiques de la requête en cliquant sur le bouton Supprimer
figurant à droite ou supprimer tous les droits de la requête en cliquant sur le bouton Supprimer
figurant dans la ligne d'en-tête.
•
Si vous souhaitez exécuter une requête de sécurité générale, activez la case à cocher Ne pas
formuler de requêtes d'autorisation.
Lorsque vous procédez de la sorte, la plateforme de BI exécute une requête de sécurité générale
pour tous les objets dans les listes de contrôle d'accès où figure l'utilisateur ou groupe principal,
quelles que soient les autorisations dont dispose cet utilisateur ou groupe principal sur ces objets.
134
2011-05-06
Définition des droits
5. Dans la zone "Contexte de la requête", spécifiez les zones de la CMC à interroger.
a. Activez une case à cocher en regard d'une liste.
b. Dans la liste, sélectionnez une zone de la CMC à interroger.
Si vous souhaitez interroger un emplacement plus spécifique (par exemple, un dossier particulier
sous Dossiers), cliquez sur Parcourir pour ouvrir la boîte de dialogue "Rechercher le contexte
de la requête". Dans le volet Détails, sélectionnez le dossier à interroger, puis cliquez sur OK.
Lorsque vous revenez à la boîte de dialogue Requête de sécurité, le dossier que vous avez
spécifié apparaît dans la zone située sous la liste.
c. Sélectionnez Sous-objet de requête.
d. Répétez les étapes ci-dessus pour chaque zone de la CMC que vous souhaitez interroger.
Remarque :
Vous pouvez interroger jusqu'à quatre zones.
6. Cliquez sur OK.
La requête de sécurité s'exécute et la zone "Résultats de requête" apparaît.
7. Pour visualiser les résultats de la requête, dans le volet Arborescence, développez Requêtes de
sécurité, puis cliquez sur un résultat de requête.
Conseil :
Les résultats de requête sont répertoriés par nom d'utilisateur ou groupe principal.
Ces résultats sont affichés dans le volet Détails.
La zone "Résultats de requête" contient tous les résultats des requêtes de sécurité formulées au cours
d'une session utilisateur jusqu'à ce que cet utilisateur se déconnecte. Si vous souhaitez réexécuter la
requête avec de nouvelles spécifications, cliquez sur Actions > Modifier la requête. Vous pouvez
également réexécuter la même requête en la sélectionnant, puis en cliquant sur Actions > Réexécuter
la requête. Si vous souhaitez conserver les résultats de la requête de sécurité, cliquez sur Actions >
Exporter afin d'exporter les résultats de la requête de sécurité sous la forme d'un fichier CSV.
5.3 Utilisation des niveaux d'accès
Vous pouvez effectuer les tâches suivantes avec les niveaux d'accès :
135
•
Copier un niveau d'accès existant, apporter des modifications au niveau d'accès copié, le renommer
et l'enregistrer en tant que nouveau niveau d'accès.
•
Créer, renommer et supprimer des niveaux d'accès.
•
Modifier les droits d'un niveau d'accès.
•
Suivre la relation entre les niveaux d'accès et d'autres objets dans le système.
•
Répliquer et gérer les niveaux d'accès sur différents sites.
2011-05-06
Définition des droits
•
Utiliser l'un des niveaux d'accès prédéfinis dans la plateforme de BI pour définir des droits rapidement
et uniformément pour de nombreux utilisateurs ou groupes principaux.
Le tableau suivant récapitule les droits contenus dans chaque niveau d'accès prédéfini.
Tableau 5-2 : Niveaux d'accès prédéfinis
136
Niveau d'accès
Description
Visualiser
Si ce niveau d'accès est défini
au niveau d'un dossier, un utilisateur ou groupe principal peut
visualiser le dossier, les objets
qu'il contient et les instances
générées de chaque objet. S'il
est défini au niveau d'un objet,
un utilisateur ou groupe principal
peut visualiser l'objet, son historique et ses instances générées.
Droits impliqués
•
•
Visualiser les objets
Afficher les instances du document
Planifier
Un utilisateur ou groupe principal peut générer des instances
en planifiant l'exécution d'un
objet avec une source de données définie une seule fois ou
de manière récurrente. L'utilisateur ou le groupe principal peut
visualiser, supprimer et suspendre la planification des instances qui lui appartiennent. Il
peut également planifier l'exécution vers d'autres formats et destinations, définir des paramètres et des informations de
connexion à la base de données, choisir les serveurs qui
traiteront les travaux, ajouter du
contenu au dossier et copier
l'objet ou le dossier.
Droits du niveau d'accès Visua
liser, plus :
• Planifier l'exécution du document
• Définir les groupes de serveurs pour traiter les tâches
• Copier les objets dans un
autre dossier
• Planifier vers des destinations
• Imprimer les données du
rapport
• Exporter les données du
rapport
• Modifier les objets appartenant à l'utilisateur
• Supprimer les instances appartenant à l'utilisateur
• Suspendre et reprendre les
instances de document appartenant à l'utilisateur
Visualiser à la demande
Un utilisateur ou groupe principal peut actualiser les données
à la demande par rapport à une
source de données.
Droits du niveau d'accès Plani
fier, plus :
• Actualiser les données du
rapport
2011-05-06
Définition des droits
Niveau d'accès
Contrôle total
Description
Droits impliqués
Un utilisateur ou groupe principal a le contrôle administratif
total de l'objet.
Tous les droits disponibles, notamment :
• Ajouter les objets au dossier
• Modifier les objets
• Modifier les droits des utilisateurs sur les objets
• Supprimer les objets
• Supprimer les instances
Le tableau suivant récapitule les droits requis pour effectuer certaines tâches sur des niveaux d'accès.
137
2011-05-06
Définition des droits
Tâche de niveau d'accès
Droits requis
Création d'un niveau d'accès
•
Droit Ajouter sur le dossier racine des niveaux
d'accès
Visualisation de droits granulaires dans un
niveau d'accès
•
Droit Visualiser sur le niveau d'accès
Attribution d'un niveau d'accès à un utilisateur •
ou groupe principal sur un objet
•
•
Droit Visualiser sur le niveau d'accès
Droit Utiliser le niveau d'accès pour affecter la
sécurité sur le niveau d'accès
Droit Modifier les droits sur l'objet ou droit Modifier
les droits en toute sécurité sur l'objet et l'utilisateur
ou groupe principal.
Remarque :
Les utilisateurs disposant du droit Modifier les droits
en toute sécurité souhaitant affecter un niveau d'accès
à un utilisateur ou groupe principal doivent disposer du
même niveau d'accès.
Modification d'un niveau d'accès
•
Droits Visualiser et Modifier sur le niveau d'accès
Suppression d'un niveau d'accès
•
Droits Visualiser et Supprimer sur le niveau d'accès
Clonage d'un niveau d'accès
•
•
•
Droit Visualiser sur le niveau d'accès
Droit Copier sur le niveau d'accès
Droit Ajouter sur le dossier racine des niveaux
d'accès
5.3.1 Choisir entre les niveaux d'accès Visualiser et Visualiser à la demande
Le choix entre des données réelles ou enregistrées constitue l'une des décisions les plus importantes
à prendre en matière de gestion de rapports sur le Web. Quel que soit le choix effectué, la plateforme
de BI affiche la première page aussi rapidement que possible, de façon à ce que vous puissiez visualiser
votre rapport tandis que le reste des données est traité. Cette section explique la différence entre deux
niveaux d'accès prédéfinis que vous pouvez utiliser pour prendre votre décision.
Niveau d'accès Visualiser à la demande
Le reporting à la demande permet aux utilisateurs d'accéder en temps réel aux données stockées sur
le serveur de base de données. Les données réelles permettent aux utilisateurs d'accéder aux toutes
dernières informations à la seconde près. Par exemple, si les responsables d'un centre de distribution
de taille importante doivent connaître la situation de leur stock de façon continue, le reporting à partir
138
2011-05-06
Définition des droits
des données réelles est la meilleure façon de procéder pour leur procurer les informations dont ils ont
besoin.
Toutefois, avant de fournir des données réelles pour tous les rapports, vous devez décider s'il est
souhaitable que tous les utilisateurs sollicitent sans arrêt le serveur de base de données. Si les données
ne sont pas appelées à changer constamment, toutes ces requêtes envoyées à la base de données
n'auront pour effet que d'accroître le trafic sur le réseau et de monopoliser les ressources du serveur.
Dans ce cas, il est souvent préférable de planifier les rapports à intervalles réguliers afin que les
utilisateurs puissent toujours visualiser des données récentes (dans des instances de rapport) sans
solliciter le serveur de base de données.
Les utilisateurs doivent disposer d'un accès de type Visualiser à la demande pour pouvoir actualiser
les rapports par rapport aux informations de la base de données.
Niveau d'accès Visualiser
Pour réduire le trafic réseau et le nombre d'accès aux serveurs de base de données, vous pouvez
planifier l'exécution des rapports à des heures spécifiées. Une fois le rapport exécuté, les utilisateurs
peuvent afficher l'instance du rapport selon leurs besoins, sans effectuer d'accès supplémentaires à
la base de données.
Les instances de rapport permettent de traiter les données qui ne sont pas souvent mises à jour. Lorsque
les utilisateurs parcourent des instances de rapport et détaillent les colonnes ou les diagrammes, ils
n'accèdent pas directement au serveur de base de données, mais aux données enregistrées. Par
conséquent, les rapports contenant des données enregistrées permettent non seulement de réduire le
transfert de données sur le réseau, mais aussi d'alléger la charge de travail du serveur de base de
données.
Par exemple, si votre base de données des ventes est mise à jour quotidiennement, vous pouvez
exécuter le rapport selon une planification similaire. Vos représentants commerciaux ont ainsi toujours
accès aux données les plus à jour, mais ne sollicitent pas systématiquement la base de données chaque
fois qu'ils ouvrent un rapport.
Pour pouvoir afficher les instances de rapport, les utilisateurs ont uniquement besoin d'un accès de
type Visualiser.
5.3.2 Pour copier un niveau d'accès existant
Voici le meilleur moyen de créer un niveau d'accès qui diffère peu de l'un des niveaux d'accès existants.
1. Accédez à la zone "Niveaux d'accès".
2. Dans le volet Détails, sélectionnez un niveau d'accès.
Conseil :
Sélectionnez un niveau d'accès contenant des droits similaires à ceux que vous souhaitez attribuez
à votre niveau d'accès.
3. Cliquez sur Organiser > Copier.
Une copie du niveau d'accès sélectionné apparaît dans le volet Détails.
139
2011-05-06
Définition des droits
5.3.3 Pour créer un niveau d'accès
Voici le meilleur moyen de créer un niveau d'accès très différent des niveaux d'accès existants.
1. Accédez à la zone "Niveaux d'accès".
2. Cliquez sur Gérer > Nouveau > Créer un niveau d'accès.
La boîte de dialogue"Créer un niveau d'accès" s'affiche.
3. Saisissez le titre et la description de votre nouveau niveau d'accès, puis cliquez sur OK.
Vous revenez à la zone "Niveaux d'accès" et le nouveau niveau d'accès apparaît dans le volet Détails.
5.3.4 Pour renommer un niveau d'accès
1. Dans la zone "Niveaux d'accès" du volet Détails, sélectionnez le niveau d'accès que vous souhaitez
renommer.
2. Cliquez sur Gérer > Propriétés.
La boîte de dialogue "Propriétés" s'affiche.
3. Dans le champ Titre, saisissez le nom du niveau d'accès, puis cliquez sur Enregistrer et fermer.
Vous revenez à la zone "Niveaux d'accès".
5.3.5 Pour supprimer un niveau d'accès
1. Dans la zone "Niveaux d'accès", dans le voletDétails, sélectionnez le niveau d'accès à supprimer.
2. Cliquez sur Gérer > Supprimer un niveau d'accès.
Remarque :
Vous ne pouvez pas supprimer de niveaux d'accès prédéfinis.
Une boîte de dialogue contenant des informations sur les objets auxquels ce niveau d'accès s'applique
s'affiche. Si vous ne souhaitez pas supprimer ce niveau d'accès, cliquez sur Annuler pour fermer
la boîte de dialogue.
3. Cliquez sur Supprimer.
Le niveau d'accès est supprimé et vous revenez à la zone "Niveaux d'accès".
140
2011-05-06
Définition des droits
5.3.6 Pour modifier les droits d'un niveau d'accès
Pour définir les droits d'un niveau d'accès, vous devez d'abord définir les droits globaux généraux qui
s'appliquent à tous les objets quels que soient leur type, puis spécifier dans quels cas remplacer les
paramètres généraux en fonction du type spécifique de l'objet.
1. Dans la zone Niveaux d'accès, dans le volet Détails, sélectionnez le niveau d'accès pour lequel
vous souhaitez modifier les droits d'accès.
2. Cliquez sur Actions > Droits inclus.
La boîte de dialogue Droits inclus apparaît et affiche la liste des droits effectifs.
3. Cliquez sur Ajouter/Supprimer des droits.
La boîte de dialogue Droits inclus affiche les ensembles de droits du niveau d'accès figurant dans
la liste de navigation. La section Droits globaux généraux est développée par défaut.
4. Définissez les droits globaux généraux.
Chaque droit peut avoir le statut Accordé, Refusé ou Non spécifié. Vous pouvez également
spécifier si ce droit doit être appliqué à l'objet uniquement, à ses sous-objets uniquement, ou aux
deux.
5. Pour définir des droits en fonction du type pour le niveau d'accès, cliquez sur l'ensemble de droits
dans la liste de navigation, puis cliquez sur le sous-ensemble qui s'applique au type d'objet dont
vous voulez définir les droits.
6. Une fois l'opération terminée, cliquez sur OK.
Vous revenez alors à la liste des droits effectifs.
141
2011-05-06
Définition des droits
Rubriques associées
• Gestion des paramètres de sécurité des objets dans la CMC
• Droits spécifiques au type
5.3.7 Suivi de la relation entre niveaux d'accès et objets
Avant de modifier ou de supprimer un niveau d'accès, il est important de confirmer que toute modification
apportée au niveau d'accès n'affectera pas de façon négative les objets de la CMC. Pour ce faire,
exécutez une requête de relation sur le niveau d'accès.
Les requêtes de relation s'avèrent utiles pour la gestion des droits d'accès, étant donné qu'elles vous
permettent de voir les objets affectés par un niveau d'accès depuis un emplacement pratique. Imaginez
une situation dans laquelle une société restructure son organisation et fusionne deux services, le
service A et le service B, dans un service C. L'administrateur décide de supprimer les niveaux d'accès
pour les services A et B car ces services n'existent plus. L'administrateur exécute des requêtes de
relation pour les deux niveaux d'accès avant de les supprimer. Dans la zone "Résultats de requête",
l'administrateur peut voir les objets qui seront affectés si l'administrateur supprime les niveaux d'accès.
Le volet Détails indique également à l'administrateur l'emplacement des objets dans la CMC si les
droits appliqués à ces objets doivent être modifiés avant que les niveaux d'accès ne soient supprimés.
Remarque :
•
•
Pour visualiser la liste des objets affectés, vous devez posséder les droits Visualiser sur ces objets.
Les résultats d'une requête de relation pour un niveau d'accès renvoient uniquement les objets pour
lesquels le niveau d'accès est explicitement affecté. Si un objet utilise un niveau d'accès en raison
de règles d'héritage, il ne figure pas dans les résultats de la requête.
5.3.8 Gestion des niveaux d'accès sur différents sites
Les niveaux d'accès sont l'un des objets que vous pouvez répliquer depuis un site d'origine vers des
sites de destination. Vous pouvez choisir de répliquer des niveaux d'accès s'ils apparaissent dans la
liste de contrôle d'accès d'un objet de réplication. Par exemple, si un utilisateur ou un groupe principal
reçoit un niveau d'accès A sur un rapport Crystal et que ce rapport est répliqué sur d'autres sites, le
niveau d'accès A est également répliqué.
Remarque :
S'il existe un niveau d'accès du même nom sur le site de destination, la réplication du niveau d'accès
échoue. L'administrateur du site de destination ou vous-même devez renommer un des niveaux d'accès
avant la réplication.
Après la réplication d'un niveaux d'accès sur différents sites, gardez en mémoire les remarques de
cette section relatives à l'administration.
142
2011-05-06
Définition des droits
Modification des niveaux d'accès répliqués sur le site d'origine
Si un niveau d'accès répliqué est modifié sur le site d'origine, le niveau d'accès sur le site de destination
sera mis à jour lors de la prochaine exécution planifiée de la réplication. Dans les scénarios de réplication
bidirectionnelle, si vous modifiez un niveau d'accès répliqué sur le site de destination, le niveau d'accès
sur le site d'origine est également modifié.
Remarque :
Assurez-vous que les modifications d'un niveau d'accès sur un site n'affectent pas négativement des
objets sur d'autres sites. Contactez les administrateurs du site et conseillez-leur d'exécuter des requêtes
de relation pour le niveau d'accès répliqué avant que vous n'apportiez des modifications.
Modification des niveaux d'accès répliqués sur le site de destination
Remarque :
Cela s'applique à la réplication unidirectionnelle uniquement.
Toute modification apportée aux niveaux d'accès répliqués sur un site de destination n'est pas appliquée
sur le site d'origine. Par exemple, un administrateur de site de destination peut accorder le droit de
planifier les rapports Crystal appartenant au niveau d'accès répliqué même si ce droit a été refusé sur
le site d'origine. Par conséquent, même si les noms des niveaux d'accès et les noms des objets répliqués
sont identiques, les droits effectifs dont les utilisateurs ou groupes principaux disposent sur les objets
peuvent différer d'un site de destination à l'autre.
Si le niveau d'accès répliqué diffère entre les sites d'origine et de destination, la différence de droits
effectifs sera détectée lors de la prochaine exécution planifiée d'un travail de réplication. Vous pouvez
forcer le niveau d'accès du site d'origine à remplacer le niveau d'accès du site de destination ou permettre
la conservation du niveau d'accès du site de destination. Toutefois, si vous ne forcez pas le niveau
d'accès du site d'origine à remplacer le niveau d'accès du site de destination, tous les objets en attente
de réplication utilisant ce niveau d'accès ne pourront pas être répliqués.
Pour empêcher les utilisateurs de modifier les niveaux d'accès répliqués sur le site de destination, vous
pouvez ajouter les utilisateurs du site de destination au niveau d'accès en tant qu'utilisateurs principaux
et leur accorder uniquement le droit Visualiser. Ainsi, les utilisateurs du site de destination peuvent
visualiser le niveau d'accès, mais ne sont pas en mesure de modifier la configuration des droits ou de
l'affecter à d'autres utilisateurs.
Rubriques associées
• Fédération
• Suivi de la relation entre niveaux d'accès et objets
5.4 Rupture de l'héritage
L'héritage permet de gérer les paramètres de sécurité sans définir de droits pour chaque objet.
Cependant, dans certains cas, vous ne voudrez peut-être pas que les droits soient hérités. Par exemple,
vous souhaiterez peut-être personnaliser les droits pour chaque objet. Vous pouvez désactiver l'héritage
143
2011-05-06
Définition des droits
pour un utilisateur ou groupe principal dans une liste de contrôle d'accès d'un objet. Dans ce cas, vous
pouvez choisir de désactiver l'héritage du groupe, l'héritage du dossier, ou les deux.
Remarque :
Lorsque l'héritage est rompu, il l'est pour tous les droits. Il n'est pas possible de désactiver l'héritage
pour certains droits uniquement et pas pour d'autres.
Dans le diagramme “Rupture de l'héritage”, l'héritage de groupe et l'héritage de dossier sont tous deux
activés à l'origine. L'utilisateur rouge hérite des droits 1 et 5 accordés, des droits 2, 3 et 4 non spécifiés
et du droit 6 explicitement refusé. Ces droits, définis au niveau du dossier pour le groupe, signifient
que l'utilisateur rouge, ainsi que chaque autre membre du groupe, dispose de ces droits sur les objets
du dossier A et B. Si l'héritage est rompu au niveau du dossier, l'ensemble de droits dont l'utilisateur
rouge dispose sur les objets de ce dossier est annulé jusqu'à ce qu'un administrateur lui affecte de
nouveaux droits.
Figure 5-9 : Rupture de l'héritage
5.4.1 Désactiver l'héritage
Cette procédure vous permet de désactiver l'héritage de groupe ou de dossier, ou les deux, pour un
utilisateur ou un groupe principal sur la liste de contrôle d'accès d'un objet.
144
2011-05-06
Définition des droits
1. Sélectionnez l'objet pour lequel vous souhaitez désactiver l'héritage.
2. Cliquez sur Gérer > Sécurité de l'utilisateur.
La boîte de dialogue "Sécurité de l'utilisateur" s'affiche.
3. Sélectionnez l'utilisateur ou le groupe principal pour lequel vous souhaitez désactiver l'héritage, puis
cliquez sur Affecter la sécurité.
La boîte de dialogue "Affecter la sécurité" s'affiche.
4. Configurez vos paramètres d'héritage.
• Si vous souhaitez désactiver l'héritage de groupe (droits dont l'utilisateur ou le groupe principal
hérite de son appartenance au groupe), désactivez la case à cocher Hériter du groupe parent.
• Si vous souhaitez désactiver l'héritage de dossier (paramètres de droits dont l'objet hérite du
dossier), désactivez la case à cocher Hériter du dossier parent.
5. Cliquez sur OK.
5.5 Utilisation des droits pour déléguer l'administration
Les droits vous permettent non seulement de contrôler l'accès aux objets et aux paramètres, mais
également de répartir les tâches administratives entre les divers groupes fonctionnels de votre
organisation. Par exemple, vous pouvez souhaiter que les personnes de différents services gèrent
leurs propres utilisateurs et groupes. Vous pouvez également être dans la situation où un administrateur
assure la gestion de haut niveau de la plateforme de BI mais où vous souhaitez que la totalité de la
gestion des serveurs soit assurée par le personnel du service informatique.
En supposant que votre structure de groupe et votre structure de dossier s'alignent sur votre structure
de sécurité de l'administration déléguée, vous devez accorder à votre administrateur délégué des droits
sur l'intégralité des groupes d'utilisateurs, mais vous devez lui accorder des droits inférieurs aux droits
de contrôle total sur les utilisateurs qu'il contrôle. Par exemple, vous ne voudrez peut-être pas que
l'administrateur délégué modifie les attributs des utilisateurs ou qu'il les réaffecte à des groupes différents.
Le tableau “Droits des administrateurs délégués” récapitule les droits requis pour que les administrateurs
délégués effectuent les actions courantes.
Tableau 5-3 : Droits des administrateurs délégués
145
Action de l'administrateur délégué
Droits requis par l'administrateur délégué
Créer des utilisateurs
Droit Ajouter sur le dossier Utilisateurs de niveau supérieur
Créer des groupes
Droit Ajouter sur le dossier Groupes d'utilisateurs de niveau supérieur
2011-05-06
Définition des droits
Action de l'administrateur délégué
Droits requis par l'administrateur délégué
Supprimer les groupes contrôlés, ainsi que les
utilisateurs individuels appartenant à ces groupes
Droit Supprimer sur les groupes concernés
Supprimer uniquement les utilisateurs créés par
l'administrateur délégué
Droit Supprimer par le propriétaire sur le dossier Utilisateurs de niveau supérieur
Supprimer uniquement les utilisateurs et les
groupes créés par l'administrateur délégué
Droit Supprimer par le propriétaire sur le dossier Groupes d'utilisateurs de niveau supérieur
Manipuler uniquement les utilisateurs créés par
l'administrateur délégué (y compris l'ajout de ces
utilisateurs à ces groupes)
Droits Modifier par le propriétaire et Modifier
en toute sécurité les droits par le propriétaire
sur le dossier Utilisateurs de niveau supérieur
Manipuler uniquement les groupes créés par
l'administrateur délégué (y compris l'ajout de ces
utilisateurs à ces groupes)
Droits Modifier par le propriétaire et Modifier
en toute sécurité les droits par le propriétaire
sur le dossier Groupes d'utilisateurs
Modifier les mots de passe des utilisateurs dans
leurs groupes contrôlés
Droit Modifier le mot de passe sur les groupes
concernés
Droit Modifier le mot de passe par le propriétaire sur le dossier Utilisateurs de niveau supérieur ou sur les groupes concernés
Modifier les mots de passe des utilisateurs ou
groupes principaux créés par l'administrateur
délégué uniquement
Modifier les noms d'utilisateur, les descriptions
et les autres attributs, et réaffecter les utilisateurs
à d'autres groupes
146
Remarque :
La définition du droit Modifier le mot de passe
par le propriétaire sur un groupe ne prend effet
sur un utilisateur que lorsque vous ajoutez l'utilisateur au groupe concerné.
Droit Modifier sur les groupes concernés
2011-05-06
Définition des droits
Action de l'administrateur délégué
Modifier les noms d'utilisateur, les descriptions
et les autres attributs, et réaffecter les utilisateurs
à d'autres groupes, mais uniquement pour les
utilisateurs créés par l'administrateur délégué
Droits requis par l'administrateur délégué
Droit Modifier le mot de passe par le propriétaire sur le dossier Utilisateurs de niveau supérieur ou sur les groupes concernés
Remarque :
La définition du droit Modifier par le propriétaire
sur les groupes concernés ne prend effet sur un
utilisateur que lorsque vous ajoutez l'utilisateur
au groupe concerné.
5.5.1 Choisir entre les options “Modifier les droits des utilisateurs sur les objets”
Lorsque vous configurez l'administration déléguée, accordez à votre administrateur délégué des droits
sur les utilisateurs ou groupes principaux qu'il va contrôler. Vous souhaiterez peut-être lui accorder
tous les droits (Contrôle total) ; cependant, il est conseillé d'utiliser les paramètres Droits avancés
pour refuser le droit Modifier les droits et accorder à la place à votre administrateur délégué le droit
Modifier en toute sécurité les droits. Vous pouvez également accorder à votre administrateur le droit
Modifier en toute sécurité les règles d'héritage des droits au lieu du droit Modifier les règles
d'héritage des droits. Les différences entre ces droits sont récapitulées ci-après.
Modifier les droits des utilisateurs sur les objets
Ce droit autorise un utilisateur à modifier tout droit de tout utilisateur sur cet objet. Par exemple, si
l'utilisateur A dispose des droits Visualiser les objets et Modifier les droits des utilisateurs sur les
objets sur un objet, il peut modifier les droits pour cet objet afin que lui-même ou tout autre utilisateur
détienne le contrôle total de cet objet.
Modifier en toute sécurité les droits des utilisateurs sur les objets
Ce droit permet à un utilisateur d'accorder, de refuser ou d'annuler uniquement les droits qui lui sont
déjà accordés. Par exemple, si l'utilisateur A dispose des droits Visualiser et Modifier en toute sécurité
les droits des utilisateurs sur les objets, il ne peut pas s'accorder de droits supplémentaires et peut
uniquement accorder ou refuser aux autres utilisateurs ces deux droits (Visualiser et Modifier en toute
sécurité les droits des utilisateurs sur les objets). De plus, l'utilisateur A peut uniquement modifier
les droits des utilisateurs sur les objets pour lesquels il dispose lui-même du droit de modification des
droits en toute sécurité.
Les conditions dans lesquelles un utilisateur A peut modifier les droits de l'utilisateur B sur l'objet O
sont les suivantes :
•
147
L'utilisateur A dispose du droit de modification des droits en toute sécurité sur l'objet O.
2011-05-06
Définition des droits
•
Chaque droit ou niveau d'accès que l'utilisateur A modifie pour l'utilisateur B est accordé à l'utilisateur
A lui-même.
•
L'utilisateur A dispose du droit de modification des droits en toute sécurité sur l'utilisateur B.
•
Si un niveau d'accès est en cours d'affectation, l'utilisateur A dispose du droit Affecter un niveau
d'accès sur le niveau d'accès qui est modifié pour l'utilisateur B.
Le périmètre des droits peut limiter davantage les droits effectifs qu'un administrateur délégué peut
affecter. Par exemple, un administrateur délégué peut disposer de droits Modifier en toute sécurité
et Modifier sur un dossier, mais le périmètre de ces droits est limité au dossier uniquement et ne
s'applique pas à ses sous-objets. En réalité, l'administrateur délégué peut accorder uniquement le droit
Modifier sur le dossier (mais non sur ses sous-objets) et seulement avec un périmètre “Appliquer à
l'objet”. Si l'administrateur délégué dispose du droit Modifier sur un dossier avec un périmètre “Appliquer
au sous-objet” uniquement, il peut accorder à d'autres utilisateurs ou groupes principaux le droit Modifier
avec les deux périmètres sur les sous-objets du dossier, mais sur le dossier lui-même, il ne peut accorder
que le droit Modifier avec un périmètre “Appliquer au sous-objet”.
En outre, la modification des droits sur les groupes par l'administrateur délégué sera limitée pour les
autres utilisateurs ou groupes principaux auxquels aucun droit Modifier en toute sécurité n'est appliqué.
Cela est utile, par exemple, lorsque deux administrateurs délégués sont responsables de l'affectation
des droits à différents groupes d'utilisateurs pour le même dossier, mais que vous ne voulez pas que
l'un d'eux puisse refuser l'accès aux groupes contrôlés par l'autre administrateur délégué. Le droit
Modifier en toute sécurité les droits garantit cela, étant donné que les administrateurs délégués n'auront
généralement pas le droit Modifier en toute sécurité les droits l'un sur l'autre.
Modifier en toute sécurité les règles d'héritage des droits
Ce droit permet à un administrateur délégué de modifier les règles d'héritage d'autres utilisateurs ou
groupes principaux sur les objets auxquels il peut accéder. Pour pouvoir modifier les règles d'héritage
d'autres utilisateurs ou groupes principaux, un administrateur délégué doit disposer de ce droit sur
l'objet et sur les comptes utilisateur des utilisateurs ou groupes principaux.
5.5.2 Droits de propriétaire
Les droits de propriétaire sont les droits qui s'appliquent uniquement au propriétaire de l'objet pour
lequel les droits sont vérifiés. Sur la plateforme de BI, le propriétaire d'un objet est l'utilisateur ou le
groupe principal qui a créé l'objet. Si cet utilisateur ou groupe principal est supprimé du système, la
propriété de l'objet revient à l'administrateur.
Les droits de propriétaire permettent de gérer la sécurité liée à la propriété. Par exemple, vous
souhaiterez peut-être créer une hiérarchie de dossiers ou un dossier dans lequel divers utilisateurs
peuvent créer et visualiser des documents, mais uniquement modifier ou supprimer leurs propres
documents. En outre, les droits de propriétaire sont utiles pour permettre aux utilisateurs de manipuler
les instances de rapports qu'ils créent, mais pas les instances des autres. Dans le cas du niveau d'accès
de planification, cela permet aux utilisateurs de modifier, supprimer, suspendre et replanifier uniquement
leurs propres instances.
148
2011-05-06
Définition des droits
Les droits de propriétaire fonctionnent de la même manière que les droits réguliers correspondants.
Toutefois, les droits de propriétaire ne sont appliqués que lorsque l'utilisateur ou groupe d'utilisateurs
principal dispose des droits de propriétaire mais que les droits réguliers lui sont refusés ou ne sont pas
spécifiés.
5.6 Récapitulatif des recommandations concernant l'administration des droits
Tenez compte des remarques suivantes relatives à l'administration des droits :
149
•
Utilisez des niveaux d'accès partout où c'est possible. Ces ensembles de droits prédéfinis simplifient
l'administration en regroupant les droits liés aux besoins courants des utilisateurs.
•
Définissez des droits et des niveaux d'accès sur les dossiers de niveau supérieur. L'activation de
l'héritage permet à ces droits d'être transmis à tout le système avec un minimum d'interventions
administratives.
•
Evitez de rompre l'héritage dans la mesure du possible. Vous pouvez ainsi réduire le temps
nécessaire pour sécuriser le contenu que vous avez ajouté à la plateforme de BI.
•
Définissez des droits appropriés pour les utilisateurs et les groupes au niveau du dossier, puis
publiez les objets dans ce dossier. Par défaut, si des utilisateurs ou des groupes bénéficient de
droits sur un dossier et que vous publiez un objet dans ce dossier, ils hériteront des mêmes droits
sur cet objet.
•
Organisez les utilisateurs en groupes d'utilisateurs, affectez des droits et des niveaux d'accès à tout
le groupe, puis affectez des droits et des niveaux d'accès à des membres spécifiques si nécessaire.
•
Créez des comptes Administrateur distincts pour chaque administrateur du système, puis ajoutez-les
au groupe Administrateurs afin d'améliorer la responsabilité des modifications apportées au système.
•
Par défaut, le groupe Tout le monde dispose de droits très limités sur les dossiers de niveau supérieur
sur la plateforme de BI. Après l'installation, il est recommandé de vérifier les droits des membres
du groupe Tout le monde et d'accorder les droits de sécurité en fonction.
2011-05-06
Définition des droits
150
2011-05-06
Sécurisation de la plateforme de BI
Sécurisation de la plateforme de BI
6.1 Présentation de la sécurité
Cette section décrit les différentes manières dont la plateforme de BI aborde les questions de sécurité
de l'entreprise, fournissant ainsi aux administrateurs et aux architectes système des réponses aux
questions qu'ils se posent le plus souvent à ce sujet.
L'architecture de la plateforme de BI permet de traiter les nombreuses préoccupations auxquelles se
trouvent aujourd'hui confrontées les entreprises et les organisations en termes de sécurité. La version
actuelle prend en charge des fonctionnalités telles que la sécurité distribuée, la connexion unique, la
sécurité d'accès aux ressources, les droits d'accès aux objets granulaires et les authentifications tierces
afin de se prémunir contre les accès non autorisés.
Sachant que la plateforme de BI offre la structure adaptée à un nombre croissant de composants de
la famille Enterprise des produits SAP BusinessObjects, cette section expose en détail les fonctions
de sécurité et leur fonctionnalité associée pour démontrer comment la structure même renforce et
garantit la sécurité. Ce chapitre ne fournit pas de détails de procédure explicites, mais se focalise plutôt
sur des informations conceptuelles et fournit des liens vers des procédures clé.
Après une brève introduction aux concepts de sécurité du système, des renseignements sont fournis
pour les rubriques suivantes :
• Utilisation du cryptage et des modes de sécurité du traitement des données pour protéger les
données.
• Configuration SSL (Secure Sockets Layer) pour les déploiements de la plateforme de Business
Intelligence.
• Instructions de configuration et de gestion des pare-feu pour la plateforme de Business Intelligence.
• Configuration des serveurs proxy inverses
6.2 Planification de récupération d'urgence
Certaines étapes doivent être suivies pour protéger la détention de la plateforme de BI par votre
entreprise et assurer une continuité maximale des lignes de fonction professionnelles dans le cas d'une
urgence. Cette section fournit des instructions pour ébaucher un plan de récupération d'urgence pour
votre entreprise.
151
2011-05-06
Sécurisation de la plateforme de BI
Instructions générales
•
Effectuez des sauvegardes système régulières et envoyez des copies de certains supports de
sauvegarde hors site si besoin.
•
•
Stockez de manière sûre tous les supports logiciels.
Stockez de manière sûre toute la documentation de licence.
Instructions spécifiques
Il existe trois ressources système requérant une attention particulière en termes de planification de
récupération d'urgence :
•
•
•
Contenu des serveurs de référentiels de fichiers : cela comprend le contenu propriétaire tel que les
rapports. Vous devez sauvegarder régulièrement ce contenu ; en cas d'accident, il n'existe aucun
moyen de régénérer un tel contenu sans avoir mis en place un processus de sauvegarde régulière.
La base de données système utilisée par le CMS : cette ressource contient toutes les métadonnées
essentielles à votre déploiement, telles que les informations utilisateur, les rapports et autres
informations sensibles propres à votre entreprise.
Le fichier de clé des informations de base de données (fichier .dbinfo) : cette ressource contient la
clé maître de la base de données système. Si, pour une raison quelconque, cette clé n'est pas
disponible, vous ne serez pas en mesure d'accéder à la base de données système. Il est vivement
recommandé de stocker le mot de passe pour cette ressource dans un emplacement sûr et connu
après le déploiement de la plateforme de BI. Sans le mot de passe, vous ne serez pas en mesure
de régénérer le fichier et vous perdrez par conséquent l'accès à la base de données système.
6.3 Recommandations générales pour la sécurité de votre déploiement
Les instructions suivantes concernent la sécurisation de vos déploiements de la plateforme de BI.
•
•
•
•
•
•
152
Utilisez les pare-feu pour protéger la communication entre le CMS et d'autres composants du
système. Si possible, masquez toujours votre CMS derrière le pare-feu. Tout au moins, assurez-vous
que la base de données système est sécurisée derrière le pare-feu.
Ajoutez un cryptage supplémentaire aux File Repository Servers. Une fois que fonctionne le système,
le contenu propriétaire est stocké sur ces serveurs. Ajoutez un cryptage supplémentaire par le biais
du système d'exploitation ou utilisez un outil tiers.
Déployez les serveurs proxy inverses devant les serveurs d'applications Web afin de les masquer
derrière une adresse IP unique. Cette configuration permet d'acheminer tout le trafic Internet adressé
aux serveurs d'applications Web privés via le serveur proxy inverse, masquant ainsi les adresses IP
privées.
Appliquez de manière stricte les stratégies de l'entreprise en matière de mots de passe . Assurez-vous
que les mots de passe des utilisateurs sont changés régulièrement.
Si vous avez choisi d'installer la base de données système et le serveur d'applications Web fournis
avec la plateforme de BI, consultez la documentation correspondante et assurez-vous que ces
composants sont déployés avec les configurations de sécurité adéquates.
Utilisez le protocole SSL (Secure Sockets Layer) pour toutes les communications réseau établies
entre clients et serveurs au sein de votre déploiement.
2011-05-06
Sécurisation de la plateforme de BI
•
L'accès à la CMC (Central Management Console) doit être limité à l'accès local uniquement. Pour
en savoir plus sur les options de déploiement pour la CMC, voir le Guide de déploiement
d'applications Web de la plateforme SAP BusinessObjects de Business Intelligence.
Rubriques associées
• Spécifications requises pour la communication entre les composants de la plateforme de BI
• Plateforme de Business Intelligence et serveurs proxy inverses
• Configuration du protocole SSL
• Restrictions relatives aux mots de passe
• Configuration de la sécurité pour les serveurs tiers fournis
6.4 Configuration de la sécurité pour les serveurs tiers fournis
Si vous avez choisi d'installer des composants de serveur tiers qui sont fournis avec la plateforme de
BI, il est recommandé d'accéder à la documentation concernant les composants fournis suivants et de
la consulter :
•
•
•
Microsoft SQL Server 2008 Express Edition : Pour des informations détaillées sur la protection de
cette base de données système pour les plateformes Windows, voir http://msdn.microsoft.com/enus/library/bb283235%28v=sql.100%29.aspx.
IBM DB2 Express : Pour des informations détaillées sur la protection de cette base de données
système pour les plateformes Unix, voir http://publib.boulder.ibm.com/infocenter/db2luw/v9r7/in
dex.jsp?nav=/2_ .
Apache Tomcat 6.0 : Pour des informations détaillées sur la sécurité de ce serveur d'applications
Web, voir http://tomcat.apache.org/tomcat-6.0-doc/index.html.
6.5 Relation de confiance active
Dans un environnement en réseau, une relation de confiance entre deux domaines est généralement
une connexion qui permet à un domaine de reconnaître précisément les utilisateurs ayant été authentifiés
par l'autre domaine. Tout en garantissant la sécurité, la relation de confiance permet aux utilisateurs
d'accéder aux ressources dans plusieurs domaines sans avoir à fournir leurs références de connexion
à chaque fois.
Dans l'environnement de la plateforme de BI, la relation de confiance active fonctionne de manière
similaire pour fournir à chaque utilisateur un accès ininterrompu aux ressources de la totalité du système.
Une fois que l'utilisateur a été authentifié et qu'il s'est vu accorder une session active, tous les autres
composants de la plateforme de BI peuvent traiter les requêtes et les actions de l'utilisateur sans
demander de références de connexion. En tant que telle, la relation de confiance fournit la base de la
sécurité distribuée de la plateforme de BI.
153
2011-05-06
Sécurisation de la plateforme de BI
6.5.1 Jetons de connexion
Un jeton de connexion est une chaîne codée qui définit ses propres attributs d'utilisation et contient les
informations de session d'un utilisateur. Les attributs d'utilisation d'un jeton de connexion sont spécifiés
lors de la génération de ce dernier. Ces attributs permettent de placer des restrictions sur le jeton de
connexion afin de réduire le risque d'utilisation du jeton par des utilisateurs malveillants. Les attributs
d'utilisation actuels du jeton de connexion sont :
•
Le nombre de minutes
Cet attribut restreint la durée de vie du jeton de connexion.
•
Le nombre de connexions
Cet attribut restreint le nombre d'utilisations du jeton de connexion pour se connecter à la plateforme
de BI.
Les deux attributs empêchent les utilisateurs malveillants d'accéder, sans autorisation, à la plateforme
de BI avec des jetons de connexion extraits auprès d'utilisateurs légitimes.
Remarque :
L'enregistrement d'un jeton de connexion dans un cookie peut représenter un risque potentiel pour la
sécurité si le réseau entre le navigateur et le serveur Web ou d'applications n'est pas sécurisé ; par
exemple, si la connexion est effectuée via un réseau public et n'utilise pas SSL ou l'authentification
sécurisée. Il est conseillé d'utiliser SSL (Secure Sockets Layer) pour réduire les risques de sécurité
entre le navigateur et le serveur Web ou d'applications.
Lorsque le cookie de connexion a été désactivé et que le serveur Web ou le navigateur Web expire,
l'écran de connexion s'affiche. Lorsque le cookie est activé et que le serveur ou le navigateur expire,
l'utilisateur est reconnecté automatiquement au système. Toutefois, les informations d'état étant liées
à la session Web, l'état de l'utilisateur est perdu. Par exemple, si l'utilisateur a développé une
arborescence de navigation et sélectionné un élément particulier, l'arborescence est réinitialisée.
Sur la plateforme de BI, les jetons de connexion sont activés par défaut sur le client Web, mais vous
pouvez les désactiver pour la zone de lancement BI. Lorsque vous désactivez les jetons de connexion
dans le client, la session utilisateur est limitée par le délai d'expiration du serveur Web ou du navigateur
Web. Lorsque cette session expire, l'utilisateur doit de nouveau se connecter à la plateforme de BI.
6.5.2 Système de ticket pour la sécurité distribuée
Les systèmes d'entreprise dédiés au service d'un grand nombre d'utilisateurs nécessitent généralement
une certaine forme de sécurité distribuée. Un système d'entreprise peut nécessiter une sécurité distribuée
pour prendre en charge des fonctions comme le transfert de confiance (la possibilité d'autoriser un
autre composant à agir au nom de l'utilisateur).
154
2011-05-06
Sécurisation de la plateforme de BI
La plateforme de BI aborde la question de la sécurité distribuée en mettant en œuvre un système de
ticket (rappelant le système de ticket Kerberos). Le CMS accorde des tickets pour autoriser les
composants à exécuter des actions au nom d'un utilisateur particulier. Sur la plateforme de BI, le ticket
est appelé jeton de connexion.
Ce jeton de connexion est le jeton le plus couramment utilisé sur le Web. Lors de la première
authentification des utilisateurs par la plateforme de BI, la CMC leur fournit des jetons de connexion.
Le navigateur Web de l'utilisateur met en cache ce jeton de connexion. Lorsque l'utilisateur effectue
une nouvelle requête, d'autres composants de la plateforme de BI peuvent lire le jeton de connexion
à partir du navigateur Web de l'utilisateur.
6.6 Sessions et suivi de session
En général, une session est une connexion de type client-serveur qui permet à deux ordinateurs
d'échanger des informations. Le statut d'une session est constitué d'un ensemble de données qui
décrivent les attributs de la session, sa configuration ou son contenu. Lorsque vous établissez une
connexion client-serveur sur le Web, la nature du protocole HTTP limite la durée de chaque session à
une seule page d'informations ; par conséquent, votre navigateur Web conserve le statut de chaque
session en mémoire uniquement pendant la durée de l'affichage de cette page Web unique. Dès que
vous passez d'une page Web à une autre, le statut de la première session est remplacé par le statut
de la session suivante. Par conséquent, les sites et les applications Web doivent d'une manière ou
d'une autre stocker le statut d'une session s'ils doivent réutiliser leurs informations dans une autre
session.
La plateforme de BI utilise deux méthodes courantes pour stocker le statut d'une session :
•
Cookies : Un cookie est un petit fichier texte qui stocke le statut d'une session côté client : le
navigateur Web de l'utilisateur met en cache le cookie pour une utilisation ultérieure. Le jeton de
connexion de la plateforme de BI illustre cette méthode.
•
Variables de session : Une variable de session est un fragment de mémoire qui stocke le statut
d'une session côté serveur. Lorsque la plateforme de BI accorde à l'utilisateur une identité active
sur le système, les informations telles que le type d'authentification de l'utilisateur sont stockées
dans une variable de session. Tant que la session est maintenue, le système ne doit ni inviter
l'utilisateur à saisir les informations une deuxième fois, ni répéter une tâche nécessaire à l'exécution
de la requête suivante.
Dans les déploiements Java, la session permet de prendre en charge les requêtes .jsp ; dans les
déploiements .NET, la session permet de prendre en charge les requêtes .aspx.
Remarque :
L'idéal serait que le système préserve la variable de session tant que l'utilisateur reste actif sur le
système. En outre, pour garantir la sécurité et minimiser l'utilisation des ressources, le système devrait
détruire la variable de session dès que l'utilisateur a terminé de travailler sur le système. Mais, étant
donné que l'interaction entre un navigateur Web et un serveur Web peut être sans statut, il est parfois
difficile de savoir à quel moment les utilisateurs quittent le système, s'ils ne se déconnectent pas de
manière explicite. Pour répondre à ce problème, la plateforme de BI implémente le suivi de session.
155
2011-05-06
Sécurisation de la plateforme de BI
6.6.1 Suivi de session du CMS
Le CMS implémente un algorithme de suivi simple. Lorsqu'un utilisateur se connecte, il reçoit une
session du CMS, que le CMS conserve jusqu'à ce qu'il se déconnecte, ou que la variable de session
du serveur d'applications Web soit publiée.
La session du serveur d'applications Web est conçue pour aviser le CMS périodiquement qu'elle est
toujours active, de manière à conserver la session du CMS tant que la session du serveur d'applications
Web existe. Si la session du serveur d'applications Web ne parvient pas à communiquer avec le CMS
pendant une durée de dix minutes, le CMS détruit la session du CMS. Ceci prend en compte des
scénarios dans lesquels les composants côté client s'interrompent de manière irrégulière.
6.7 Protection de l'environnement
La protection de l'environnement fait référence à la sécurité de tout l'environnement dans lequel
communiquent les composants client et serveur. Même si la popularité d'Internet et des systèmes de
type Web ne cesse d'augmenter grâce à leur souplesse d'utilisation et à la gamme de fonctionnalités
qu'ils offrent, ils fonctionnent néanmoins dans un environnement difficile à sécuriser. Lorsque vous
déployez la plateforme de BI, la protection de l'environnement se divise en deux domaines de
communication :
6.7.1 Du navigateur Web au serveur Web
Lors du transfert de données entre le navigateur Web et le serveur Web, un certain degré de sécurité
est généralement requis. Les mesures de sécurité qui s'imposent impliquent deux tâches d'ordre
général :
•
S'assurer que la communication des données est sécurisée ;
•
S'assurer que seuls les utilisateurs autorisés récupèrent des informations sur le serveur Web.
Remarque :
Ces tâches sont généralement prises en charge par les serveurs Web grâce à divers systèmes de
sécurité, qu'il s'agisse du protocole SSL (Secure Sockets Layer) ou d'autres mécanismes similaires. Il
est conseillé d'utiliser SSL (Secure Sockets Layer) pour réduire les risques de sécurité entre le navigateur
et le serveur Web ou d'applications.
156
2011-05-06
Sécurisation de la plateforme de BI
Vous devez sécuriser la communication entre le navigateur Web et le serveur Web indépendamment
de la plateforme de BI. Pour plus d'informations sur la sécurisation des connexions client, consultez la
documentation de votre serveur Web.
6.7.2 Serveur Web vers la plateforme de BI
Les pare-feu sont communément utilisés pour sécuriser le domaine de communication entre le serveur
Web et le reste de l'intranet d'entreprise (y compris la plateforme de BI). La plateforme prend en charge
les pare-feu appliquant un filtrage des adresses IP ou une traduction des adresses réseau statiques
(NAT). Les environnements pris en charge peuvent impliquer plusieurs pare-feu, serveurs Web ou
serveurs d'applications.
6.8 Audit des modifications de la configuration de sécurité
Les modifications apportées aux configurations de sécurité par défaut pour les éléments suivants ne
seront pas auditées par la plateforme de BI :
• Fichiers de propriétés pour les applications Web (BOE, services Web)
• TrustedPrincipal.conf
• Personnalisation réalisée sur la zone de lancement BI et OpenDocument
En règle générale, les modifications de configuration de sécurité effectuées en dehors de la CMC ne
sont pas auditées. Cela s'applique aussi aux modifications effectuées par le biais du Central Configuration
Manager (CCM). Les modifications validées par le biais de la CMC peuvent être auditées.
6.9 Audit de l'activité Web
La plateforme de BI vous permet de maîtriser votre système en enregistrant l'activité Web et en vous
permettant d'en examiner les détails et de les contrôler. Le serveur d'applications Web permet de
sélectionner les attributs Web tels que l'heure, la date, l'adresse IP, le numéro de port, etc. à enregistrer.
Les données d'audit sont consignées sur disque et stockées dans des fichiers texte séparés par des
virgules, de manière à pouvoir vous y reporter facilement ou les importer dans d'autres applications.
6.9.1 Protection contre les tentatives de connexion malveillantes
157
2011-05-06
Sécurisation de la plateforme de BI
Même si un système est sécurisé, il existe souvent un emplacement vulnérable à attaquer :
l'emplacement à partir duquel les utilisateurs se connectent au système. Il est quasiment impossible
de protéger entièrement cet emplacement, car le processus consistant à deviner tout simplement un
nom d'utilisateur et un mot de passe valides reste une manière envisageable de "craquer" le système.
La plateforme de BI met en œuvre plusieurs techniques pour réduire la probabilité qu'un utilisateur
malveillant parvienne à accéder au système. Les différentes restrictions énumérées ci-dessous
s'appliquent uniquement aux comptes Enterprise ; elles ne s'appliquent pas aux comptes que vous
avez mappés à une base de données d'utilisateurs externe (LDAP ou Windows AD). Toutefois, et de
manière générale, votre système externe vous permettra de placer des restrictions similaires sur les
comptes externes.
6.9.2 Restrictions relatives aux mots de passe
Les restrictions relatives au mot de passe incitent les utilisateurs appliquant l'authentification Entreprise
par défaut à créer des mots de passe relativement complexes. Vous pouvez activer les options
suivantes :
•
Respecter la casse dans les mots de passe
Cette option permet de s'assurer que les mots de passe contiennent au moins deux classes de
caractères parmi les suivantes : majuscules, minuscules, nombres ou ponctuation.
•
Doit comprendre N caractères au moins
En exigeant une complexité minimale dans le choix d'un mot de passe, vous réduisez les chances
qu'un utilisateur malveillant devine le mot de passe valide d'un autre utilisateur.
6.9.3 Restrictions relatives aux connexions
Les restrictions relatives aux connexions servent principalement à éviter les attaques à l'aide de
dictionnaires (méthode par laquelle un utilisateur malveillant obtient un nom d'utilisateur valide et tente
de retrouver le mot de passe correspondant en essayant chaque mot du dictionnaire). Grâce à la vitesse
du matériel moderne, des programmes nuisibles peuvent deviner des millions de mots de passe à la
minute. Pour éviter les attaques à l'aide du dictionnaire, la plateforme de BI dispose d'un mécanisme
interne qui impose un délai (0,5 à 1 seconde) entre chaque tentative de connexion. En outre, la
plateforme fournit plusieurs options personnalisables permettant de réduire les risques de ce type
d'attaque :
158
•
Désactiver le compte après N échecs de connexion
•
Réinitialiser le compte dont la connexion a échoué après N minute(s)
•
Réactiver le compte après N minute(s)
2011-05-06
Sécurisation de la plateforme de BI
6.9.4 Restrictions relatives aux utilisateurs
Les restrictions relatives au mot de passe incitent les utilisateurs appliquant l'authentification Entreprise
par défaut à créer régulièrement de nouveaux mots de passe. Vous pouvez activer les options suivantes :
•
Le mot de passe doit être modifié tous les N jour(s)
•
Les N derniers mots de passe ne peuvent être réutilisés
•
Le mot de passe peut être modifié après N minute(s)
Ces options sont pratiques à bien des égards. Premièrement, un utilisateur malveillant qui tente une
attaque à l'aide d'un dictionnaire devra recommencer chaque fois qu'un mot de passe est modifié. En
outre, étant donné que les modifications d'un mot de passe sont basées sur l'heure de la première
connexion de chaque utilisateur, l'utilisateur malveillant ne peut pas facilement déterminer à quel
moment un mot de passe particulier est modifié. De plus, même si un utilisateur malveillant devine ou
obtient de quelque manière que ce soit les références d'un autre d'utilisateur, celles-ci ne seront valides
que pour une durée limitée.
6.9.5 Restrictions relatives au compte Guest
La plateforme de BI prend en charge la connexion unique anonyme pour le compte Guest. Par
conséquent, lorsque les utilisateurs se connectent à la plateforme de BI sans spécifier de nom d'utilisateur
ni de mot de passe, le système les connecte automatiquement sous le compte Guest. Si vous affectez
un mot de passe sécurisé à un compte "Guest", ou si vous désactivez entièrement le compte "Guest",
vous désactivez par la même occasion ce fonctionnement par défaut.
6.10 Extensions de traitement
La plateforme de BI vous permet de renforcer la sécurité de votre environnement de reporting grâce à
l'utilisation d'extensions de traitement personnalisées. Une extension de traitement est une bibliothèque
de codes chargée dynamiquement qui applique une logique d'entreprise à des requêtes particulières
de visualisation ou de planification sur la plateforme de BI avant qu'elles ne soient traitées par le
système.
A travers sa prise en charge des extensions de traitement, le SDK d'administration de la plateforme de
BI livre essentiellement un "descripteur" qui permet aux développeurs d'intercepter la requête. Les
développeurs peuvent ensuite ajouter des formules de sélection à la requête avant que le rapport ne
soit traité.
159
2011-05-06
Sécurisation de la plateforme de BI
L'exemple standard est représenté par une extension de traitement de rapport qui renforce la sécurité
au niveau ligne. Ce type de sécurité restreint l'accès aux données par ligne dans une ou plusieurs
tables de base de données. Le développeur écrit une bibliothèque chargée dynamiquement qui intercepte
les requêtes de visualisation ou de planification d'un rapport (avant que les requêtes ne soient traitées
par un Job Server, un serveur de traitement ou un Report Application Server). Le code du développeur
détermine d'abord le propriétaire du traitement, puis il recherche les droits d'accès aux données de
l'utilisateur dans un système tiers. Le code génère ensuite et ajoute une formule de sélection
d'enregistrements au rapport afin de limiter la quantité de données renvoyées par la base de données.
Dans ce cas, l'extension de traitement sert à intégrer une sécurité de niveau ligne personnalisée dans
l'environnement de la plateforme de BI.
Conseil :
En activant des extensions de traitement, vous configurez les composants serveur de la plateforme de
BI appropriés pour charger dynamiquement vos extensions de traitement au moment de l'exécution.
Le SDK contient une API entièrement documentée que les développeurs peuvent utiliser pour écrire
des extensions de traitement. Pour en savoir plus, voir la documentation pour développeur figurant sur
la distribution de votre produit.
6.11 Présentation de la sécurité des données de la plateforme de BI
Les administrateurs des systèmes de la plateforme de BI gèrent la sécurisation des données sensibles
de la façon suivante :
•
•
Un paramètre de sécurité au niveau du cluster qui détermine quelles applications et quels clients
ont accès au CMS. Ce paramètre est géré via le Central Configuration Manager.
Un système de cryptage à deux clés qui contrôle à la fois l'accès au référentiel CMS et les clés
utilisées pour crypter/décrypter les objets du référentiel. L'accès au référentiel CMS est configuré
via le Central Configuration Manager, tandis que la Central Management Console dispose d'une
zone de gestion dédiée pour les clés de cryptage.
Ces fonctions permettent aux administrateurs de définir les déploiements de la plateforme de BI à des
niveaux de conformité de sécurité des données spécifiques et de gérer les clés de cryptage utilisées
pour crypter et décrypter les données du référentiel CMS.
6.11.1 Modes de sécurité du traitement des données
La plateforme de BI peut fonctionner selon deux modes de sécurité du traitement des données :
•
160
Mode de sécurité du traitement des données par défaut Dans certaines instances, les systèmes
exécutés dans ce mode utilisent des clés de cryptage codées en dur et n'appliquent pas de norme
spécifique. Le mode par défaut active la rétrocompatibilité avec les applications et les outils client
des versions précédentes de la plateforme de BI.
2011-05-06
Sécurisation de la plateforme de BI
•
Un mode de sécurité des données conçu pour appliquer des directives FIPS (Federal Information
Processing Standard), notamment FIPS 140-2. Dans ce mode, des modules de cryptage et des
algorithmes compatibles FIPS protègent les données sensibles. Lorsque la plateforme est exécutée
en mode compatible FIPS, la totalité des applications et des outils client ne répondant pas aux
directives FIPS sont automatiquement désactivés. Les applications et outils client de la plateforme
sont conçus pour répondre au standard FIPS 140-2. Les clients et applications plus anciens ne
fonctionnent pas lorsque la plateforme SAP BusinessObjects 4.0 de Business Intelligence est
exécutée en mode compatible FIPS.
Le mode de traitement des données est transparent pour les utilisateurs du système. Dans les deux
modes de sécurité du traitement des données, les données sensibles sont cryptées et décryptées en
arrière-plan par un moteur de cryptage interne.
Nous recommandons d'utiliser le mode compatible FIPS dans les cas suivants :
•
•
•
Votre déploiement de la plateforme SAP BusinessObjects 4.0 de Business Intelligence ne sera pas
amené à utiliser ou à interagir avec des applications ou outils client hérités de la plateforme de BI.
Les normes et directives de traitement des données établies par votre organisation interdisent
l'utilisation de clés de cryptage codées en dur.
Votre organisation est tenue de sécuriser ses données sensibles conformément aux réglementations
FIPS 140-2.
Le mode de sécurité du traitement des données est défini via le Central Configuration Manager sur les
plateformes Windows comme sur les plateformes UNIX. Chaque nœud d'un environnement en cluster
doit être défini dans le même mode.
6.11.1.1 Activation du mode compatible FIPS sous Windows
Par défaut, le mode compatible FIPS est désactivé après l'installation de la plateforme de BI. Suivez
les instructions ci-dessous pour activer le paramètre compatible FIPS sur tous les nœuds de votre
déploiement.
1. Pour lancer le CCM, accédez à Programmes > SAP BusinessObjects Enterprise XI 4.0 > SAP
BusinessObjects Enterprise > Central Configuration Manager.
2. Dans le CCM, cliquez avec le bouton droit de la souris sur le Server Intelligence Agent (SIA) et
sélectionnez Arrêter.
Attention :
Ne passez à l'étape 3 que lorsque le statut du SIA affiche "Arrêté".
3. Cliquez avec le bouton droit sur le SIA et choisissez Propriétés.
La boîte de dialogue "Propriétés" s'ouvre et affiche l'onglet Propriétés.
4. Ajoutez -fips dans le champ "Commande" et cliquez sur Appliquer.
5. Cliquez sur OK pour fermer la boîte de dialogue "Propriétés".
6. Redémarrez le SIA.
Le SIA fonctionne désormais en mode compatible FIPS.
161
2011-05-06
Sécurisation de la plateforme de BI
Vous devez activer le paramètre compatible FIPS sur tous les SIA de votre déploiement de la plateforme
de BI.
6.11.1.2 Activation du mode compatible FIPS sous UNIX
Tous les nœuds de votre déploiement de la plateforme de BI doivent être arrêtés avant de tenter la
procédure suivante.
Par défaut, le mode compatible FIPS est désactivé après l'installation de la plateforme de BI. Suivez
les instructions ci-dessous pour activer le paramètre compatible FIPS sur tous les nœuds de votre
déploiement.
1. Accédez au répertoire dans lequel la plateforme de BI est installée sur votre machine UNIX.
2. Accédez au répertoire sap_bobj.
3. Saisissez ccm.config et appuyez sur la touche Entrée.
Le fichier ccm.config est chargé.
4. Ajoutez -fips au paramètre de commande de lancement du nœud.
Le paramètre de commande de lancement du nœud s'affiche sous la forme [nom du nœudLancer].
5. Enregistrez vos modifications et cliquez sur Quitter.
6. Redémarrez le nœud.
Le nœud fonctionne désormais en mode compatible FIPS.
Vous devez activer le paramètre compatible FIPS sur tous les nœuds de votre déploiement de la
plateforme de BI.
6.11.1.3 Désactivation du mode compatible FIPS sous Windows
Tous les serveurs de votre déploiement de la plateforme de BI doivent être arrêtés avant de tenter la
procédure suivante.
Si votre déploiement est exécuté en mode compatible FIPS, procédez comme suit pour désactiver ce
paramètre.
1. Dans le CCM, cliquez avec le bouton droit de la souris sur le Server Intelligence Agent (SIA) et
sélectionnez Arrêter.
Attention :
Ne passez à l'étape 2 que lorsque le statut du nœud affiche "Arrêté".
2. Cliquez avec le bouton droit sur le SIA et choisissez Propriétés.
La boîte de dialogue "Propriétés" s'ouvre et affiche l'onglet Propriétés.
162
2011-05-06
Sécurisation de la plateforme de BI
3. Supprimez -fips du champ "Commande" et cliquez sur Appliquer.
4. Cliquez sur OK pour fermer la boîte de dialogue "Propriétés".
5. Redémarrez le SIA.
6.12 Cryptographie sur la plateforme de BI
Données sensibles
La fonction de cryptage de la plateforme de BI est conçue pour protéger les données sensibles stockées
dans le référentiel CMS. Les données sensibles incluent les références de connexion utilisateur, les
données de connectivité des sources de données et tout autre objet d'information stockant un mot de
passe. Ces données sont cryptées afin d'en garantir la confidentialité, de les protéger de la corruption
et d'en contrôler l'accessibilité. Toutes les ressources de cryptage requises (notamment le moteur de
cryptage, les bibliothèques RSA) sont installées par défaut sur chaque déploiement de la plateforme
de BI.
La plateforme de BI utilise un système de cryptage à deux clés.
Clés de cryptage
Le cryptage et le décryptage des données sensibles sont traités en arrière-plan via l'interaction du SDK
avec le moteur de cryptage interne. Les administrateurs système gèrent la sécurité des données à
l'aide de clés de cryptage symétriques, sans crypter ou décrypter directement des blocs de données
spécifiques.
Sur la plateforme de BI, des clés de cryptage symétriques (également appelées clés de chiffrement)
sont utilisées pour crypter/décrypter les données sensibles. La Central Management Console dispose
d'une zone de gestion dédiée aux clés de cryptage. La zone "Clés de cryptage" permet d'afficher, de
générer, de désactiver, de bloquer et de supprimer des clés. Le système veille à ce qu'aucune clé
nécessaire au décryptage de données sensibles ne puisse être supprimée.
Clés de cluster
Les clés de cluster sont des clés symétriques qui "enveloppent" les clés protégeant les clés de cryptage
stockées dans le référentiel CMS. Grâce à des algorithmes de clés symétriques, les clés de cluster
garantissent un certain niveau d'accessibilité au référentiel CMS. Une clé de cluster est affectée à
chaque nœud de la plateforme de BIau cours de la configuration de l'installation. Les administrateurs
système peuvent utiliser le CCM pour réinitialiser la clé de cluster.
6.12.1 Utilisation de clés de cluster
Au cours de la configuration d'installation de la plateforme de BI, une clé de cluster à huit caractères
est créée pour le Server Intelligence Agent. Cette clé permet de crypter toutes les clés de cryptage du
référentiel CMS. Si vous ne disposez pas de la clé de cluster adéquate, vous ne pouvez pas accéder
163
2011-05-06
Sécurisation de la plateforme de BI
au CMS. La clé de cluster est stockée dans un format chiffré dans le fichier dbinfo. Dans une installation
Windows par défaut, le fichier est stocké dans le répertoire suivant : C:\Program Files (x86)\SAP
BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\win64_x64 . Dans les
systèmes Unix, le fichier est stocké dans le répertoire de la plateforme sous <REPINS
TALL>/sap_bobj/enterprise_xi40/.
Plateforme Unix
Chemin
AIX
<REPINSTALL>/sap_bobj/enterprise_xi40/ aix_rs6000/
Solaris
<REPINSTALL>/sap_bobj/enterprise_xi40/
solaris_sparc/
Linux
<REPINSTALL>/sap_bobj/enterprise_xi40/ linux_x86/
HP_UX
<REPINSTALL>/sap_bobj/enterprise_xi40/ hpux_pa-risc/
Le nom de fichier est basé sur la convention suivante : _boe_<sia_name>.dbinfo, où <sia_name>
est le nom du Server Intelligence Agent pour le cluster.
Remarque :
La clé de cluster d'un nœud ne peut pas être extraite du fichier dbinfo. Nous recommandons aux
administrateurs système de prendre des mesures scrupuleuses pour protéger les clés de cluster.
Seuls les utilisateurs disposant des droits d'administrateur peuvent réinitialiser les clés de cluster. Si
nécessaire, utilisez le CCM pour réinitialiser la clé de cluster à huit caractères pour chaque nœud de
votre déploiement. De nouvelles clés de cluster sont automatiquement utilisées pour "envelopper" les
clés de cryptage dans le référentiel CMS.
6.12.1.1 Réinitialisation de la clé de cluster sous Windows
Avant de réinitialiser la clé de cluster, veillez à ce que tous les serveurs gérés par le Server Intelligence
Agent soient à l'arrêt.
Procédez comme suit pour réinitialiser la clé de cluster de votre nœud.
1. Pour lancer le CCM, accédez à Programmes > SAP BusinessObjects Enterprise XI 4.0 > SAP
BusinessObjects Enterprise > Central Configuration Manager.
2. Dans le CCM, cliquez avec le bouton droit de la souris sur le Server Intelligence Agent (SIA) et
sélectionnez Arrêter.
Attention :
Ne passez à l'étape 3 que lorsque le statut du SIA affiche "Arrêté".
3. Cliquez avec le bouton droit de la souris sur le Server Intelligence Agent (SIA) et sélectionnez
Propriétés.
La boîte de dialogue "Propriétés" s'ouvre.
4. Cliquez sur l'onglet Configuration.
164
2011-05-06
Sécurisation de la plateforme de BI
5. Cliquez sur Modifier sous "Configuration de la base de données système du CMS".
Un message d'avertissement s'affiche.
6. Cliquez sur Oui pour continuer.
La boîte de dialogue "Modifier la clé de cluster" s'affiche.
7. Saisissez la même clé à huit caractères dans le champ "Nouvelle clé de cluster" et le champ
"Confirmer la nouvelle clé de cluster".
Remarque :
Sur les plateformes Windows, les clés de cluster doivent contenir une combinaison de caractères
en minuscule et en majuscule. Les utilisateurs peuvent aussi générer une clé aléatoire. La clé
aléatoire est requise pour la compatibilité FIPS.
8. Cliquez sur OK pour soumettre la nouvelle clé de cluster au système.
Un message confirmant que la clé de cluster a été correctement réinitialisée s'affiche.
9. Redémarrez le SIA.
En cas de cluster multi-nœuds, vous devez réinitialiser les clés de cluster pour tous les SIA de votre
déploiement de la plateforme de BI avec cette nouvelle clé.
6.12.1.2 Réinitialisation de la clé de cluster sous UNIX
Avant de réinitialiser la clé de cluster d'un nœud, veillez à ce que tous les serveurs gérés par le nœud
soient à l'arrêt.
1. Accédez au répertoire dans lequel la plateforme de BI est installée sur votre machine UNIX.
2. Passez dans le répertoire sap bobj.
3. Saisissez cmsdbsetup.sh et appuyez sur la touche Entrée.
L'écran "Configuration de la base de données CMS" s'affiche.
4. Saisissez le nom du nœud et appuyez sur la touche Entrée.
5. Tapez 2 pour modifier la clé de cluster.
Un message d'avertissement s'affiche.
6. Sélectionnez Oui pour continuer.
7. Dans le champ proposé, saisissez une nouvelle clé de cluster à huit caractères et appuyez sur la
touche Entrée.
Remarque :
Sur les plateformes UNIX, une clé de cluster valide contient une combinaison de huit caractères
sans restrictions.
8. Saisissez à nouveau la nouvelle clé de cluster dans le champ proposé et appuyez sur la touche
Entrée.
Un message s'affiche vous informant que la clé de cluster a bien été réinitialisée.
165
2011-05-06
Sécurisation de la plateforme de BI
9. Redémarrez le nœud.
Vous devez réinitialiser tous les nœuds de votre déploiement de la plateforme de BI pour utiliser la
même clé de cluster.
6.12.2 Agents de cryptographie
Pour gérer les clés de cryptage dans la CMC, vous devez être membre du groupe Agents de
cryptographie. Le compte administrateur par défaut créé pour la plateforme de BI est également membre
du groupe Agents de cryptographie. Utilisez ce compte pour ajouter des utilisateurs au groupe Agents
de cryptographie selon vos besoins. Nous recommandons de restreindre les membres du groupe à un
nombre limité d'utilisateurs.
Remarque :
Lorsque des utilisateurs sont ajoutés au groupe Administrateurs, ils n'héritent pas des droits requis
pour effectuer des tâches de gestion sur des clés de cryptage.
6.12.2.1 Ajout d'un utilisateur au groupe Agents de cryptographie
Un compte utilisateur doit exister sur la plateforme de BI avant de pouvoir être ajouté au groupe Agents
de cryptographie.
Remarque :
Vous devez être membre des groupes Administrateurs et Agents de cryptographie pour ajouter un
utilisateur au groupe Agents de cryptographie.
1. Dans la zone de gestion des "Utilisateurs et groupes" de la CMC, sélectionnez le groupe Agents
de cryptographie.
2. Cliquez sur Actions > Ajouter des membres au groupe.
La boîte de dialogue "Ajouter" s'ouvre.
3. Cliquez sur Liste des utilisateurs.
La liste Utilisateurs/Groupes disponibles est actualisée et affiche tous les comptes utilisateur du
système.
4. Déplacez le compte utilisateur que vous souhaitez ajouter au groupe Agents de cryptographie de
la liste Utilisateurs/Groupes disponibles vers la liste Utilisateurs/Groupes sélectionnés.
Conseil :
Pour rechercher un utilisateur particulier, utilisez le champ Rechercher.
5. Cliquez sur OK.
166
2011-05-06
Sécurisation de la plateforme de BI
En qualité de membre du groupe Agents de cryptographie, le compte récemment ajouté aura accès à
la zone de gestion des "Clés de cryptage" de la CMC.
6.12.2.2 Affichage des clés de cryptage dans la CMC
L'application de la CMC contient une zone de gestion dédiée aux clés de cryptage utilisées par le
système de la plateforme de BI. L'accès à cette zone est réservé aux membres du groupe Agents de
cryptographie.
1. Pour lancer la CMC, accédez à Programmes > SAP BusinessObjects XI 4.0 > SAP
BusinessObjects Enterprise > SAP BusinessObjects Enterprise Central Management Console.
La page d'accueil de la CMC s'ouvre.
2. Cliquez sur l'onglet "Clés de cryptage".
La zone de gestion des "clés de cryptage" s'affiche.
3. Double-cliquez sur la clé de cryptage sur laquelle vous souhaitez afficher de plus amples détails.
Rubriques associées
• Affichage des objets associés à une clé de cryptage
6.12.3 Gestion des clés de cryptage dans la CMC
Les agents de cryptographie utilisent la zone de gestion des "clés de cryptage" pour examiner, générer,
désactiver, bloquer et supprimer les clés servant à protéger les données sensibles stockées dans le
référentiel CMS.
Toutes les clés de cryptage actuellement définies dans le système sont répertoriées dans la zone de
gestion des "clés de cryptage". Les informations de base concernant chaque clé sont fournies dans
les en-têtes présentés dans le tableau suivant :
En-tête
Description
Titre
Nom permettant d'identifier la clé de cryptage
Statut
Statut actuel de la clé
Dernière modification
Horodatage de la dernière modification associée à la clé de cryptage
Objets
Nombre d'objets associés à la clé
Rubriques associées
• Statut des clés de cryptage
167
2011-05-06
Sécurisation de la plateforme de BI
• Création d'une clé de cryptage
• Suppression d'une clé de cryptage du système
• Blocage d'une clé de cryptage
• Affichage des objets associés à une clé de cryptage
• Définition des clés de cryptage sur le statut Compromis
6.12.3.1 Statut des clés de cryptage
Le tableau suivant répertorie toutes les options de statut possibles pour les clés de cryptage dans la
plateforme de BI :
168
Statut
Description
Actif
Une seule clé de cryptage peut être définie sur le statut "Actif"
dans le système. Cette clé permet de crypter les données sensibles qui seront stockées dans la base de données du CMS.
Cette clé permet également de décrypter tous les objets qui
apparaissent dans la liste Objet. Une fois qu'une clé de cryptage
est créée, le statut "Actif" devient "Désactivé". Une clé active
ne peut pas être supprimée du système.
Désactivé
Une clé définie sur le statut "Désactivé" ne peut plus être utilisée
pour crypter des données. Elle permet toutefois de décrypter
tous les objets qui apparaissent dans la liste Objet. La réactivation d'une clé n'est plus possible dès lors qu'elle a été désactivée. Une clé définie sur le statut "Désactivé" ne peut pas être
supprimée du système. Vous devez définir le statut de la clé
sur "Bloqué" pour pouvoir la supprimer.
Compromis
Une clé de cryptage dont la sécurité est douteuse peut être
définie sur le statut Compromis. En l'indiquant de la sorte, vous
pouvez procéder ultérieurement au recryptage des objets de
données encore associés à cette clé. Une fois qu'une clé est
définie sur le statut Compromis, elle doit être bloquée pour
pouvoir être supprimée du système.
Bloqué
Lorsqu'une clé de cryptage est bloquée, un processus est lancé
dans lequel tous les objets actuellement associés à la clés sont
recryptés avec la clé de cryptage actuellement définie sur le
statut Actif. Une fois qu'une clé est définie sur le statut Bloqué,
elle peut être supprimée du système en toute sécurité. Le mécanisme de blocage garantit que les données de la base de
données du CMS peuvent toujours être déchiffrées. Il n'existe
aucun moyen de réactiver une clé une fois qu'elle a été bloquée.
2011-05-06
Sécurisation de la plateforme de BI
Statut
Description
Désactivé : renouvellement du cryptage en cours de traitement
Indique que la clé de cryptage est sur le point d'être bloquée.
Une fois ce processus terminé, la clé passe au statut "Bloqué".
Désactivé : régénération de clé suspe- Indique que le processus de blocage de la clé de cryptage a
ndue
été suspendu. Cela survient généralement lorsque le processus
a été suspendu délibérément ou si un objet de données associé
à la clé n'est pas disponible.
Bloqué-Compromis
Une clé affiche le statut Bloqué-Compromis si elle a été définie
sur le statut Compromis et que toutes les données qui lui
étaient préalablement associées ont été chiffrées avec une
autre clé. Lorsqu'une clé définie sur le statut "Désactivé" prend
le statut Compromis, vous avez le choix entre ne rien faire ou
bloquer la clé. Une fois qu'une clé définie sur le statut Compromis est bloquée, elle peut être supprimée.
6.12.3.2 Affichage des objets associés à une clé de cryptage
1. Sélectionnez la clé dans la zone de gestion des "Clés de cryptage" de la CMC.
2. Cliquez sur Gérer > Propriétés.
La boîte de dialogue "Propriétés" de la clé de cryptage s'ouvre.
3. Cliquez sur "Liste d'objets"dans le volet de navigation situé à gauche de la boîte de dialogue
"Propriétés".
Tous les objets associés à la clé de cryptage sont répertoriés à droite du volet de navigation.
Conseil :
Utilisez les fonctions de recherche pour rechercher un objet spécifique.
6.12.3.3 Création d'une clé de cryptage
Attention :
Lors de la création d'une clé de cryptage, le système désactive automatiquement la clé dont le statut
est "Actif". Lorsqu'une clé a été désactivée, elle ne peut plus reprendre le statut "Actif".
1. Dans la zone de gestion des "clés de cryptage"de la CMC, cliquez surGérer > Créer > Clé de
cryptage.
La boîte de dialogue "Créer une clé de cryptage" s'ouvre et affiche un message d'avertissement.
169
2011-05-06
Sécurisation de la plateforme de BI
2. Cliquez sur Continuer pour créer la clé de cryptage.
3. Saisissez le nom et la description de la nouvelle clé de cryptage, puis cliquez sur OK pour enregistrer
vos informations.
La nouvelle clé est répertoriée comme l'unique clé active dans la zone de gestion des "clés de
cryptage". La clé qui affichait auparavant le statut "Actif" apparaît désormais avec le statut "Désactivé."
Toutes les nouvelles données sensibles générées et stockées dans la base de données du CMS seront
à présent cryptées avec la nouvelle clé de cryptage. Vous avez la possibilité de bloquer la clé précédente
et de recrypter tous ses objets de données avec la nouvelle clé active.
6.12.3.4 Définition des clés de cryptage sur le statut Compromis
Vous pouvez définir une clé de cryptage sur le statut Compromis si, pour une raison ou une autre, cette
clé n'est plus considérée comme sûre. Cette fonction est utile dans le cadre du suivi des objectifs et
permet d'identifier les objets de données associés à la clé. Une clé de cryptage doit être désactivée
avant de pouvoir être définie sur le statut Compromis.
Remarque :
Vous pouvez également définir une clé sur le statut Compromis après l'avoir bloquée.
1. Accédez à la zone de gestion des "clés de cryptage" de la CMC.
2. Sélectionnez la clé de cryptage à définir sur le statut Compromis.
3. Cliquez sur Actions > Marquer comme compromis.
La boîte de dialogue "Marquer comme compromis" affiche un message d'avertissement.
4. Cliquez sur Continuer.
5. Sélectionnez l'une des options suivantes dans la boîte de dialogue "Marquer comme compromis" :
• Oui : lance le processus de recryptage de tous les objets de données associés à la clé définie
sur le statut Compromis.
• Non : la boîte de dialogue "Marquer comme compromis" est fermée et la clé de cryptage est
définie sur le statut "Compromis" dans la zone de gestion des "clés de cryptage".
Remarque :
Si vous sélectionnez Non, les données sensibles restent associées à la clé définie sur le statut
Compromis. Celle-ci sera utilisée par le système pour décrypter les objets associés.
Rubriques associées
• Blocage d'une clé de cryptage
• Statut des clés de cryptage
• Affichage des objets associés à une clé de cryptage
170
2011-05-06
Sécurisation de la plateforme de BI
6.12.3.5 Blocage d'une clé de cryptage
Une clé de cryptage portant le statut "Désactivé" peut être utilisée par les objets de données qui lui
sont associés. Pour annuler l'association entre les objets cryptés et la clé désactivée, vous devez
bloquer cette clé en suivant les instructions ci-dessous.
1. Sélectionnez la clé à bloquer dans la liste de clés de la zone de gestion des "clés de cryptage".
2. Cliquez sur Actions > Bloquer la clé de cryptage.
La boîte de dialogue "Bloquer la clé de cryptage" s'ouvre et affiche un message d'avertissement.
3. Cliquez sur OK pour bloquer la clé de cryptage.
Un processus est lancé pour crypter tous les objets de données de la clé avec la clé actuellement
active. Si les clés sont associées à de nombreux objets de données, elles sont marquées comme
"Désactivé : renouvellement du cryptage en cours de traitement" jusqu'à ce que le processus de
renouvellement de cryptage soit terminé.
Lorsqu'une clé de cryptage a été bloquée, elle peut être supprimée du système en toute sécurité du
fait qu'aucun objet de données sensibles ne requiert cette clé pour être décrypté.
6.12.3.6 Suppression d'une clé de cryptage du système
Avant de pouvoir supprimer une clé de cryptage de la plateforme de BI, vous devez vérifier qu'aucun
objet de données du système ne requiert cette clé. Cette restriction garantit que toutes les données
sensibles stockées dans le référentiel CMS puissent toujours être décryptées.
Une fois la clé de cryptage bloquée, suivez les instructions ci-dessous pour supprimer la clé du système.
1. Accédez à la zone de gestion des "clés de cryptage" de la CMC.
2. Sélectionnez la clé de cryptage à supprimer.
3. Cliquez sur Gérer > Supprimer.
La boîte de dialogue "Supprimer la clé de cryptage" affiche un message d'avertissement.
4. Cliquez sur Supprimer pour supprimer la clé de cryptage du système.
La clé supprimée n'apparaît plus dans la zone de gestion des "clés de cryptage" de la CMC.
Remarque :
Lorsqu'une clé de cryptage a été supprimée du système, elle ne peut plus être restaurée.
Rubriques associées
• Blocage d'une clé de cryptage
• Statut des clés de cryptage
171
2011-05-06
Sécurisation de la plateforme de BI
6.13 Configuration des serveurs pour SSL
Vous pouvez utiliser le protocole SSL (Secure Sockets Layer) pour toutes les communications réseau
établies entre clients et serveurs au sein de votre déploiement de la plateforme de BI.
Pour configurer le protocole SSL pour toutes les communications serveur, vous devez effectuer les
opérations suivantes :
•
Déployez la plateforme de BI avec le protocole SSL activé.
•
Créez des fichiers de clé et de certificat pour chaque ordinateur faisant partie de votre déploiement.
•
Configurez l'emplacement de ces fichiers dans le CCM (Central Configuration Manager) et votre
serveur d'applications Web.
Remarque :
Si vous utilisez des clients lourds, tels que Crystal Reports ou Designer, vous devez également les
configurer pour SSL si vous voulez vous connecter au CMS à partir de ces clients lourds. Sinon, vous
obtiendrez des messages d'erreur lorsque vous tenterez de vous connecter à un CMS configuré pour
SSL à partir d'un client lourd non configuré de la même manière.
6.13.1 Création de fichiers de clé et de certificat
Pour configurer le protocole SSL pour vos communications serveur, créez un fichier de clé et un fichier
de certificat pour chaque ordinateur faisant partie de votre déploiement à l'aide de l'outil de ligne de
commande SSLC.
Remarque :
•
•
•
Vous devez créer des certificats et des clés pour tous les ordinateurs du déploiement, y compris
ceux qui exécutent des composants client lourds tels que Crystal Reports. Pour ces ordinateurs
client, utilisez l'outil de ligne de commande sslconfig pour effectuer la configuration.
Pour une sécurité maximale, toutes les clés privées doivent être protégées et ne doivent pas être
transférées sur des canaux de communication non protégés.
Les certificats créés pour des versions antérieures de la plateforme de BI ne fonctionneront pas
avec la plateforme SAP BusinessObjects 4.0 de Business Intelligence. Ces certificats devront être
recréés.
6.13.1.1 Pour créer un fichier de clé et un fichier de certificat pour un ordinateur
172
2011-05-06
Sécurisation de la plateforme de BI
1. Exécutez l'outil de ligne de commande SSLC.exe.
L'outil SSLC est installé avec votre logiciel de plateforme de BI. (Sous Windows par exemple, il se
trouve par défaut dans le répertoire <REPINSTALL>\SAP BusinessObjects Enterprise XI
4.0\win64_x64.)
2. Saisissez la commande suivante :
sslc req -config sslc.cnf -new -out cacert.req
Cette commande crée deux fichiers : une demande de certificat auprès d'une autorité de certification
(cacert.req) et un fichier de clé privée (privkey.pem).
3. Pour décrypter la clé privée, saisissez la commande suivante :
sslc rsa -in privkey.pem -out cakey.pem
Cette commande crée la clé décryptée cakey.pem.
4. Pour signer le certificat émis par l'autorité de certification, saisissez la commande suivante :
sslc x509 -in cacert.req -out cacert.pem -req -signkey cakey.pem -days 365
Cette commande crée un certificat auto-signé (cacert.pem), qui expire au bout de 365 jours.
Choisissez le nombre de jours le mieux adapté à vos besoins en terme de sécurité.
5. A l'aide d'un éditeur de texte, ouvrez le fichier sslc.cnf situé dans le même dossier que l'outil de
ligne de commande SSLC.
Remarque :
L'utilisation d'un éditeur de texte est fortement recommandée pour Windows, car Windows Explorer
risque de ne pas reconnaître et afficher correctement les fichiers ayant l'extension .cnf.
6. Suivez la procédure ci-après basée sur les paramètres du fichier sslc.cnf.
•
Placez les fichiers cakey.pem et cacert.pem dans les répertoires spécifiés par les options
certificate et private_key du fichier sslc.cnf.
Par défaut, les paramètres dans le fichier sslc.cnf sont les suivants :
certificate = $dir/cacert.pem
private_key = $dir/private/cakey.pem
•
Créez un fichier portant le nom spécifié par le paramètre database du fichier sslc.cnf.
Remarque :
Par défaut, ce fichier est $dir/index.txt. Le fichier doit être vide.
•
Créez un fichier portant le nom spécifié par le paramètre serial du fichier sslc.cnf.
Assurez-vous que ce fichier comporte un numéro de série de type chaîne d'octets (format
hexadécimal).
173
2011-05-06
Sécurisation de la plateforme de BI
Remarque :
Pour être sûr de pouvoir créer et signer d'autres certificats, choisissez un grand nombre
hexadécimal comportant un nombre pair de chiffres, tel que
11111111111111111111111111111111.
•
Créez le répertoire spécifié par le paramètre new_certs_dir du fichier sslc.cnf.
7. Pour créer une demande de certificat et une clé privée, saisissez la commande suivante :
sslc req -config sslc.cnf -new -out servercert.req
Le certificat et les fichiers de clés générés sont placés dans le dossier de travail en cours.
8. Exécutez la commande suivante pour décrypter la clé dans le fichier privkey.pem.
sslc rsa -in privkey.pem -out server.key
9. Pour signer le certificat validé par l'autorité de certification, saisissez la commande suivante :
sslc ca -config sslc.cnf -days 365 -out servercert.pem -in servercert.req
Cette commande crée le fichier servercert.pem qui contient le certificat signé.
10. Tapez les commandes suivantes pour convertir les certificats en certificats codés DER :
sslc x509 -in cacert.pem -out cacert.der -outform DER
sslc x509 -in servercert.pem -out servercert.der -outform DER
Remarque :
Le certificat émis par l'autorité de certification (cacert.der) et la clé privée correspondante (cakey.pem)
ne doivent être générés qu'une seule fois par déploiement. Tous les ordinateurs du même déploiement
doivent partager les mêmes certificats. Tous les autres certificats doivent être signés par la clé
privée de l'un des certificats émanant de l'autorité de certification.
11. Créez un fichier texte passphrase.txtpour stocker la phrase de passe en texte brut utilisée
pour décrypter la clé privée générée.
12. Stockez les fichiers de clé et de certificat suivants dans un emplacement sûr (sous le même répertoire
(d:/ssl)) accessible aux ordinateurs de votre déploiement de la plateforme de BI :
•
fichier de certificat approuvé (cacert.der)
•
fichier de certificat serveur généré (servercert.der)
•
fichier de clé serveur (server.key)
•
fichier de phrase de passe
Cet emplacement sera utilisé pour configurer le protocole SSL pour le CCM et votre serveur
d'applications Web.
174
2011-05-06
Sécurisation de la plateforme de BI
6.13.2 Configuration du protocole SSL
Après avoir créé des fichiers de clé et de certificat pour chaque ordinateur de votre déploiement et les
avoir stockés en lieu sûr, vous devez indiquer l'emplacement de ces fichiers au CCM (Central
Configuration Manager) et à votre serveur d'applications Web.
Vous devez également implémenter certaines étapes pour configurer le protocole SSL pour le serveur
d'applications Web et pour tout ordinateur exécutant une application client lourd.
6.13.2.1 Pour configurer le protocole SSL pour le CCM
1. Dans le CCM, cliquez avec le bouton droit sur le Server Intelligence Agent et choisissez Propriétés.
2. Dans la boîte de dialogue Propriétés, cliquez sur l'onglet Protocole.
3. Vérifiez que l'option Activer SSL est sélectionnée.
4. Fournissez le chemin de fichier du répertoire dans lequel vous avez stocké les fichiers des clés et
des certificats.
Champ
Description
Dossier des certificats SSL
Dossier où sont stockés les certificats SSL et fichiers requis.
Par exemple :d:\ssl
Fichier du certificat SSL du serveur Nom du fichier utilisé pour stocker le certificat SSL du serveur.
Par défaut, servercert.der
Fichiers des certificats SSL approu- Nom du fichier avec le certificat approuvé SSL. Par défaut,
vés
cacert.der
Fichier de la clé privée SSL
Nom du fichier de clé privée SSL utilisé pour accéder au certificat. Par défaut, server.key
Fichier contenant la phrase de pa- Nom du fichier texte contenant la phrase de passe utilisée pour
sse de la clé privée SSL
accéder à la clé privée. Par défaut, passphrase.txt
Remarque :
Vérifiez que le répertoire mentionné se trouve sur l'ordinateur sur lequel s'exécute le serveur.
6.13.2.2 Pour configurer le protocole SSL sous UNIX
175
2011-05-06
Sécurisation de la plateforme de BI
Vous devez utilisez le script serverconfig.sh pour configurer le protocole SSL pour un SIA. Ce
script fournit un programme textuel qui vous permet d'afficher des informations sur les serveurs et
d'ajouter et de supprimer des serveurs de votre installation. Le script serverconfig.sh se trouve
dans le répertoire sap_bobj de votre installation.
1. Utilisez le script ccm.sh pour arrêter le SIA et tous les serveurs SAP BusinessObjects.
2. Exécutez le script serverconfig.sh.
3. Sélectionnez 3 - Modifier un Server Intelligence Agent, puis appuyez sur la touche Entrée.
4. Spécifiez le SIA cible et appuyez sur Entrée.
5. Sélectionnée l'option Modifier la configuration SSL du Server Intelligence Agent.
6. Sélectionnez ssl.
Lorsque vous y êtes invité, spécifiez les emplacements de certificats SSL.
7. Répétez les étapes 1 à 6 pour chaque SIA si votre déploiement de la plateforme de BI est un cluster
de SIA.
8. Démarrez le SIA avec le script ccm.sh et attendez le démarrage des serveurs.
6.13.2.3 Pour configurer le protocole SSL pour le serveur d'applications Web
1. Si vous disposez d'un serveur d'applications Web J2EE, exécutez le SDK Java avec les propriétés
système suivantes : Par exemple :
-Dbusinessobjects.orb.oci.protocol=ssl -DcertDir=d:\ssl -DtrustedCert=cacert.der
-DsslCert=clientcert.der -DsslKey=client.key -Dpassphrase=passphrase.txt
Le tableau ci-dessous affiche les descriptions correspondant à ces exemples.
176
Exemple
Description
DcertDir=d:\ssl
Répertoire de stockage des certificats et des
clés.
DtrustedCert=cacert.der
Fichier de certificat approuvé. Si vous en spécifiez plusieurs, séparez-les par des points-virgules.
DsslCert=clientcert.der
Certificat utilisé par le SDK.
DsslKey=client.key
Clé privée du certificat SDK.
2011-05-06
Sécurisation de la plateforme de BI
Exemple
Description
Dpassphrase=passphrase.txt
Fichier de stockage de la phrase de passe de
la clé privée.
2. Si vous disposez d'un serveur d'applications Web IIS, exécutez l'outil sslconfig à partir de la ligne
de commande et suivez les étapes de configuration.
6.13.2.4 Pour configurer les clients lourds
Avant d'effectuer la procédure suivante, vous devez créer et enregistrer toutes les ressources SSL
nécessaires (les certificats et les clés privées, par exemple) dans un répertoire connu.
Dans la procédure ci-dessous, il est supposé que vous avez suivi les instructions de création des
ressources SSL suivantes :
Ressource SSL
Dossier des certificats SSL
d:\ssl
Nom du fichier du certificat SSL du serveur
servercert.der
Certificat approuvé SSL ou nom du fichier de certificat racine
cacert.der
Nom du fichier de la clé privée SSL
server.key
Fichier contenant la phrase de passe pour accéder au fichier de la clé privée passphrase.txt
SSL
Une fois les ressources ci-dessus créées, observez les instructions suivantes pour configurer les
applications client lourd telles que le Central Configuration Manager (CCM) ou l'outil de gestion de la
mise à niveau.
1. Assurez-vous que l'application client lourd n'est pas en cours d'opération.
Remarque :
Vérifiez que le répertoire mentionné se trouve sur l'ordinateur sur lequel s'exécute le serveur.
2. Exécutez l'outil de ligne de commande sslconfig.exe.
L'outil SSLC est installé avec votre logiciel de plateforme de BI. (Sous Windows par exemple, il se
trouve par défaut dans le répertoire <REPINSTALL>\SAP BusinessObjects Enterprise XI
4.0\win64_x64.)
177
2011-05-06
Sécurisation de la plateforme de BI
3. Saisissez la commande suivante :
sslconfig.exe -dir d:\SSL -mycert servercert.der -rootcert cacert.der -mykey server.key
-passphrase passphrase.txt -protocol ssl
4. Relancez l'application client lourd.
Rubriques associées
• Pour créer un fichier de clé et un fichier de certificat pour un ordinateur
6.13.2.4.1 Pour configurer la connexion SSL pour l'outil de gestion de la traduction
Pour permettre aux utilisateurs d'utiliser la connexion SSL avec l'outil de gestion de la traduction, les
informations concernant les ressources SSL doivent être ajoutées au fichier de configuration (.ini)
de l'outil.
1. Cherchez le fichier TransMgr.ini dans le répertoire suivant : <REPINSTALL>\SAP BusinessObjects
Enterprise XI 4.0\win32_x86.
2. A l'aide d'un éditeur de texte, ouvrez le fichier TransMgr.ini.
3. Ajoutez les paramètres suivants :
-Dbusinessobjects.orb.oci.protocol=ssl -DcertDir=D:\SSLCert
-DtrustedCert=cacert.der -DsslCert=servercert.der -DsslKey=server.key
-Dpassphrase=passphrase.txt -jar program.jar
4. Enregistrez le fichier et fermez l'éditeur de texte.
Les utilisateurs peuvent à présent utiliser SSL pour se connecter à l'outil de gestion de la traduction.
6.13.2.4.2 Pour configurer SSL pour l'outil de conversion de rapports
Avant d'effectuer la procédure suivante, vous devez créer et enregistrer toutes les ressources SSL
nécessaires (les certificats et les clés privées, par exemple) dans un répertoire connu. En outre, l'outil
de conversion de rapports doit être installé dans le cadre de votre déploiement de la plateforme de BI.
Dans la procédure ci-dessous, il est supposé que vous avez suivi les instructions de création des
ressources SSL suivantes :
Ressource SSL
Dossier des certificats SSL
d:\ssl
Nom du fichier du certificat SSL du serveur
servercert.der
Certificat approuvé SSL ou nom du fichier de certificat racine
cacert.der
Nom du fichier de la clé privée SSL
server.key
Fichier contenant la phrase de passe pour accéder au fichier de la clé privée passphrase.txt
SSL
Une fois les ressources ci-dessus créées, observez les instructions suivantes pour configurer SSL afin
d'utiliser l'outil de conversion de rapports.
178
2011-05-06
Sécurisation de la plateforme de BI
1. Créez une variable d'environnement Windows BOBJ_MIGRATION sur l'ordinateur hébergeant l'outil
de conversion de rapport.
Conseil :
La variable peut être définie sur une valeur quelconque.
2. A l'aide d'un éditeur de texte, ouvrez le fichier migration.bat dans le répertoire suivant :
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\win32_x86\scripts\.
3. Cherchez la ligne suivante :
start "" "%JRE%\bin\javaw" -Xmx512m -Xss10m -jar "%SHAREDIR%\lib\migration.jar"
4. Ajoutez ceci après le paramètre -Xss10m :
-Dbusinessobjects.orb.oci.protocol=ssl
-DcertDir=C:/ssl
-DtrustedCert=cacert.der
-DsslCert=servercert.der
-DsslKey=server.key
-Dpassphrase=passphrase.txt
-Dbusinessobjects.migration
Remarque :
Assurez-vous de la présence d'un espace entre chaque paramètre.
5. Enregistrez le fichier et fermez l'éditeur de texte.
Les utilisateurs peuvent à présent utiliser SSL pour accéder à l'outil de conversion de rapports.
Rubriques associées
• Pour créer un fichier de clé et un fichier de certificat pour un ordinateur
6.14 Description de la communication entre les composants de la plateforme de BI
Si votre système de la plateforme de BI est déployé entièrement sur le même sous-réseau sécurisé, il
n'est pas nécessaire d'appliquer une configuration spéciale à vos pare-feu. Toutefois, vous pouvez
choisir de déployer certains composants sur différents sous-réseaux séparés par un ou plusieurs
pare-feu.
Il est important de bien comprendre la communication entre les serveurs de la plateforme de BI, les
applications client enrichi et le serveur d'applications Web qui héberge le SDK de SAP BusinessObjects
Enterprise avant de configurer votre système afin qu'il fonctionne avec les pare-feu.
Rubriques associées
• Configuration de la plateforme de BI pour les pare-feu
• Exemples de scénarios classiques de pare-feu
179
2011-05-06
Sécurisation de la plateforme de BI
6.14.1 Présentation des serveurs de la plateforme de BI et des ports de
communication
Il est important de comprendre le fonctionnement des serveurs de la plateforme de BI et de leurs ports
de communication si le système déployé comporte des pare-feu.
6.14.1.1 Chaque serveur de la plateforme de BI est lié à un port de requêtes
Les serveurs de la plateforme de BI, l'Input File Repository Server par exemple, sont liés à un port de
requêtes lors de leur démarrage. D'autres composants de la plateforme de BI, notamment les serveurs,
les applications client enrichi et le SDK hébergé sur le serveur d'applications Web peuvent utiliser ce
port de requêtes pour communiquer avec le serveur.
Les serveurs sélectionnent dynamiquement leur numéro de port de requêtes au démarrage ou
redémarrage, sauf s'ils sont configurés pour utiliser un numéro de port spécifique. Un numéro de port
de requêtes spécifique doit être attribué aux serveurs qui communiquent avec d'autres composants de
la plateforme de BI par l'intermédiaire d'un pare-feu.
6.14.1.2 Chaque serveur de la plateforme de BI s'enregistre auprès du CMS
Lorsqu'ils démarrent, les serveurs de la plateforme de BI s'enregistrent auprès du CMS. Le CMS
enregistre alors :
•
•
le nom d'hôte (ou l'adresse IP) de l'ordinateur hôte du serveur ;
le numéro du port de requêtes du serveur.
6.14.1.3 Le CMS utilise deux ports
Le CMS utilise deux ports : le port de requêtes et le port du serveur de noms. Le port de requêtes est
sélectionné dynamiquement par défaut. Le port du serveur de noms par défaut est 6400.
Tous les serveurs de la plateforme de BI et applications client contactent tout d'abord le CMS sur son
port de serveur de noms. Le CMS répondra à ce contact initial en renvoyant la valeur de son port de
requêtes. Les serveurs utilisent ensuite ce port de requêtes pour communiquer avec le CMS.
180
2011-05-06
Sécurisation de la plateforme de BI
6.14.1.4 Le CMS (Central Management Server) fournit un répertoire de services
enregistrés
Le CMS fournit un répertoire des services qu'il a enregistrés. Les autres composants de la plateforme
de BI, tels que les services, les clients enrichis et le SDK hébergé sur le serveur d'applications Web
peuvent contacter le CMS et demander une référence à un serveur particulier. La référence d'un service
contient le numéro du port de requêtes du service, le nom d'hôte (ou l'adresse IP) de l'ordinateur hôte
du serveur et l'ID du service.
Les composants de la plateforme de BI peuvent résider sur un sous-réseau différent de celui du serveur
qu'ils utilisent. Le nom d'hôte (ou l'adresse IP) contenu dans la référence du service doit pouvoir être
acheminé depuis l'ordinateur sur lequel se trouve le composant.
Remarque :
La référence à un serveur de la plateforme de BI contient le nom d'hôte par défaut de l'ordinateur sur
lequel se trouve le serveur. (Lorsqu'un ordinateur a plusieurs noms d'hôte, c'est le nom d'hôte principal
qui est choisi.) Vous pouvez configurer un serveur de façon à ce que sa référence contiennent
l'adresse IP et non le nom d'hôte.
Rubriques associées
• Communication entre les composants de la plateforme de BI
6.14.1.5 Les Server Intelligence Agents communiquent avec le Central
Management Server
Votre déploiement ne pourra pas fonctionner si le SIA (Server Intelligence Agent) et le CMS (Central
Management Server) ne peuvent pas communiquer entre eux. Assurez-vous que les ports de votre
pare-feu sont configurés de façon à autoriser la communication entre tous les SIA et tous les CMS du
cluster.
6.14.1.6 Les processus enfants du Job Server communiquent avec le niveau
données et le CMS
181
2011-05-06
Sécurisation de la plateforme de BI
La plupart des Job Servers créent un processus enfant pour gérer des tâches telle que la génération
d'un rapport. Le Job Server crée un ou plusieurs processus enfants. Chaque processus enfant dispose
de son propre port de requêtes.
Par défaut, chaque Job Server sélectionne dynamiquement un port de requêtes pour chaque processus
enfant. Vous pouvez spécifier une plage de ports dans laquelle le Job Server peut effectuer sa sélection.
Tous les processus enfants communiquent avec le CMS. Si cette communication s'effectue via un
pare-feu, vous devez effectuer les tâches suivantes :
•
•
Spécifiez la plage de numéros de port depuis lesquels le Job Server peut effectuer sa sélection en
ajoutant les paramètres -requestJSChildPorts<port inférieur>-<port supérieur> et
-requestPort <port> à la ligne de commande du serveur. Cette plage doit être suffisamment
grande pour autoriser le nombre maximal de processus enfants spécifié par -maxJobs.
Ouvrir la plage de port spécifiée sur le pare-feu.
De nombreux processus enfants communiquent avec le niveau données. Par exemple, un processus
enfant peut se connecter à une base de données de reporting, extraire les données, puis calculer des
valeurs pour un rapport. Si le processus enfant du Job Server communique avec le niveau données
via un pare-feu, vous devez :
• Ouvrir un chemin de communication sur le pare-feu à partir de n'importe quel port de l'ordinateur
hébergeant le Job Server vers le port d'écoute de base de données de l'ordinateur hébergeant le
serveur de base de données.
Rubriques associées
• Présentation des lignes de commande
6.14.2 Communication entre les composants de la plateforme de BI
Dans les workflows classiques, les composants de la plateforme de BI tels que les clients navigateur,
les applications client enrichi, les serveurs et le SDK hébergé sur le serveur d'applications Web,
communiquent les uns avec les autres par le biais du réseau. Il est indispensable que vous compreniez
ces workflows pour déployer les produits SAP Business Objects sur différents sous-réseaux séparés
par un pare-feu.
6.14.2.1 Spécifications requises pour la communication entre les composants
de la plateforme de BI
Les déploiements de la plateforme de BI doivent être conformes à ces spécifications.
182
2011-05-06
Sécurisation de la plateforme de BI
1. Chaque serveur doit pouvoir établir la communication avec tous les autres serveurs de la plateforme
de BI sur le port de requêtes de ce serveur.
2. Le CMS utilise deux ports. Chaque serveur de la plateforme de BI, client enrichi et le serveur
d'applications Web qui héberge le SDK doivent pouvoir établir la communication avec le CMS
(Central Management Server ) sur chacun de ses ports.
3. Chaque processus enfant du Job Server doit pouvoir communiquer avec le CMS.
4. Les clients lourds doivent pouvoir établir la communication avec le port de requêtes des Input et
Output File Repository Servers.
5. Si l'audit est activé pour les clients lourds et les applications Web, ils doivent être en mesure d'initier
la communication avec le port de requêtes des serveurs de traitement adaptatif qui hébergent le
service du proxy d'audit client.
6. Généralement, le serveur d'applications Web qui héberge le SDK doit pouvoir communiquer avec
le port de requêtes de chaque serveur de la plateforme de BI.
Remarque :
Le serveur d'applications Web n'a besoin de communiquer qu'avec les serveurs de la plateforme
de BI utilisés dans le déploiement. Par exemple, si Crystal Reports n'est pas utilisé, le serveur
d'applications Web n'a pas besoin de communiquer avec les Cache Servers Crystal Reports.
7. Les Job Servers utilisent les numéros de port spécifiés avec la commande -requestJSChildPorts
<plage de ports>. Si aucune plage n'est spécifiée sur la ligne de commande, les serveurs
utilisent des numéros de port aléatoires. Pour permettre à un Job Server de communiquer avec un
CMS, un serveur FTP ou un serveur de messagerie sur un autre ordinateur, ouvrez tous les ports
de la plage spécifiée par -requestJSChildPorts sur votre pare-feu.
8. Le CMS doit être en mesure de communiquer avec le port d'écoute de la base de données du CMS.
9. Le Connection Server, la plupart des processus enfant du Job Server et tous les serveurs de
traitement d'audit et bases de données système doivent pouvoir établir une communication avec le
port d'écoute de la base de données de reporting.
Rubriques associées
• Configuration requise pour les ports de la plateforme de Business Intelligence
6.14.2.2 Configuration requise pour les ports de la plateforme de Business
Intelligence
Cette section répertorie les ports de communication utilisés par les serveurs de la plateforme de BI,
les applications client lourd, le serveur d'applications Web hébergeant le SDK et les applications
logicielles tierces. Si vous déployez la plateforme de BI avec des pare-feu, ces informations vous
permettront d'ouvrir le nombre minimal de ports dans ces pare-feu.
183
2011-05-06
Sécurisation de la plateforme de BI
6.14.2.2.1 Ports requis pour les applications de la plateforme de BI
Ce tableau répertorie les serveurs et les numéros de port utilisés par les applications de la plateforme
de BI.
Produit
Crystal Reports
Application
cliente
Concepteur
SAP Crystal
Reports 2011
Serveurs associés
Spécifications requises pour le
port du serveur
CMS
Port de serveur de noms du CMS
(6400 par défaut)
Input FRS
Port de requêtes du CMS
Output FRS
Port de requêtes de l'Input FRS
Report Application Server
(RAS) de Crystal Reports 2011
Port de requêtes de l'Output FRS
Serveur de traitement Crystal
Reports 2011
Port de requêtes du serveur de traitement Crystal Reports 2011
Crystal Reports Cache Server
Port de requêtes du Crystal Reports Cache Server
Port de requêtes du Report Application
Server de Crystal Reports 2011
Port de serveur de noms du CMS
(6400 par défaut)
CMS
Port de requêtes du CMS
Crystal Reports
Concepteur
SAP Crystal Reports
pour Enterprise
Input FRS
Port de requêtes de l'Input FRS
Output FRS
Port de requêtes de l'Output FRS
Crystal Reports Processing
Server
Port de requêtes du serveur de traitement Crystal Reports
Crystal Reports Cache Server
Port de requêtes du Crystal Reports Cache Server
184
2011-05-06
Sécurisation de la plateforme de BI
Produit
Application
cliente
Serveurs associés
Spécifications requises pour le
port du serveur
CMS
Input FRS
Output FRS
Dashboard
Design
SAP BusinessObjects
Dashboard
Design
Live Office
Client Live
Office
Plateforme
de BI
SAP BusinessObjects
Web Intelligence Desktop
Plateforme
de BI
Outil de conception
d'univers
Application de fournisseur de
services Web (dsws
bobje.war) hébergeant les
services Web Dashboard Design, Live Office et QaaWS
requis pour certaines connexions de sources de données
Application de fournisseur de
services Web (dsws
bobje.war) hébergeant le
service Web Live Office
Port de serveur de noms du CMS
(6400 par défaut)
Port de requêtes du CMS
Port de requêtes de l'Input FRS
Port de requêtes de l'Output FRS
Port HTTP (80 par défaut)
Port HTTP (80 par défaut)
CMS
Port de serveur de noms du CMS
(6400 par défaut)
Input FRS
Port de requêtes du CMS
Port de requêtes de l'Input FRS
CMS
Port de serveur de noms du CMS
(6400 par défaut)
Input FRS
Port de requêtes du CMS
Connection Server
Port de requêtes de l'Input FRS
Port Connection Server
Plateforme
de BI
Gestionnaire
de vues
d'entreprise
CMS
Port de serveur de noms du CMS
(6400 par défaut)
Input FRS
Port de requêtes du CMS
Port de requêtes de l'Input FRS
185
2011-05-06
Sécurisation de la plateforme de BI
Produit
Application
cliente
Serveurs associés
Spécifications requises pour le
port du serveur
Les ports suivants doivent être ouverts
pour permettre au CCM de gérer des
serveurs de la plateforme de BI distants :
Port de serveur de noms du CMS
(6400 par défaut)
Port de requêtes du CMS
Les ports suivants doivent être ouverts
pour permettre au CCM de gérer des
processus SIA distants :
plateforme
de Business
Intelligence
Central Configuration
Manager
(CCM)
CMS
Server Intelligence Agent
Microsoft Directory Services (port
TCP 445)
NetBIOS Session Service (port TCP
139)
NetBIOS Datagram Service (port UDP
138)
NetBIOS Name Service (port UDP 137)
DNS (port TCP/UDP 53)
(Notez que certains ports mentionnés
ci-dessus peuvent ne pas être requis.
Consultez votre administrateur Windows).
Plateforme
de BI
Server Intelligence Agent
(SIA
Port de requêtes du Server Intelligence Agent (6410 par défaut)
Tous les serveurs de la plateforme de BI y compris le CMS
)
Plateforme
de BI
Outil de conversion de
rapport
Port de serveur de noms du CMS
(6400 par défaut)
Port de requêtes du CMS
CMS
Port de serveur de noms du CMS
(6400 par défaut)
Input FRS
Port de requêtes du CMS
Port de requêtes de l'Input FRS
186
2011-05-06
Sécurisation de la plateforme de BI
Produit
Plateforme
de BI
Application
cliente
Repository
Diagnostic
Tool
Serveurs associés
Spécifications requises pour le
port du serveur
CMS
Port de serveur de noms du CMS
(6400 par défaut)
Input FRS
Port de requêtes du CMS
Output FRS
Port de requêtes de l'Input FRS
Port de requêtes de l'Output FRS
Plateforme
de BI
SDK de la
plateforme
de BI hébergé dans le
serveur d'applications
Web
Tous les serveurs de la plateforme de BI requis par les
produits déployés.
Par exemple, la communication avec le port de requêtes
du serveur de traitement Crystal Reports 2011 est requis
si le SDK extrait des rapports
Crystal du CMS et interagit
avec eux.
Tous les serveurs de la plateforme de BI requis par les
produits accédant aux services Web.
Plateforme
de BI
187
Fournisseur
de services
Web (dsws
bobje.war)
Par exemple, la communication avec les ports de requêtes de Cache Server et de
serveur de traitement Dashboard Design est requise si
SAP BusinessObjects Dashboard Design accède aux connexions de sources de données Enterprise par le biais
du fournisseur de services
Web.
Port de serveur de noms du CMS
(6400 par défaut)
Port de requêtes du CMS
Port de requêtes pour chaque serveur
requis. Par exemple, le port de requêtes du serveur de traitement Crystal Reports 2011
Port de serveur de noms du CMS
(6400 par défaut)
Port de requêtes du CMS
Port de requêtes pour chaque serveur
requis. Par exemple, les ports de requête de Cache Server Dashboard
Design et de serveur de traitement
Dashboard Design.
2011-05-06
Sécurisation de la plateforme de BI
Produit
Plateforme
de BI
Application
cliente
SAP BusinessObjects
Analysis,
édition pour
OLAP
Serveurs associés
Spécifications requises pour le
port du serveur
CMS
Port de serveur de noms du CMS
(6400 par défaut)
Serveur de traitement adaptatif hébergeant le service
d'analyse multidimensionnelle
Port de requêtes du CMS
Port de requêtes du serveur de traitement adaptatif
Input FRS
Port de requêtes de l'Input FRS
Output FRS
Port de requêtes de l'Output FRS
6.14.2.2.2 Spécifications requises pour les ports des applications tierces
Ce tableau répertorie les logiciels tiers utilisés par les produits SAP Business Objects. Il contient des
exemples spécifiques de certains distributeurs de logiciels, mais les spécifications de port diffèrent d'un
distributeur à l'autre.
Application
tierce
Composant SAP Business Objects utilisant le produit
tiers
Spécifications de port
requises pour l'application tierce
Description
Base de données système
du CMS
Central Management
Server (CMS)
Port d'écoute du serveur
de base de données
Le CMS est le seul serveur qui
communique avec la base de
données système du CMS.
Base de données d'audit du
CMS
Central Management
Server (CMS)
Port d'écoute du serveur
de base de données
Le CMS est le seul serveur qui
communique avec la base de
données d'audit du CMS.
Port d'écoute du serveur
de base de données
Ces serveurs extraient les informations de la base de données de reporting.
Connection Server
Base de données de reporting
188
Chaque processus
enfant du Job Server
Chaque serveur de
traitement
2011-05-06
Sécurisation de la plateforme de BI
Application
tierce
Composant SAP Business Objects utilisant le produit
tiers
Serveurs d'applications Web
Tous les services
Web et applications
Web SAP Business
Objects comprenant
la zone de lancement
BI et la CMC
Serveur FTP
Chaque Job Server
Spécifications de port
requises pour l'application tierce
Port HTTP et port HTTPS.
Par exemple, sur Tomcat,
le port HTTP par défaut
est le 8080 et le port
HTTPS le 443.
FTP In (port 21)
FTP Out (port 22)
Serveur de messagerie
Serveurs UNIX
auxquels les
Job Servers
peuvent envoyer du contenu
Serveur d'authentification
Chaque Job Server
SMTP (port 25)
rexec out (port 512)
Chaque Job Server
(UNIX uniquement) rsh
out (port 514)
CMS
Port de connexion pour
l'authentification tierce
Serveur d'applications Web qui héberge
le SDK
Chaque client lourd,
comme Live Office.
Description
Par exemple, le serveur
de connexion pour le serveur LDAP Oracle est défini par l'utilisateur dans le
fichier ldap.ora.
Le port HTTPS n'est requis
qu'en cas d'utilisation d'une
communication HTTP sécurisée.
Les Job Servers utilisent les
ports FTP pour autoriser l'envoi vers FTP (send to FTP).
Les Job Servers utilisent les
ports SMTP pour autoriser
l'envoi vers la messagerie
(send to email).
(UNIX uniquement) Les Job
Servers utilisent ces ports
pour autoriser l'envoi vers le
disque (send to disk).
Les références de connexion
utilisateur sont stockées sur le
serveur d'authentification tiers.
Le CMS, le SDK et les clients
lourds répertoriés ici doivent
communiquer avec le serveur
d'authentification tiers lorsqu'un utilisateur se connecte.
6.15 Configuration de la plateforme de BI pour les pare-feu
189
2011-05-06
Sécurisation de la plateforme de BI
Cette section explique de façon progressive comment configurer un système de la plateforme de BI
de façon à ce qu'il fonctionne dans un environnement équipé d'un pare-feu.
6.15.1 Pour configurer le système pour des pare-feu
1. Déterminez quels composants de la plateforme de BI doivent communiquer via un pare-feu.
2. Configurez le port de requêtes de chaque serveur de la plateforme de BI devant communiquer via
un pare-feu.
3. Configurez une plage de ports pour les Job Server devant communiquer à travers un pare-feu en
ajoutant les paramètres -requestJSChildPorts<port inférieur>-<port supérieur> et
-requestPort <port> à la ligne de commande du serveur.
4. Configurez le pare-feu de façon à permettre la communication avec les ports de requêtes et la plage
de ports du Job Server sur les serveurs de la plateforme de BI configurés à l'étape précédente.
5. (Facultatif) Configurez le fichier hosts sur chaque ordinateur qui héberge un serveur de la plateforme
de BI devant communiquer via un pare-feu.
Rubriques associées
• Communication entre les composants de la plateforme de BI
• Configuration des numéros de port
• Présentation des lignes de commande
• Spécification des règles de pare-feu
• Configurer le fichier hosts pour les pare-feu qui utilisent NAT
6.15.1.1 Spécification des règles de pare-feu
Vous devez configurer le pare-feu de façon à permettre le trafic entre les différents composants de la
plateforme de BI. Pour en savoir plus sur la spécification de ces règles, consultez la documentation de
votre pare-feu.
Spécifiez une règle d'accès entrant pour chaque chemin de communication qui passe par le pare-feu.
Il se peut que vous n'ayez pas à spécifier une règle d'accès pour chaque serveur de la plateforme de
BI protégé par un pare-feu.
Utilisez le numéro de port indiqué dans la zone de texte Port du serveur. N'oubliez pas que chaque
serveur d'un même ordinateur doit utiliser un numéro de port unique. Certains serveurs Business Objects
utilisent plusieurs ports.
190
2011-05-06
Sécurisation de la plateforme de BI
Remarque :
Si la plateforme de BI est déployée via des pare-feu utilisant NAT, chaque serveur sur chaque ordinateur
doit utiliser un numéro de port de requêtes unique. Autrement dit, aucun serveur d'un même déploiement
ne peut partager le même port de requêtes.
Remarque :
Il n'est pas nécessaire de spécifier de règles d'accès sortant. Les serveurs de la plateforme de BI
n'établissent pas de communication pas avec le serveur d'applications Web ou avec les applications
client. Les serveurs de la plateforme de BI peuvent établir la communication vers d'autres serveurs de
la plateforme de BI du même cluster. Les déploiements avec des serveurs en cluster dans un
environnement dont la sortie est protégée par pare-feu ne sont pas pris en charge.
Exemple :
Cet exemple montre les règles d'accès entrant pour un pare-feu situé entre le serveur d'applications
Web et les serveurs de la plateforme de BI. Dans ce cas, vous devez ouvrir deux ports pour le CMS,
l'un pour l'Input FRS (File Repository Server) et l'autre pour l'Output FRS. Les numéros de port de
requêtes sont les numéros de port spécifiés dans la zone Port de la page de configuration de la CMC
du serveur.
191
Ordinateur source
Port
Ordinateur de
destination
Port
Action
Serveurs d'applications Web
N'importe lequel
CMS
6400
Autoriser
Serveurs d'applications Web
N'importe lequel
CMS
<Numéro de port
de requêtes>
Autoriser
Serveurs d'applications Web
N'importe lequel
Input FRS
<Numéro de port
de requêtes>
Autoriser
Serveurs d'applications Web
N'importe lequel
Output FRS
<Numéro de port
de requêtes>
Autoriser
N'importe lequel
N'importe lequel
CMS
N'importe lequel
Rejeter
N'importe lequel
N'importe lequel
Autres serveurs
de plateforme
N'importe lequel
Rejeter
2011-05-06
Sécurisation de la plateforme de BI
Rubriques associées
• Communication entre les composants de la plateforme de BI
6.15.1.2 Configurer le fichier hosts pour les pare-feu qui utilisent NAT
Cette étape est requise uniquement si les serveurs de la plateforme de BI doivent communiquer à
travers un pare-feu sur lequel est activé Network Address Translation (NAT). Cette étape permet aux
ordinateurs clients de mapper le nom d'hôte d'un serveur sur une adresse IP accessible.
Remarque :
La plateforme de BI peut être déployée sur des ordinateurs utilisant DNS (Domain Name System).
Dans ce cas, les noms d'hôte de l'ordinateur serveur peuvent être mappés sur une adresse IP accessible
sur le serveur DNS, au lieu de le faire dans le fichier hosts de chaque ordinateur.
Traduction d'adresses réseau (NAT)
Un pare-feu est déployé pour protéger un réseau interne des accès non autorisés. Les pare-feu utilisant
“NAT” mapperont les adresses IP à partir du réseau interne sur une adresse différente utilisée par le
réseau externe. Cette “traduction d'adresses” améliore la sécurité en masquant les adresses IP internes
du réseau externe.
Les composants de la plateforme de BI tels que les serveurs, les applications client lourd et le serveur
d'applications Web hébergeant le SDK de utilisent une référence de service pour contacter un serveur.
La référence de service contient le nom d'hôte de l'ordinateur serveur. Ce nom d'hôte doit être accessible
à partir de l'ordinateur du composant de la plateforme de BI. Cela signifie que le fichier hosts sur
l'ordinateur du composant doit mapper le nom d'hôte du serveur sur l'adresse IP externe du serveur.
L'adresse IP externe du serveur est accessible du côté extérieur du pare-feu, tandis que l'adresse IP
interne ne l'est pas.
La procédure de configuration du fichier hosts est différente pour Windows et UNIX.
6.15.1.2.1 Pour configurer le fichier hôtes sous Windows
1. Localisez tous les ordinateurs exécutant un composant de la plateforme de BI qui doit communiquer
à travers un pare-feu sur lequel “Network Address Translation” (“NAT”) est activé.
2. Sur chaque ordinateur localisé à l'étape précédente, ouvrez le fichier hosts à l'aide d'un éditeur
de texte tel que Notepad. Le fichier hosts est situé dans \WINNT\system32\drivers\etc\ho
sts.
3. Suivez les instructions du fichier hosts pour ajouter une entrée pour chaque ordinateur se trouvant
derrière le pare-feu qui exécute un ou plusieurs serveurs de la plateforme de BI. Mappez le nom
d'hôte de l'ordinateur serveur ou le nom de domaine complet sur son adresse IP externe.
4. Enregistrez le fichier hosts.
192
2011-05-06
Sécurisation de la plateforme de BI
6.15.1.2.2 Configuration du fichier hosts sous UNIX
Remarque :
Votre système d'exploitation UNIX doit être configuré de façon à consulter d'abord le fichier “hosts”
pour résoudre les noms de domaine avant de consulter le DNS. Consultez votre documentation UNIX
pour plus de détails.
1. Localisez tous les ordinateurs exécutant un composant de la plateforme de BI qui doit communiquer
à travers un pare-feu sur lequel “Network Address Translation” (“NAT”) est activé.
2. Ouvrez le fichier “hosts” à l'aide d'un éditeur tel que vi. Le fichier hosts est situé dans le répertoire
\etc.
3. Suivez les instructions du fichier hosts pour ajouter une entrée pour chaque ordinateur se trouvant
derrière le pare-feu qui exécute un ou plusieurs serveurs de la plateforme de BI. Mappez le nom
d'hôte de l'ordinateur serveur ou le nom de domaine complet sur son adresse IP externe.
4. Enregistrez le fichier hosts.
6.15.2 Débogage d'un déploiement équipé d'un pare-feu
Si un ou plusieurs serveurs de la plateforme de BI ne fonctionnent pas lorsque votre pare-feu est activé
et cela même lorsque les ports attendus sont ouverts sur le pare-feu, vous pouvez utiliser les journaux
d'événements pour déterminer quels serveurs tentent d'écouter sur quels ports ou quelles adresses
IP. Vous pouvez alors soit ouvrir ces ports sur votre pare-feu, soit utiliser la CMC (Central Management
Console) pour modifier les numéros de port ou les adresses IP sur lesquels ces serveurs tentent
d'écouter.
A chaque démarrage d'un serveur de la plateforme de BI, celui-ci consigne les informations suivantes
dans le journal d'événements pour chaque port de requête avec lequel il tente d'entrer en liaison.
•
•
"Serveur" - Nom du serveur et si son lancement a réussi.
"Adresses publiées" - Liste de combinaisons d'adresses IP et de ports enregistrées dans le service
de noms que vont utiliser les autres serveurs pour communiquer avec ce serveur.
Si le serveur parvient à établir une liaison avec un port, le fichier journal affiche également "Ecoute sur
les ports" (adresse IP et port sur lesquels écoute le serveur). Si le serveur ne parvient pas à établir de
liaison avec le port, le fichier journal affiche "Echec de l'écoute sur les ports" (adresse IP et port sur
lesquels le serveur tente d'écouter et échoue).
Au démarrage d'un serveur Central Management Server, il consigne également les informations
Adresses publiées, Ecoute sur les ports et Echec de l'écoute sur les ports pour le port du service des
noms associé au serveur.
Remarque :
Si le serveur est configuré pour utiliser un port affecté automatiquement ainsi qu'un nom d'hôte ou une
adresse IP non valide, le journal d'événements indique que le serveur a échoué dans sa tentative
193
2011-05-06
Sécurisation de la plateforme de BI
d'écoute sur (nom d'hôte ou adresse IP et port “0”). Si un nom d'hôte ou une adresse IP spécifié(e)
n'est pas valide, le serveur échoue avant que le système d'exploitation hôte ne lui attribue de port.
Exemple :
L'exemple suivant indique l'entrée d'un Central Management Server qui écoute avec succès sur deux
ports de requêtes et un port du service de noms.
Server mynode.cms1 successfully started.
Request Port :
Published Address(es): mymachine.corp.com:11032, mymachine.corp.com:8765
Listening on port(s): [2001:0db8:85a3:0000:0000:8a2e:0370:7334]:11032, 10.90.172.216:8765
Name Service Port :
Published Address(es): mymachine.corp.com:6400
Listening on port(s): [2001:0db8:85a3:0000:0000:8a2e:0370:7334]:6400, 10.90.172.216:6400
6.15.2.1 Débogage d'un déploiement équipé d'un pare-feu
1. Lisez le journal d'événements pour déterminer si le serveur réussit à établir la liaison avec le port
que vous avez spécifié.
Si le serveur n'a pas pu établir de liaison avec un port, il y a probablement conflit de port entre le
serveur et un autre processus en cours d'exécution sur la même machine. L'entrée "Echec de
l'écoute sur" indique le port sur lequel porte la tentative d'écoute du serveur. Exécutez un utilitaire
de type netstat pour déterminer le processus suivi par le port, puis configurez soit l'autre processus,
soit un autre port d'écoute pour le serveur.
2. Si le serveur a réussi à établir une liaison avec un port, l'entrée "Ecoute sur" indique le port sur
lequel le serveur écoute. Si un serveur écoute un port et ne fonctionne toujours pas correctement,
vérifiez que ce port est ouvert dans le pare-feu ou configurez le serveur de manière à ce qu'il écoute
sur un port ouvert.
Remarque :
Si tous les Central Management Servers de votre déploiement tentent d'écouter sur des ports ou des
adresses IP indisponibles, les CMS ne démarrent pas et vous ne pouvez pas vous connecter à la CMC.
Si vous souhaitez modifier le numéro de port ou l'adresse IP sur lesquels le CMS tente d'écouter, vous
devez utiliser le Central Configuration Manager (CCM) pour spécifier un numéro de port ou une adresse
IP valide.
Rubriques associées
• Configuration des numéros de port
6.16 Exemples de scénarios classiques de pare-feu
194
2011-05-06
Sécurisation de la plateforme de BI
Cette section fournit des exemples de scénarios de déploiement de pare-feu classiques.
6.16.1 Exemple - Niveau application déployé sur un réseau distinct
Cet exemple explique comment configurer un pare-feu et la plateforme de BI afin qu'ils puissent
fonctionner ensemble dans un déploiement où le pare-feu sépare le serveur d'applications Web des
autres serveurs de la plateforme de BI.
Dans cet exemple, les composants de la plateforme de BI sont déployés sur les ordinateurs suivants :
•
•
•
L'ordinateur boe_1 héberge le serveur d'applications Web et le SDK.
L'ordinateur boe_2 héberge les serveurs de niveau Intelligence, notamment le
Central Management Server, l'Input File Repository Server, l'Output File Repository Server, et
l'Event Server.
L'ordinateur boe_3 héberge les serveurs de niveau Traitement, notamment l'Adaptative Job Server,
le serveur de traitement Web Intelligence, le Report Application Server, le Crystal Reports Cache
Server et le serveur de traitement Crystal Reports.
Figure 6-1 : Niveau application déployé sur un réseau distinct
6.16.1.1 Pour configurer un niveau application déployé sur un réseau distinct
Les étapes suivantes expliquent comment configurer cet exemple.
1. Cette configuration s'applique à l'exemple suivant :
• Le serveur d'applications Web qui héberge le SDK doit pouvoir communiquer avec le CMS sur
ses deux ports.
195
2011-05-06
Sécurisation de la plateforme de BI
•
•
Le serveur d'applications Web qui héberge le SDK doit pouvoir communiquer avec chaque
serveur de la plateforme de BI.
Le navigateur doit pouvoir accéder au port de requêtes HTTP ou HTTPS sur le serveur
d'applications Web.
2. Le serveur d'applications Web doit pouvoir communiquer avec tous les serveurs sur les ordinateurs
boe_2 et boe_3. Configurez les numéros de port de chaque serveur sur ces ordinateurs. Notez
que vous pouvez utiliser n'importe quel port disponible compris entre 1025 et 65535.
Les numéros de port choisis pour cet exemple sont indiqués dans le tableau ci-dessous.
Serveur
Numéro de port
Central Management Server
6400
Central Management Server
6411
Input File Repository Server
6415
Output File Repository Server
6420
Event Server
6425
Adaptative Job Server
6435
Crystal Reports Cache Server
6440
Web Intelligence Processing Server
6460
Report Application Server
6465
Crystal Reports Processing Server
6470
3. Configurez les pare-feu Pare-feu_1 et Pare-feu_2 de façon à permettre la communication avec
les ports fixes des serveurs et du serveur d'applications Web que vous avez configuré à l'étape
précédente.
Dans cet exemple, nous ouvrons le port HTTP pour le serveur d'applications Tomcat.
Tableau 6-6 : Configuration de Pare-feu_1
Port
Ordinateur de destination
Port
Action
N'importe lequel
boe_1
8080
Autoriser
Configuration de Pare-feu_2
196
2011-05-06
Sécurisation de la plateforme de BI
Ordinateur
source
Port
Ordinateur de destination
Port
Action
boe_1
N'importe lequel
boe_2
6400
Autoriser
boe_1
N'importe lequel
boe_2
6411
Autoriser
boe_1
N'importe lequel
boe_2
6415
Autoriser
boe_1
N'importe lequel
boe_2
6420
Autoriser
boe_1
N'importe lequel
boe_2
6425
Autoriser
boe_1
N'importe lequel
boe_3
6435
Autoriser
boe_1
N'importe lequel
boe_3
6440
Autoriser
boe_1
N'importe lequel
boe_3
6460
Autoriser
boe_1
N'importe lequel
boe_3
6465
Autoriser
boe_1
N'importe lequel
boe_3
6470
Autoriser
4. Ce pare-feu n'étant pas configuré NAT, il n'est pas nécessaire de configurer le fichier hosts.
Rubriques associées
• Configuration des numéros de port
• Description de la communication entre les composants de la plateforme de BI
6.16.2 Exemple : Client lourd et niveau base de données séparés des serveurs de la
plateforme de BI par un pare-feu
Cet exemple montre comment configurer un pare-feu et la plateforme de BI afin qu'ils puissent fonctionner
ensemble dans un scénario de déploiement dans lequel :
•
•
un pare-feu sépare un client lourd des serveurs de la plateforme de BI ;
un pare-feu sépare les serveurs de la plateforme de BI du niveau base de données.
Dans cet exemple, les composants de la plateforme de BI sont déployés sur les ordinateurs suivants :
•
•
197
L'ordinateur boe_1 héberge l'Assistant de publication. L'Assistant de publication est un client lourd
de la plateforme de BI.
L'ordinateur boe_2 héberge les serveurs de niveau Intelligence, notamment le CMS
(Central Management Server), l'Input File Repository Server, l'Output File Repository Server, et
l'Event Server.
2011-05-06
Sécurisation de la plateforme de BI
•
•
L'ordinateur boe_3 héberge les serveurs de niveau Traitement, notamment l'Adaptative Job Server,
le serveur de traitement Web Intelligence, le Report Application Server, le serveur de traitement
Crystal Reports et le Crystal Reports Cache Server.
L'ordinateur Bases de données héberge les bases de données d'audit et système du CMS, ainsi
que la base de données de reporting. Notez que vous avez la possibilité de déployer les deux bases
de données sur le même serveur de base de données ou de déployer chaque base de données sur
son propre serveur de base de données. Dans cet exemple, toutes les bases de données du CMS
et la base de données de reporting sont déployées sur le même serveur de base de données. Le
port d'écoute du serveur de base de données est le 3 306, qui correspond au port d'écoute par
défaut du serveur MySQL.
Figure 6-2 : Rich Client et niveau base de données déployés sur des réseaux distincts
6.16.2.1 Pour configurer des niveaux séparés des serveurs de la plateforme de
BI par un pare-feu
Les étapes suivantes expliquent comment configurer cet exemple.
1. Appliquez la configuration suivante à cet exemple :
• L'Assistant de publication doit pouvoir établir la communication avec le CMS sur ses deux ports.
• L'Assistant de publication doit pouvoir établir la communication avec l'Input File Repository Server
et l'Output File Repository Server.
• Connection Server, tous les processus enfant du Job Server et tous les serveurs de traitement
doivent avoir accès au port d'écoute sur le serveur de base de données de reporting.
• Le CMS doit pouvoir accéder au port d'écoute de la base de données sur le serveur de base de
données du CMS.
2. Configurez un port spécifique pour le CMS, l'Input FRS et l'Output FRS. Notez que vous pouvez
utiliser n'importe quel port disponible compris entre 1025 et 65535.
Les numéros de port choisis pour cet exemple sont indiqués dans le tableau ci-dessous.
198
2011-05-06
Sécurisation de la plateforme de BI
Serveur
Numéro de port
Central Management Server
6411
Input File Repository Server
6415
Output File Repository Server
6416
3. Il n'est pas nécessaire de configurer une plage de ports pour les enfants du Job Server dans la
mesure où le pare-feu entre les Job Servers et les serveurs de base de données seront configurés
de façon à permettre à n'importe quel port d'établir la communication.
4. Configurez Pare-feu_1 de façon à permettre la communication avec les ports fixes des serveurs
de la plateforme configurés à l'étape précédente. Le port 6400 est le port de serveur de noms par
défaut du CMS et n'a pas eu besoin d'être configuré explicitement à l'étape précédente.
Port
Ordinateur de destination
Port
Action
N'importe lequel
boe_2
6400
Autoriser
N'importe lequel
boe_2
6411
Autoriser
N'importe lequel
boe_2
6415
Autoriser
N'importe lequel
boe_2
6416
Autoriser
Configurez Pare-feu_2 de façon à permettre la communication avec le port d'écoute du serveur
de base de données. Le CMS (sur boe_2) doit pouvoir accéder à la base de données système et
d'audit du CMS et les Job Servers (sur boe_3) doivent pouvoir accéder aux bases de données
système et d'audit. Notez qu'il n'a pas été nécessaire de configurer une plage de ports pour les
processus enfants du Job Server, car leur communication avec le CMS n'est pas protégée par un
pare-feu.
Ordinateur
source
Port
Ordinateur de destination
Port
Action
boe_2
N'importe lequel
Databases
3306
Autoriser
boe_3
N'importe lequel
Databases
3306
Autoriser
5. Ce pare-feu n'étant pas configuré NAT, il n'est pas nécessaire de configurer le fichier hosts.
Rubriques associées
• Description de la communication entre les composants de la plateforme de BI
• Configuration de la plateforme de BI pour les pare-feu
199
2011-05-06
Sécurisation de la plateforme de BI
6.17 Paramètres de pare-feu pour les environnements intégrés
Cette section détaille les critères et paramètres de port spécifiques pour les déploiements de la plateforme
de BI s'intégrant aux environnements ERP suivants.
• SAP
• Oracle EBS
• Siebel
• JD Edwards
• PeopleSoft
Parmi les composants de la plateforme de BI figurent les clients navigateur, les clients enrichis, les
serveurs et le SDK hébergé sur le serveur d'applications Web. Les composants système peuvent être
installés sur plusieurs ordinateurs. Il est utile de comprendre les principes de base de la communication
entre la plateforme de BI et les composants ERP avant de configurer le système en vue d'une utilisation
avec des pare-feu.
Ports requis pour les serveurs de la plateforme de BI
Vous trouverez ci-dessous la liste des ports requis pour chaque serveur de la plateforme de BI :
Spécifications requises pour le port du serveur
•
•
•
•
•
•
•
•
Port du serveur de noms du Central Management Server
Port de requêtes du Central Management Server
Port de requêtes de l'Input FRS
Port de requêtes de l'Output FRS
Port de requêtes du Report Application Server
Port de requêtes du Crystal Reports Cache Server
Port de requêtes du Page Server Crystal Reports
Port de requêtes du serveur de traitement Crystal Reports
6.17.1 Instructions propres au pare-feu pour l'intégration SAP
Votre déploiement de la plateforme de BI doit observer les règles de communication suivantes :
•
•
200
Le CMS doit être en mesure d'établir la communication avec le système SAP via le port de passerelle
du système SAP.
Crystal Reports Job Server et le serveur de traitement Crystal Reports (ainsi que les composants
d'accès aux données) doivent être en mesure d'établir la communication avec le système SAP via
le port de passerelle du système SAP.
2011-05-06
Sécurisation de la plateforme de BI
•
•
•
•
Le composant Editeur BW doit être en mesure d'établir la communication avec le système SAP via
le port de passerelle du système SAP.
Les composants de la plateforme de BI déployés au niveau du portail SAP Enterprise (par exemple,
iViews et KMC) doivent être en mesure d'établir la communication avec les applications Web de la
plateforme de BI via les ports HTTP/HTTPS.
Le serveur d'applications Web doit être en mesure d'établir la communication au niveau du service
de passerelle du système SAP.
Crystal Reports doit être en mesure d'établir la communication avec l'hôte SAP via le port de
passerelle du système SAP et le port de répartiteur du système SAP.
Le port de réception du service de passerelle SAP est celui spécifié lors de l'installation.
Remarque :
Si un composant requiert un routeur SAP pour se connecter à un système SAP, vous pouvez configurer
le composant à l'aide de la chaîne de routeur SAP. Par exemple, lorsque vous configurez un système
d'autorisation SAP pour importer des rôles et des utilisateurs, la chaîne de routeur SAP peut remplacer
le nom du serveur d'applications. Cela garantit que le CMS communiquera avec le système SAP par
le biais du routeur SAP.
Rubriques associées
• Installation d'une passerelle SAP locale
6.17.1.1 Spécifications détaillées requises pour le port
Ports requis pour SAP
La plateforme de BI utilise le Connecteur Java SAP (SAP JCO) pour communiquer avec SAP NetWeaver
(ABAP). Vous devez configurer les ports suivants et vous assurer de leur disponibilité :
•
•
Port d'écoute du service de passerelle SAP (par exemple, 3300).
Port d'écoute du service de répartiteur SAP (par exemple, 3200).
Le tableau suivant répertorie les configurations de port spécifiques dont vous avez besoin.
201
2011-05-06
Sécurisation de la plateforme de BI
Ordinateur
source
Port
Ordinateur de destination
Port
Action
SAP
N'importe
lequel
Serveur d'applications Port HTTP/HTTPS du service Web
Web de la plateforme
de BI
Autoriser
SAP
N'importe
lequel
CMS
Port du serveur de noms du CMS
Autoriser
SAP
N'importe
lequel
CMS
Port du CMS requis
Autoriser
Serveur d'ap- N'importe
plications
lequel
Web
SAP
Port du service de passerelle du sys- Autoriser
tème SAP
Central Mana- N'importe
gement Ser- lequel
ver (CMS)
SAP
Port du service de passerelle du sys- Autoriser
tème SAP
Crystal Reports
SAP
Port du service de passerelle du sys- Autoriser
tème SAP et port du répartiteur du système SAP
N'importe
lequel
6.17.2 Configuration du pare-feu pour l'intégration JD Edwards EnterpriseOne
Les déploiements de la plateforme de BI qui communiqueront avec le logiciel JD Edwards doivent être
conformes à ces règles de communication générales :
• Les applications Web de la Central Management Console doivent être en mesure d'établir la
communication avec JD Edwards EnterpriseOne par le biais du port JDENET et d'un port sélectionné
de manière aléatoire.
• Crystal Reports avec le composant côté client Connectivité des données doit être en mesure d'établir
la communication avec JD Edwards EnterpriseOne par le biais du port JDNET. Pour l'extraction de
données, le côté JD Edwards EnterpriseOne doit être en mesure de communiquer avec le pilote
via un port aléatoire qui ne peut pas être contrôlé.
• Le CMS (Central Management Server) doit être en mesure d'établir la communication avec JD
Edwards EnterpriseOne par le biais du port JDENET et d'un port sélectionné de manière aléatoire.
• Le numéro du port JDENET se trouve dans le fichier de configuration du serveur d'applications JD
Edwards EnterpriseOne (JDE.INI) dans la section JDENET.
202
2011-05-06
Sécurisation de la plateforme de BI
6.17.2.1 Ports requis pour les serveurs de la plateforme de BI
Produit
Spécifications requises pour le port du serveur
plateforme SAP
BusinessObjects
de Business Intelligence
•
Port du serveur de connexion de la plateforme de BI
6.17.2.2 Exigences en matière de ports pour JD Edwards EnterpriseOne
Produit
Configuration de port
Description
JD Edwards EnterpriseOne
Port JDENET et un port sélectionné de manière aléatoire
Utilisé pour la communication
établie entre la plateforme de BI
et le serveur d'applications JD
Edwards EnterpriseOne.
6.17.2.3 Configuration du serveur d'applications Web pour communiquer avec
JD Edwards
Cette section explique comment configurer un pare-feu et la plateforme de BI afin qu'ils puissent
fonctionner ensemble dans un scénario de déploiement dans lequel le pare-feu sépare le serveur
d'applications Web des autres serveurs de la plateforme.
Pour obtenir des informations sur la configuration du pare-feu avec les clients et les serveurs de la
plateforme de BI, voir la section Configuration requise pour les ports de la plateforme de Business
Intelligence de ce guide. Outre la configuration standard des pare-feu, la communication avec les
serveurs JD Edwards réclame d'ouvrir des ports supplémentaires.
203
2011-05-06
Sécurisation de la plateforme de BI
Tableau 6-14 : Pour JD Edwards EnterpriseOne Enterprise
Ordinateur source
Port
Ordinateur de destination
Port
Action
CMS avec fonction Connectivité de la sécurité pour JD Edwards EnterpriseOne
N'importe
lequel
JD Edwards EnterpriseOne
N'importe lequel
Autoriser
Serveurs de la plateforme de
BI avec connectivité des données pour JD Edwards EnterpriseOne
N'importe
lequel
JD Edwards EnterpriseOne
N'importe lequel
Autoriser
Crystal Reports avec connectivité des données côté client
pour JD Edwards EnterpriseOne
N'importe
lequel
JD Edwards EnterpriseOne
N'importe lequel
Autoriser
Serveur d'applications Web
N'importe
lequel
JD Edwards EnterpriseOne
N'importe lequel
Autoriser
6.17.3 Instructions propres au pare-feu pour Oracle EBS
Votre déploiement de la plateforme de BI doit permettre aux composants suivants d'établir la
communication avec le port d'écoute de la base de données Oracle.
• Composants Web de la plateforme de BI
•
•
•
CMS (particulièrement le plug-in de sécurité Oracle EBS)
Serveurs principaux de la plateforme de BI (particulièrement le composant d'accès aux données
EBS)
Crystal Reports (particulièrement le composant d'accès aux données EBS)
Remarque :
Dans tous les cas cités ci-dessus, la valeur par défaut du port d'écoute de la base de données Oracle
est 1521.
6.17.3.1 Spécifications détaillées requises pour le port
204
2011-05-06
Sécurisation de la plateforme de BI
Outre la configuration de pare-feu standard pour la plateforme de BI, certains ports supplémentaires
doivent être ouverts pour fonctionner dans un environnement Oracle EBS intégré :
Ordinateur source
Port
Ordinateur de destination
Port
Action
Serveur d'applications Web
N'importe
lequel
Oracle EBS
Port de base de
données Oracle
Autoriser
CMS avec fonction Connectivité de la sécurité pour Oracle
EBS
Quelco
nque
Oracle EBS
Port de base de
données Oracle
Autoriser
Serveurs de la plateforme de
BI avec la fonction côté serveur Connectivité de données
pour Oracle EBS
N'importe
lequel
Oracle EBS
Port de base de
données Oracle
Autoriser
Crystal Reports avec la fonction côté client Connectivité de
données pour Oracle EBS
N'importe
lequel
Oracle EBS
Port de base de
données Oracle
Autoriser
6.17.4 Configuration du pare-feu pour l'intégration PeopleSoft Enterprise
Les déploiements de la plateforme de BI qui communiqueront avec PeopleSoft Enterprise doivent être
conformes aux règles de communication générales suivantes :
• Le CMS (Central Management Server) ayant le composant Connectivité de sécurité doit être en
mesure d'initier une communication avec le service Web PeopleSoft Query Access (QAS).
• Les serveurs de la plateforme de BI ayant le composant Connectivité de données doivent être en
mesure d'initier une communication avec le service Web PeopleSoft QAS.
• Les rapports Crystal ayant le composant côté client Connectivité de données doivent être en mesure
d'initier une communication avec le service Web PeopleSoft QAS.
• La passerelle Enterprise Management (EPM) doit être en mesure de communiquer avec le CMS et
Input File Repository Server.
• La passerelle EPM doit être en mesure de communiquer avec la base de données PeopleSoft via
une connexion ODBC.
Le numéro de port du service Web doit être celui spécifié dans le nom de domaine PeopleSoft Enterprise.
205
2011-05-06
Sécurisation de la plateforme de BI
6.17.4.1 Ports requis pour les serveurs de la plateforme de BI
Produit
Spécifications requises pour le port du serveur
Plateforme SAP
BusinessObjects
de Business Intelligence
•
Port du serveur de connexion de la plateforme de BI
6.17.4.2 Configuration de port requise pour PeopleSoft
Produit
PeopleSoft Enterprise : People
Tools 8.46 ou version ultérieure
Configuration de port
Description
Port HTTP/HTTPS du service
Web
Ce port est requis lors de l'utilisation de la connexion SOAP
pour PeopleSoft Enterprise for
PeopleTools 8.46 et versions
ultérieures
6.17.4.3 Configuration de la plateforme de BI et de PeopleSoft pour les pare-feu
Cette section explique comment configurer la plateforme de BI et PeopleSoft Enterprise afin qu'ils
puissent fonctionner ensemble dans un scénario de déploiement dans lequel le pare-feu sépare le
serveur d'applications Web des autres serveurs de la plateforme de BI.
Pour une configuration de pare-feu avec serveurs et clients de la plateforme de BI, voir le Guide
d'administration de la plateforme SAP BusinessObjects de Business Intelligence.
Outre la configuration des pare-feu avec la plateforme de BI, vous devrez procédez à une configuration
supplémentaire.
206
2011-05-06
Sécurisation de la plateforme de BI
Tableau 6-18 : For PeopleSoft Enterprise : PeopleTools 8.46 ou version ultérieure
Ordinateur source
Port
Ordinateur de destination
Port
Action
CMS avec fonction Connectivité de la sécurité pour PeopleSoft
N'importe
lequel
PeopleSoft
Port HTTP
/HTTPS du service
Web PeopleSoft
Autoriser
Serveurs de la plateforme de
BI avec la fonction Connectivité de données pour PeopleSoft
N'importe
lequel
PeopleSoft
Port HTTP
/HTTPS du service
Web PeopleSoft
Autoriser
Crystal Reports avec la fonction Connectivité de données
côté client pour PeopleSoft
N'importe
lequel
PeopleSoft
Port HTTP
/HTTPS du service
Web PeopleSoft
Autoriser
Passerelle EPM
N'importe
lequel
CMS
Port du serveur de
nom CMS
Autoriser
Passerelle EPM
N'importe
lequel
CMS
Port du CMS requis
Autoriser
Passerelle EPM
N'importe
lequel
Input File Repository
Server
Port de l'Input
FRS
Autoriser
Passerelle EPM
N'importe
lequel
PeopleSoft
Port de la base de
données PeopleSoft
Autoriser
6.17.5 Configuration du pare-feu pour l'intégration Siebel
Cette section présente les ports spécifiques utilisés pour la communication entre les systèmes de la
plateforme de BI et Siebel eBusiness Application lorsqu'ils sont séparés par des pare-feu.
•
207
L'application Web doit être en mesure d'initier une communication avec le serveur de connexion de
la plateforme de BI pour Siebel. Le serveur de connexion BusinessObjects Enterprise pour Siebel
requiert trois ports :
1. Le port Echo (TCP) 7 qui vérifie l'accès au serveur de connexion.
2. Le port du serveur de connexion Enterprise pour Siebel (8448 par défaut) qui sert de port d'écoute
CORBA IOR.
2011-05-06
Sécurisation de la plateforme de BI
3. Un port POA aléatoire de communication CORBA qui ne peut pas être contrôlé, donc tous les
ports doivent être ouverts.
•
•
•
•
Le CMS doit être en mesure d'initier une communication avec le serveur de connexion de la
plateforme de BI pour Siebel. Un port d'écoute CORBA IOR configuré pour chaque serveur de
connexion (par exemple 8448). Vous devrez également ouvrir un numéro de port POA aléatoire qui
ne sera pas connu tant que vous n'aurez pas installé la plateforme de BI.
Le serveur de connexion de la plateforme de BI pour Siebel doit être en mesure d'établir la
communication avec le port SCBroker (Siebel connection broker), par exemple 2321.
Les serveurs principaux de la plateforme de BI (composant Siebel Data Access) doivent être en
mesure d'établir la communication avec le port SCBroker (Siebel connection broker), par exemple
2321.
Crystal Reports (composant Siebel Data Access) doit être en mesure d'établir la communication
avec le port SCBroker (Siebel connection broker), par exemple 2321.
Description détaillée des ports
Cette section répertorie les ports utilisés par la plateforme de BI. Si vous déployez la plateforme de BI
avec des pare-feu, ces informations vous permettront d'ouvrir le nombre minimal de ports requis dans
ces pare-feu spécifiquement pour l'intégration à Siebel.
Tableau 6-19 : Ports requis pour les serveurs de la plateforme de BI
Produit
Spécifications requises pour le port du serveur
Plateforme SAP BusinessObjects de Business Intelligence
•
Port du serveur de connexion de la plateforme de BI
Tableau 6-20 : Configuration de port pour Siebel
Produit
Configuration de
port
Description
Application Siebel eBusiness
2321
Port SCBroker (Siebel connection broker) par défaut
Configuration des pare-feu de la plateforme de BI pour l'intégration à Siebel
Cette section explique comment configurer un pare-feu pour Siebel et la plateforme de BI afin qu'ils
puissent fonctionner ensemble dans un scénario de déploiement dans lequel le pare-feu sépare le
serveur d'applications Web des autres serveurs de la plateforme.
208
Ordinateur source
Port
Ordinateur de destination
Port
Action
Serveur d'applications Web
N'importe
lequel
Serveur de connexion de la plateforme de BI pour Siebel
N'importe lequel
Autori
ser
2011-05-06
Sécurisation de la plateforme de BI
Ordinateur source
Port
Ordinateur de destination
Port
Action
CMS
N'importe
lequel
Serveur de connexion de la plateforme de BI pour Siebel
N'importe lequel
Autori
ser
Serveur de connexion de la
plateforme de BI pour Siebel
N'importe
lequel
Siebel
Port SCBroker
Autori
ser
Serveurs de la plateforme
de BI avec connectivité de
données côté serveur pour
Siebel
N'importe
lequel
Siebel
Port SCBroker
Autori
ser
Crystal Reports avec connectivité de données côté
client pour Siebel
N'importe
lequel
Siebel
Port SCBroker
Autori
ser
6.18 Plateforme de Business Intelligence et serveurs proxy inverses
La plateforme de BI peut être déployée dans un environnement comportant un ou plusieurs serveurs
proxy inverses. Les serveurs proxy inverses sont généralement déployés devant les serveurs
d'applications Web afin de les masquer derrière une adresse IP unique. Cette configuration permet
d'acheminer tout le trafic Internet adressé aux serveurs d'applications Web privés via le serveur proxy
inverse, masquant ainsi les adresses IP privées.
Dans la mesure où le serveur proxy inverse traduit les URL publiques en URL internes, il doit être
configuré avec les URL des applications Web de la plateforme de BI déployées sur le réseau interne.
6.18.1 Serveurs proxy inverses pris en charge
La plateforme de BI prend en charge les serveurs proxy inverses suivants :
• IBM Tivoli Access Manager WebSEAL 6
• Apache 2.2
• Microsoft ISA 2006
209
2011-05-06
Sécurisation de la plateforme de BI
6.18.2 Description du déploiement des applications Web
Les applications Web de la plateforme de BI sont déployées sur un serveur d'applications Web. Les
applications sont déployées automatiquement durant l'installation par le biais de l'outil Wdeploy. L'outil
peut également être utilisé pour déployer manuellement les applications après le déploiement de la
plateforme de BI. Les applications Web se trouvent dans le répertoire suivant dans une installation
Windows par défaut :
C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise
XI 4.0\warfiles\webapps
Wdeploy est utilisé pour déployer deux fichiers WAR spécifiques :
•
•
BOE : inclut la CMC (Central Management Console), la zone de lancement BI et OpenDocument ;
dswsbobje : contient l'application Web Service.
Si le serveur d'applications Web se trouve derrière un serveur proxy inverse, ce dernier doit être configuré
avec les chemins de contexte des fichiers WAR corrects. Pour exposer toutes les fonctionnalités de la
plateforme de BI, configurez un chemin de contexte pour chaque fichier WAR de la plateforme de BI
déployé.
6.19 Configuration des serveurs proxy inverses pour les applications Web de la
plateforme de Business Intelligence
Le serveur proxy inverse doit être configuré de façon à mapper les demandes d'URL entrantes à
l'application Web correcte dans les déploiements dans lesquels les applications Web de la plateforme
de BI se trouvent derrière un serveur proxy inverse.
Cette section contient des exemples de configuration spécifiques s'appliquant à certains serveurs proxy
inverses pris en charge. Pour en savoir plus, voir la documentation fournie avec le serveur proxy inverse.
6.19.1 Instructions détaillées relatives à la configuration des serveurs proxy inverses
Configurer les fichiers WAR
Les applications Web de la plateforme de BI sont déployées sous forme de fichiers WAR situés sur un
serveur d'applications Web. Veillez à configurer une directive sur le serveur proxy inverse pour le fichier
WAR requis par le déploiement. Vous pouvez utiliser Wdeploy pour déployer les fichiers WAR dswbobje
210
2011-05-06
Sécurisation de la plateforme de BI
ou BOE. Pour en savoir plus sur Wdeploy, voir le Guide de déploiement d'applications Web de la
plateforme de Business Intelligence.
Spécifier les propriétés BOE dans le répertoire de configuration
Les fichiers BOE.war contiennent les propriétés générales et propres à l'application. Si vous devez
modifier des propriétés, utilisez le répertoire de configuration personnalisée. Par défaut, le répertoire
se trouve dans C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects
Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF\config\custom.
Ne modifiez pas les propriétés dans le répertoire config\default.
Remarque :
Sur certains serveurs d'applications Web comme la version Tomcat fournie avec la plateforme de BI,
vous pouvez accéder directement au fichier BOE.war. Dans ce type de scénario, vous pouvez définir
directement des paramètres personnalisés, sans annuler le déploiement du fichier WAR. Lorsque vous
ne pouvez pas accéder au fichier BOE.war, vous devez annuler le déploiement, personnaliser, puis
redéployer le fichier.
Utilisation cohérente du caractère "/"
Définissez les chemins de contexte dans le serveur proxy inverse de la même façon que dans une
URL de navigateur. Par exemple, si la directive contient un caractère « / » à la fin du chemin miroir sur
le serveur proxy inverse, saisissez le caractère « / » à la fin de l'URL du navigateur.
Veillez à ce que le caractère « / » soit utilisé de façon cohérente dans l'URL source et l'URL de destination
dans la directive du serveur proxy inverse. Si le caractère « / » est ajouté à la fin de l'URL source, il
doit être placé au même endroit dans l'URL de destination.
6.19.2 Pour configurer le serveur proxy inverse
Les étapes indiquées ci-dessous sont requises pour que les applications Web de la plateforme de BI
fonctionnent derrière un serveur proxy inverse pris en charge.
1. Assurez-vous que le serveur proxy inverse est correctement installé, selon les instructions du
fournisseur et la topologie réseau du déploiement.
2. Indiquez quel fichier WAR de la plateforme de BI est nécessaire.
3. Configurez le serveur proxy inverse pour chaque fichier WAR de la plateforme de BI. Notez que les
règles sont spécifiées différemment sur chaque type de serveur proxy inverse.
4. Effectuez les éventuelles configurations spéciales requises. Certaines applications Web requièrent
une configuration spéciale lorsqu'elles sont déployées sur certains serveurs d'applications Web.
6.19.3 Pour configurer le serveur proxy inverse Apache 2.2 pour la plateforme de
BI :
211
2011-05-06
Sécurisation de la plateforme de BI
Cette section fournit un workflow permettant de configurer la plateforme de BI et Apache 2.2 afin qu'ils
puissent fonctionner ensemble.
1. Assurez-vous que la plateforme de BI et Apache 2.2 sont installés sur des ordinateurs distincts.
2. Assurez-vous qu'Apache 2.2 est installé et configuré en tant que serveur proxy inverse, tel que
décrit dans la documentation du fournisseur.
3. Configurez le ProxyPass pour chaque fichier WAR déployé derrière le serveur proxy inverse.
4. Configurez le ProxyPassReverseCookiePath pour chaque application Web déployée derrière
le serveur proxy inverse.
6.19.4 Pour configurer le serveur proxy inverse WebSEAL 6.0 pour la plateforme de
BI :
Cette section explique comment configurer la plateforme de BI et WebSEAL 6.0 afin qu'ils puissent
fonctionner ensemble.
La méthode de configuration recommandée consiste à créer une jonction standard unique qui mappe
toutes les applications Web de la plateforme de BI hébergées sur un serveur d'applications Web interne
ou un serveur Web à un point de montage unique.
1. Assurez-vous que la plateforme de BI et WebSEAL 6.0 sont installés sur des ordinateurs distincts.
Il est possible mais déconseillé de déployer la plateforme de BI et WebSEAL 6.0 sur le même
ordinateur. Pour obtenir les instructions de configuration de ce scénario de déploiement, consultez
la documentation fournie avec WebSEAL 6.0.
2. Assurez-vous que WebSEAL 6.0 est installé et configuré conformément à la documentation du
fournisseur.
3. Lancez l'utilitaire de ligne de commande pdadmin de WebSeal. Connectez-vous à un domaine
sécurisé tel que sec_master en tant qu'utilisateur doté des droits d'administration.
4. A l'invite de commande pdadmin sec_master, saisissez la commande suivante :
server task <instance_name-webseald-host_name>create -t
<type> -h <host_name> -p <port> <junction_point>
Où :
•
<nom_instance-nom_hôte-webseald> désigne le nom de serveur complet de l'instance
WebSEAL installée. Utilisez le même format pour ce nom de serveur complet que celui affiché
dans la sortie de la commande server list.
•
<type> désigne le type de jonction. Utilisez tcp si la jonction mappe un port HTTP interne.
Utilisez ssl si la jonction mappe un port HTTPS interne.
•
<nom_hôte> désigne le nom d'hôte DNS ou l'adresse IP du serveur interne qui reçoit les
demandes.
<port> désigne le port TCP du serveur interne qui reçoit les demandes.
<point_jointure> désigne le répertoire de l'espace d'objets protégé WebSEAL dans lequel
l'espace de documents du serveur interne est monté.
•
•
212
2011-05-06
Sécurisation de la plateforme de BI
Exemple :
server task default-webseald-webseal.rp.sap.com
create -t tcp -h 10.50.130.123 -p 8080/hr
6.19.5 Pour configurer Microsoft ISA 2006 pour la plateforme de Business Intelligence
Cette section explique comment configurer la plateforme de BI et ISA 2006 afin qu'ils puissent fonctionner
ensemble.
La méthode de configuration recommandée consiste à créer une jonction standard unique qui mappe
tous les fichiers WAR de la plateforme de BI hébergés sur un serveur d'applications Web interne ou
un serveur Web à un point de montage unique. Selon votre serveur d'applications Web, vous devez
procéder à des configurations supplémentaires sur le serveur d'applications pour qu'il fonctionne avec
ISA 2006.
1. Assurez-vous que la plateforme de BI et ISA 2006 sont installés sur des ordinateurs distincts.
Il est possible mais déconseillé de déployer la plateforme de BI et ISA 2006 sur le même ordinateur.
Pour obtenir les instructions de configuration de ce scénario de déploiement, consultez la
documentation fournie avec ISA 2006.
2. Assurez-vous qu'ISA 2006 est installé et configuré selon la documentation du fournisseur.
3. Lancer l'utilitaire Gestion ISA Server.
4. Utilisez le panneau de navigation pour lancer une nouvelle règle de publication
a. Accédez à
Arrays > MachineName > Firewall Policy > New > Web Site Publishing Rule (Tableaux >
NomOrdinateur > Stratégie de pare-feu> Nouvelle > Règle de publication Web)
Rappel :
Remplacez MachineName (nom de l'ordinateur) par le nom de l'ordinateur sur lequel est installé
ISA 2006.
b.
c.
d.
e.
Saisissez un nom de règle dans Nom de la règle de publication Web et cliquez sur Suivant.
Sélectionnez Autoriser comme action de règle et cliquez sur Suivant.
Sélectionnez Publier un seul site Web ou un équilibreur de charge et cliquez sur Suivant.
Sélectionnez un type de connexion entre le ISA Server et le site Web publié, puis cliquez sur
Suivant.
Par exemple, sélectionnez Utiliser une connexion non sécurisée pour la connexion au
serveur Web publié ou à la batterie de serveurs.
f. Saisissez le nom interne du site Web que vous publiez (par exemple, le nom de l'ordinateur
hébergeant la plateforme de BI) dans Nom du site interne et cliquez sur Suivant.
213
2011-05-06
Sécurisation de la plateforme de BI
Remarque :
Si l'ordinateur hébergeant ISA 2006 ne peut pas se connecter au serveur cible, sélectionnez
Utiliser un nom d'ordinateur ou une adresse IP pour établir la connexion avec le serveur
publié et saisissez le nom ou l'adresse IP dans le champ prévu à cet effet.
g. Dans "Informations sur les noms publics", sélectionnez le nom de domaine (N'importe quel
nom de domaine, par exemple) et spécifiez toutes les informations de publication interne (/*,
par exemple). Cliquez sur Suivant.
Vous devez à présent créer un port d'écoute Web pour surveiller les requêtes Web entrantes.
5. Cliquez sur Nouveau pour lancer l'Assistant Nouveau port d'écoute Web.
a. Saisissez un nom dans Nom du port d'écoute Web et cliquez sur Suivant.
b. Sélectionnez un type de connexion entre ISA Server et le site Web publié, puis cliquez sur
Suivant.
Par exemple, sélectionnez Do not require SSL secured connections with clients (pas de
connexions SSL sécurisées obligatoires avec les client).
c. Dans la section "Adresses IP des ports d'écoute", procédez aux sélections suivantes et cliquez
sur Suivant.
• Interne
• Externe
• Hôte local
• Tous les réseaux
ISA Server est à présent configuré pour publier uniquement via HTTP.
d. Sélectionnez une option "Paramètre d'authentification", cliquez sur Suivant, puis sur Terminer.
Le nouveau port d'écoute est à présent configuré pour la règle de publication Web.
6. Cliquez sur Suivant dans "Ensembles d'utilisateurs", puis cliquez sur Terminer.
7. Cliquez sur Appliquer pour enregistrer tous les paramètres de la règle de publication Web et
actualiser la configuration d'ISA 2006.
Vous devez maintenant actualiser les propriétés de la règle de publication Web pour mapper les
chemins d'accès des applications Web.
8. Dans le panneau de navigation, cliquez avec le bouton droit de la souris sur la stratégie de pare-feu
que vous avez configurée et sélectionnez Propriétés.
9. Dans l'onglet "Chemins", cliquez sur Ajouter pour mapper les chemins d'accès aux applications
Web SAP BusinessObjects.
10. Dans l'onglet "Nom public", sélectionnez Demande pour les sites Web suivants et cliquez sur
Ajouter.
11. Dans la boîte de dialogue "Nom public", saisissez le nom de votre serveur ISA 2006 et cliquez sur
OK.
12. Cliquez sur Appliquer pour enregistrer tous les paramètres de la règle de publication Web et
actualiser la configuration d'ISA 2006.
13. Vérifiez la connexion en accédant à l'URL suivante :
http://<Nom d'hôte ISA Server>:<numéro du port d'écoute>/<Chemin d'accès
externe de l'application>
214
2011-05-06
Sécurisation de la plateforme de BI
Par exemple : http://myISAserver:80/Product/BOE/CMC
Remarque :
Vous devrez peut-être actualiser plusieurs fois le navigateur.
Pour être sûr que vous pourrez vous connecter à la CMC, vous devez modifier la stratégie HTTP de
la règle que vous venez de créer. Cliquez avec le bouton droit de la souris sur la règle que vous avez
créée dans l'utilitaire Gestion ISA Server, et sélectionnez Configurer HTTP. Désélectionnez à présent
Vérifier la normalisation dans la zone "Protection des URL".
Pour accéder à distance à la plateforme de BI, vous devez créer une règle d'accès.
6.20 Configuration spéciale de la plateforme de BI dans les déploiements de serveurs
proxy inverses
Afin de pouvoir fonctionner correctement dans les déploiements de serveurs proxy inverses, certains
produits de la plateforme de BI nécessitent une configuration supplémentaire. Cette section explique
comment effectuer cette configuration supplémentaire.
6.20.1 Activation du proxy inverse pour les services Web
Cette section décrit les procédures requises pour activer les proxys inverses pour les services Web.
6.20.1.1 Pour activer le proxy inverse sur Tomcat 6
Pour activer le proxy inverse sur le serveur d'applications Web Tomcat, vous devez modifier le fichier
server.xml. Les modifications requises comprennent l'affectation du port d'écoute du serveur proxy
inverse au paramètre proxyPort et l'ajout d'un nouvel attribut proxyName. Cette section explique la
procédure à suivre.
1. Arrêtez Tomcat.
2. Ouvrez le fichier server.xml pour Tomcat.
Sous Windows, le fichier server.xml se trouve dans le dossier C:\Program Files (x86)\SAP
BusinessObjects\Tomcat6\conf
Sous UNIX, le fichier server.xml se trouve dans le dossier <RACINE_CATALINA>/conf. La
valeur par défaut de <CATALINA_HOME> est <REPINSTALL>/bobje/tomcat55
215
2011-05-06
Sécurisation de la plateforme de BI
3. Recherchez la section suivante dans le fichier server.xml :
<!-- Define a Proxied HTTP/1.1 Connector on port 8082 -->
<!--See proxy documentation for more information about using
this.-->
<!-<Connector port="8082"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false"
acceptCount="100" debug="0" connectionTimeout="20000"
proxyPort="80" disableUploadTimeout="true" />
-->
4. Annulez la mise en commentaire de l'élément Connector en supprimant <!-- et -->.
5. Remplacez la valeur de proxyPort par le port d'écoute du serveur proxy inverse.
6. Ajoutez un nouvel attribut proxyName à la liste des attributs de Connector. La valeur de proxyName
doit être le nom du serveur proxy dont Tomcat doit déterminer l'adresse IP correcte.
Exemple :
<!--Define a Proxied HTTP/1.1 Connector on port 8082 -->
<!--See proxy documentation for more information about using
this.-->
<Connector port="8082"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false"
acceptCount="100" debug="0" connectionTimeout="20000"
proxyName="my_reverse_proxy_server.domain.com"
proxyPort="ReverseProxyServerPort"
disableUploadTimeout="true" />
Où my_reverse_proxy_server.domain.com et ReverseProxyServerPort doivent être
respectivement remplacés par le nom du serveur proxy inverse et son port d'écoute.
7. Enregistrez et fermez le fichier server.xml.
8. Redémarrez Tomcat.
9. Vérifiez que le chemin virtuel du serveur proxy inverse est mappé au port du connecteur Tomcat
adéquat. Dans l'exemple ci-dessus, il s'agit du port 8082.
L'exemple suivant présente un exemple de configuration d'Apache HTTP Server 2.2 utilisé pour
inverser le proxys des services Web SAP BusinessObjects déployés sur Tomcat :
ProxyPass /XI3.0/dswsbobje http://internalServer:8082/dswsbobje
ProxyPassReverseCookiePath /dswsbobje /XI3.0/dswsbobje
Pour activer les services Web, le nom de proxy et le numéro de port doivent être identifiés pour le
connecteur.
6.20.1.2 Activation du proxy inverse pour les services Web sur des serveurs
d'applications Web autres que Tomcat
La procédure suivante nécessite de configurer correctement les applications Web de la plateforme de
BI en fonction du serveur d'applications Web choisi. Notez que les valeurs wsresources respectent
la casse.
216
2011-05-06
Sécurisation de la plateforme de BI
1. Arrêtez le serveur d'applications Web.
2. Indiquez l'URL externe des services Web dans le fichier dsws.properties.
Ce fichier se trouve dans l'application Web dswsbobje. Par exemple, si votre URL externe est
http://mon_serveur_proxy_inverse.domaine.com/dswsbobje/, mettez à jour les
propriétés dans le fichier dsws.properties :
• wsresource1=ReportEngine|reportengine web service alone|http://my_re
verse_proxy_server.domain.com/SAP/dswsbobje/services/ReportEngine
• wsresource2=BICatalog|bicatalog web service alone|http://my_re
verse_proxy_server.domain.com/SAP/dswsbobje/services/BICatatog
• wsresource3=Publish|publish web service alone|http://my_reverse_proxy_ser
ver.domain.com/SAP/dswsbobje/services/Publish
• wsresource4=QueryService|query web service alone|http://my_re
verse_proxy_server.domain.com/SAP/dswsbobje/services/QueryService
• wsresource5=BIPlatform|BIPlatform web service|http://my_reverse_proxy_ser
ver.domain.com/SAP/dswsbobje/services/BIPlatform
• wsresource6=LiveOffice|Live Office web service|http://my_re
verse_proxy_server.domain.com/SAP/dswsbobje/services/LiveOffice
3. Enregistrez le fichier dsws.properties et fermez-le.
4. Redémarrez le serveur d'applications Web.
5. Vérifiez que le chemin virtuel du serveur proxy inverse est mappé au port de connecteur du serveur
d'applications Web adéquat. L'exemple suivant illustre une configuration d'Apache HTTP Server 2.2
utilisé pour inverser les proxys des services Web de la plateforme de BI déployés sur le serveur
d'applications Web de votre choix :
ProxyPass /SAP/dswsbobje http://internalServer:<port d'écoute> /dswsbobje
ProxyPassReverseCookiePath /dswsbobje /SAP/dswsbobje
Où <port d'écoute> correspond au port d'écoute de votre serveur d'applications Web.
6.20.2 Activation du chemin racine des cookies de session pour ISA 2006
Cette section décrit le mode de configuration des serveurs d'applications Web spécifiques pour activer
le chemin racine des cookies de session pour assurer la compatibilité avec ISA 2006 comme serveur
proxy inverse.
6.20.2.1 Pour configurer Apache Tomcat 6
217
2011-05-06
Sécurisation de la plateforme de BI
Pour configurer le chemin racine de façon à ce que les cookies de session fonctionnent avec ISA 2006
comme serveur proxy inverse, ajoutez la chaîne suivante à l'élément <Connector> dans le fichier
server.xml :
emptySessionPath="true"
1. Arrêtez Tomcat.
2. Ouvrez le fichier server.xml situé dans :
<CATALINA_HOME>\conf
3. Localisez la section suivante dans le fichier server.xml :
<!-- Define a Proxied HTTP/1.1 Connector on port 8082 -->
<!-- See proxy documentation for more information about using this -->
<!-<Connector port="8082"
maxThreads="150" minSpareThreads="25" maxS
pareThreads="75" enableLookups="false"
acceptCount="100" debug="0" connectionTimeout="20000"
proxyPort="80" disableUploadTimeout="true" />
-->
4. Annulez la mise en commentaire de l'élément Connector en supprimant <!-- et -->.
5. Pour configurer le chemin racine de façon à ce que les cookies de session fonctionnent avec ISA 2006
comme serveur proxy inverse, ajoutez la chaîne suivante à l'élément <Connector> dans le fichier
server.xml :
emptySessionPath="true"
6. Remplacez la valeur de proxyPort par le port d'écoute du serveur proxy inverse.
7. Ajoutez un nouvel attribut proxyName à la liste des attributs de Connector. La valeur doit être le
nom du serveur de proxy dont Tomcat doit déterminer l'adresse IP correcte.
Par exemple :
<!--Define a Proxied HTTP/1.1 Connector on port 8082
-->
<!-- See proxy documentation for more information about using
this -->
<Connector port="8082"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" emptySessionPath="true"
acceptCount="100" debug="0" connectionTimeout="20000"
proxyName="my_reverse_proxy_server.domain.com"
proxyPort="ReverseProxyServerPort"
disableUploadTimeout="true" />
8. Enregistrez et fermez le fichier server.xml.
9. Redémarrez Tomcat.
Vérifiez que le chemin virtuel du serveur proxy inverse est mappé au port du connecteur Tomcat
adéquat. Dans l'exemple ci-dessus, il s'agit du port 8082.
6.20.2.2 Pour configurer Sun Java 8.2
218
2011-05-06
Sécurisation de la plateforme de BI
Vous devez modifier le fichier sun-web.xml pour chaque application Web de la plateforme de BI.
1. Accédez à <SUN_WEBAPP_DOMAIN>\generated\xml\j2ee-modules\webapps\BOE\WEB-INF
2. Ouvrez le fichier sun-web.xml.
3. Après le conteneur <context-root>, ajoutez les chaînes suivantes :
<session-config>
<cookie-properties>
<property name="cookiePath" value="/" />
</cookie-properties>
</session-config>
<property name="reuseSessionID" value="true"/>
4. Enregistrez et fermez le fichier sun-web.xml.
5. Répétez les étapes de 1 à 4 pour chaque application Web.
6.20.2.3 Pour configurer Oracle Application Server 10gR3
Vous devez modifier le fichier global-web-application.xml ou orion-web.xml pour chaque
répertoire de déploiement de l'application Web de la plateforme de BI.
1. Sélectionnez <ORACLE_HOME>\j2ee\home\config\
2. Ouvrez le fichier global-web-application.xml ou orion-web.xml.
3. Ajoutez la ligne suivante au conteneur <orion-web-app> :
<session-tracking cookie-path="/" />
4. Enregistrez le fichier de configuration et fermez-le.
5. Connectez-vous à Oracle Admin Console :
a. Sélectionnez OC4J:home > Administration > Server Properties (Propriétés du serveur).
b. Sélectionnez Options sous "Command Line Options" (Options de ligne de commande).
c. Cliquez sur Add another Row (Ajouter une ligne) et saisissez la chaîne suivante :
Doracle.useSessionIDFromCookie=true
6. Redémarrez le serveur Oracle.
6.20.2.4 Pour configurer WebSphere Community Edition 2.0
1. Ouvrez WebSphere Community Edition 2.0 Admin Console.
2. Dans le panneau de navigation de gauche, recherchez "Server" (Serveur) et sélectionnez Web
Server (Serveur Web).
3. Sélectionnez les connecteurs et cliquez sur Modifier.
4. Sélectionnez la case à cocher emptySessionPath et cliquez sur Save (Enregistrer).
219
2011-05-06
Sécurisation de la plateforme de BI
5. Saisissez le nom de votre serveur ISA dans ProxyName.
6. Saisissez le numéro du port d'écoute ISA dans ProxyPort.
7. Arrêtez et redémarrez le connecteur.
6.20.3 Activation du proxy inverse pour SAP BusinessObjects Live Office
Pour activer la fonction Afficher l'objet dans le navigateur Web de SAP BusinessObjects Live Office
pour les proxys inverses, modifiez l'URL du visualiseur par défaut. Pour ce faire, utilisez la Central
Management Console (CMC) ou les options de Live Office.
Remarque :
Cette section part du principe que vous avez activé des proxys inverses pour la zone de lancement BI
et que les services Web de la plateforme de BI ont été activés avec succès.
6.20.3.1 Pour modifier l'URL du visualiseur par défaut à l'aide de la CMC
1. Connectez-vous à la CMC
2. Naviguez jusqu'à la page Applications et cliquez sur CMC.
3. Sélectionnez Extensions de traitement dans le menu Actions.
4. Dans le champ URL, définissez l'URL du visualiseur par défaut et cliquez sur Définir l'URL. Par
exemple :
http://ReverseProxyServer:ReverseProxyServerPort/BOE/OpenDocument.jsp?sID
Type=CUID&iDocID=%SI_CUID%
Où ServeurProxyInverse et PortServeurProxyInverse correspondent respectivement au
nom du serveur proxy inverse et à son port d'écoute.
220
2011-05-06
Authentification
Authentification
7.1 Options d'authentification dans la plateforme de BI
L'authentification est un processus qui consiste à vérifier l'identité d'un utilisateur qui tente d'accéder
au système, alors que l'autorisation est un processus qui consiste à vérifier que des droits suffisants
ont été octroyés à l'utilisateur pour exécuter l'action demandée sur l'objet spécifié.
Les plug-ins de sécurité développent et personnalisent la manière dont la plateforme de BI authentifie
les utilisateurs. Ils facilitent la création et la gestion des comptes en permettant de mapper des comptes
et des groupes d'utilisateurs de systèmes tiers dans la plateforme. Vous pouvez mapper des comptes
ou des groupes d'utilisateurs tiers à des comptes ou des groupes d'utilisateurs de la plateforme de BI
existants, ou créer de nouveaux comptes ou groupes d'utilisateurs Enterprise qui correspondent à
chaque entrée mappée dans le système externe.
La version actuelle prend en charge les méthodes d'authentification suivantes :
•
•
•
•
•
•
•
•
Enterprise
LDAP
Windows AD
SAP
Oracle EBS
Siebel
JD Edwards
PeopleSoft
La plateforme de BI étant entièrement personnalisable, l'authentification et les processus peuvent varier
d'un système à l'autre.
Rubriques associées
• Activation de l'authentification JD Edwards EnterpriseOne
• Activation de l'authentification Oracle EBS
• Activation de l'authentification PeopleSoft Enterprise
• Activation de l'authentification Siebel
221
2011-05-06
Authentification
7.1.1 Authentification primaire
L'authentification primaire intervient lorsqu'un utilisateur tente d'accéder pour la première fois au système.
Les deux choses suivantes peuvent l'une ou l'autre se produire pendant une authentification primaire :
•
Si la connexion unique n'est pas configurée, l'utilisateur fournit ses références de connexion, telles
que son nom d'utilisateur, son mot de passe et le type d'authentification.
Ces détails sont saisis par les utilisateurs sur l'écran de connexion.
•
Si une méthode de connexion unique est configurée, les références de connexion des utilisateurs
sont transmises de manière silencieuse.
Ces détails sont extraits en utilisant d'autres méthodes, telles que Kerberos ou SiteMinder.
•
Il peut s'agir de l'authentification Enterprise, LDAP Windows AD, SAP Oracle EBS, Siebel, JD
Edwards EntrepriseOne ou PeopleSoft Enterprise, selon le type d'authentification activé et configuré
dans la zone de gestion Authentification de la CMC (Central Management Console). Le navigateur
Web de l'utilisateur envoie les informations vers votre serveur Web via le protocole HTTP, qui les
achemine à son tour vers le CMS ou le serveur de la plateforme approprié.
Le serveur d'applications Web transmet les informations sur l'utilisateur via un script côté serveur. En
interne, ce script communique avec le SDK et, finalement, le plug-in de sécurité approprié pour
authentifier l'utilisateur en fonction de la base de données utilisateur.
Par exemple, si l'utilisateur se connecte à la zone de lancement BI et spécifie l'authentification Enterprise,
le SDK s'assure que le plug-in de sécurité de la plateforme de BI procède à l'authentification. Le CMS
(Central Management Server) utilise le plug-in de sécurité pour vérifier le nom d'utilisateur et le mot de
passe en fonction de la base de données système. De même, si l'utilisateur spécifie une méthode
d'authentification, le SDK utilise le plug-in de sécurité correspondant pour authentifier l'utilisateur.
Si le plug-in de sécurité reconnaît les références de connexion, le CMS accorde à l'utilisateur une
identité active sur le système, et les actions suivantes sont effectuées :
•
Le CMS crée une session Enterprise pour l'utilisateur. Une fois active, cette session nécessite une
licence utilisateur sur le système.
•
Le CMS génère et code un jeton de connexion qu'il envoie au serveur d'applications Web.
•
Le serveur d'applications Web stocke les informations de l'utilisateur en mémoire dans une variable
de session. Une fois active, cette session stocke les informations qui permettent à la plateforme de
BI de répondre aux requêtes de l'utilisateur.
Remarque :
La variable de session ne contient pas le mot de passe de l'utilisateur.
•
222
Le serveur d'applications Web conserve le jeton de connexion dans un cookie sur le navigateur du
client. Ce cookie est uniquement utilisé à des fins de basculement, par exemple lorsque vous avez
un CMS en cluster ou lorsque la zone de lancement BI est mise en cluster pour l'affinité de la session.
2011-05-06
Authentification
Remarque :
Il est possible de désactiver le jeton de connexion, toutefois, ce faisant, vous désactivez également
le basculement.
7.1.2 Plug-ins de sécurité
Les plug-ins de sécurité développent et personnalisent la manière dont la plateforme de BI authentifie
les utilisateurs. La plateforme de BI comprend actuellement des plug-ins suivants :
•
•
•
•
•
•
•
•
Enterprise
LDAP
Windows AD
SAP
Oracle EBS
Siebel
JD Edwards
PeopleSoft
Ils facilitent la création et la gestion des comptes en permettant de mapper des comptes et des groupes
d'utilisateurs de systèmes tiers sur la plateforme de BI. Vous pouvez mapper des comptes ou des
groupes d'utilisateurs tiers à des comptes ou des groupes d'utilisateurs de la plateforme de BI existants,
ou créer de nouveaux comptes ou groupes d'utilisateurs Enterprise qui correspondent à chaque entrée
mappée dans le système externe.
Les plug-ins de sécurité mettent dynamiquement à jour les listes d'utilisateurs et de groupes tiers. Ainsi,
une fois que vous avez mappé un groupe externe sur la plateforme de BI, tous les utilisateurs appartenant
à ce groupe peuvent se connecter avec succès à la plateforme de BI. Lorsque vous apportez des
modifications ultérieures à l'appartenance d'un groupe tiers, vous n'avez pas besoin d'actualiser la liste
sur la plateforme de BI. Par exemple, si vous mappez un groupe LDAP dans sur la plateforme de BI,
puis que vous ajoutez un nouvel utilisateur au groupe, le plug-in de sécurité crée dynamiquement un
alias pour ce nouvel utilisateur lorsque ce dernier se connecte pour la première fois à la plateforme de
BI avec des références de connexion LDAP valides.
Par ailleurs, les plug-ins de sécurité vous permettent d'attribuer des droits aux utilisateurs et aux groupes
de manière cohérente, car les utilisateurs et les groupes mappés sont considérés comme des comptes
Enterprise. Par exemple, vous pouvez mapper des comptes et des groupes d'utilisateurs de Windows
AD, et des comptes et des groupes d'utilisateurs d'un serveur de répertoires LDAP. Ensuite, lorsque
vous devrez attribuer des droits ou créer de nouveaux groupes personnalisés sur la plateforme de BI,
vous définirez tous vos paramètres dans la CMC.
Chaque plug-in de sécurité se comporte comme un fournisseur d'authentifications qui vérifie les
références de connexion de l'utilisateur par rapport à la base de données utilisateur appropriée. Lorsque
les utilisateurs se connectent à la plateforme de BI, ils choisissent parmi les types d'authentification
disponibles que vous avez activés et configurés dans la zone de gestion Autorisation de la CMC.
223
2011-05-06
Authentification
Remarque :
Le plug-in de sécurité Windows AD ne peut pas authentifier les utilisateurs si les composants du serveur
de la plateforme de BI sont exécutés sous UNIX.
7.1.3 Connexion unique à la plateforme de BI
La connexion unique à la plateforme de BI signifie qu'une fois les utilisateurs connectés au système
d'exploitation, ils peuvent accéder aux applications qui prennent en charge la connexion unique sans
avoir à fournir de nouveau leurs références de connexion. Lorsqu'un utilisateur se connecte, un contexte
de sécurité est créé pour cet utilisateur. Ce contexte peut être transmis à la plateforme de BI pour
permettre une connexion unique ; l'utilisateur est ainsi connecté en tant qu'utilisateur correspondant à
l'utilisateur.
Le terme “connexion unique anonyme” désigne également la connexion unique à la plateforme de BI,
mais il fait plus particulièrement référence à la fonction de connexion unique pour le compte utilisateur
Guest. Lorsque le compte utilisateur Guest est activé, ce qui est le cas par défaut, n'importe qui peut
se connecter à la plateforme de BI en tant que Guest et obtient ainsi l'accès au système.
7.1.3.1 Prise en charge de la connexion unique
Le terme de connexion unique est utilisé pour décrire différents scénarios. Au sens le plus général, ce
terme fait référence à une situation où l'utilisateur peut accéder à au moins deux applications ou
systèmes tout en ne fournissant qu'une seule fois ses références de connexion ; l'interaction entre le
système et l'utilisateur est ainsi facilitée.
La connexion unique à la zone de lancement BI peut être fournie par la plateforme de BI ou par différents
outils d'authentification en fonction du type de serveur d'applications et du système d'exploitation.
Ces méthodes de connexion unique sont disponibles si vous utilisez un serveur d'applications Java
sous Windows :
•
Windows AD avec Kerberos
•
Windows AD avec SiteMinder
Ces méthodes de connexion unique sont disponibles si vous utilisez IIS sous Windows :
•
Windows AD avec Kerberos
•
Windows AD avec NTLM
•
Windows AD avec SiteMinder
Les méthodes de connexion unique suivantes sont disponibles sous Windows ou Unix, quel que soit
le serveur d'applications Web pris en charge par la plateforme.
224
2011-05-06
Authentification
•
LDAP avec SiteMinder
•
Authentification sécurisée
•
Windows AD avec Kerberos
Remarque :
Windows AD avec Kerberos est pris en charge si l'application Java se trouve sous UNIX. Cependant,
les services de la plateforme de BI doivent être exécutés sur un serveur Windows.
Le tableau suivant décrit les méthodes disponibles de prise en charge de la connexion unique pour la
zone de lancement BI.
Mode
d'authentification Serveur CMS
Options
Windows Windows uniWindows AD avec Kerberos
AD
quement
uniquement
Remarques
L'authentification Windows AD pour la
zone de lancement BI et la CMC est prête
à l'emploi.
LDAP
Toute plateServeurs de répertoires LDAP L'authentification LDAP pour la zone de
forme prise en
pris en charge, avec SiteMinder lancement BI et la CMC est prête à l'emcharge
uniquement
ploi. La connexion unique à InfoView et à
la CMC nécessite SiteMinder.
Enterprise
Toute plateAuthentification sécurisée
forme prise en
charge
•
Connexion unique à la plateforme de BI
•
Connexion unique à une base de données
•
Connexion unique de bout en bout
L'authentification Enterprise pour la zone
de lancement BI et la CMC est prête à
l'emploi. La connexion unique avec l'authentification Enterprise pour InfoView et la
CMC requiert l'authentification sécurisée.
7.1.3.2 Connexion unique à une base de données
Une fois les utilisateurs connectés à la plateforme de BI, la connexion unique à la base de données
leur permet d'effectuer des actions nécessitant un accès à la base de données, en particulier, l'affichage
et l'actualisation de rapports, sans devoir fournir à nouveau leurs références de connexion. La connexion
unique à la base de données peut être combinée avec une connexion unique à la plateforme de BI
pour permettre aux utilisateurs d'accéder encore plus facilement aux ressources dont ils ont besoin.
225
2011-05-06
Authentification
7.1.3.3 Connexion unique de bout en bout
La connexion unique de bout en bout fait référence à une configuration dans laquelle les utilisateurs
disposent à la fois de la connexion unique à la plateforme de BI au niveau interface client et de la
connexion unique aux bases de données. Ainsi, les utilisateurs ne doivent fournir leurs références de
connexion qu'une seule fois, lorsqu'ils se connectent au système d'exploitation, pour accéder à la
plateforme de BI et effectuer des actions requérant un accès à la base de données, telles que l'affichage
de rapports.
Sur la plateforme de BI, la connexion unique de bout en bout est prise en charge par l'intermédiaire de
Windows AD et de Kerberos.
7.2 Authentification Enterprise
7.2.1 Présentation de l'authentification Enterprise
L'authentification Enterprise est la méthode d'authentification par défaut pour la plateforme de BI, elle
est automatiquement activée lorsque vous installez le système pour la première fois, et ne peut pas
être désactivée. Lorsque vous ajoutez et gérez des utilisateurs et des groupes, la plateforme de BI
conserve des informations relatives à l'utilisateur et au groupe au sein de sa base de données.
Conseil :
Utilisez l'authentification Enterprise (authentification système par défaut) si vous préférez créer des
comptes et des groupes distincts à utiliser avec la plateforme de BI ou si vous n'avez pas encore défini
de hiérarchie d'utilisateurs et de groupes dans un serveur de répertoire tiers.
Vous n'avez pas à configurer ni à activer l'authentification Enterprise. Vous pouvez cependant modifier
les paramètres de l'authentification Enterprise pour répondre aux besoins de sécurité particuliers de
votre organisation. Les paramètres Enterprise ne peuvent être modifiés que via la CMC (Central
Management Console).
7.2.2 Paramètres d'authentification Enterprise
226
2011-05-06
Authentification
Paramètres
Options
Description
Restrictions relatives aux
mots de passe
Appliquer des mots de passe à caCette option permet de s'assurer
sse mixte
que les mots de passe contiennent
au moins deux classes de caractères parmi les suivantes : majuscules, minuscules, nombres ou ponctuation.
Doit comprendre N caractères au
moins
En exigeant une complexité minimale dans le choix d'un mot de passe, vous réduisez les chances
qu'un utilisateur malveillant devine
le mot de passe valide d'un autre
utilisateur.
Restrictions relatives aux
utilisateurs
Le mot de passe doit être modifié
tous les N jour(s)
Cette option permet que les mots
de passe ne deviennent pas un
problème et qu'ils soient actualisés
régulièrement.
Les N mots de passe les plus réce- Cette option permet que les mots
nts ne peuvent être réutilisés
de passe ne soient pas répétés par
habitude.
Le mot de passe peut être modifié Cette option permet que les nouaprès N minute(s)
veaux mots de passe ne puissent
pas être modifiés immédiatement
après leur saisie dans le système.
Restrictions relatives aux
connexions
227
Désactiver le compte après N
échecs de connexion
Cette option de sécurité spécifie le
nombre de tentatives de connexion
autorisées pour un utilisateur avant
que son compte ne soit désactivé.
Réinitialiser le compte dont la connexion a échoué après N minute(s)
Cette option spécifie un intervalle
de temps avant la réinitialisation du
compteur de tentatives de connexion.
2011-05-06
Authentification
Paramètres
Options
Description
Réactiver le compte après N minute(s)
Cette option spécifie la durée pour
laquelle un compte est suspendu
après N échecs de tentative de connexion.
Activer et mettre à jour les références de connexion aux sources de
données de l'utilisateur au moment
de la connexion.
Cette option active les références
de connexion aux sources de données après que l'utilisateur se soit
connecté.
Synchroniser les références
de connexion aux sources
de données avec la connexion.
Authentification sécurisée
Fournit les paramètres de configuration de l'authentification sécurisée.
Rubriques associées
• Activation de l'authentification sécurisée
7.2.3 Modification des paramètres d'Enterprise
1. Accédez à la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur Enterprise.
La boîte de dialogue "Enterprise" s'affiche.
3. Modifiez les paramètres.
Conseil :
Pour remplacer tous les paramètres par les valeurs par défaut, cliquez sur Réinitialiser.
4. Cliquez sur Mettre à jour pour enregistrer vos modifications.
7.2.3.1 Pour modifier les paramètres généraux de mot de passe
1. Accédez à la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur Enterprise.
228
2011-05-06
Authentification
La boîte de dialogue "Enterprise" s'affiche.
3. Activez la case à cocher pour chaque paramètre de mot de passe à utiliser et renseignez-la si
nécessaire.
Le tableau suivant identifie les valeurs minimales et maximales pour chacun des paramètres
concernant le mot de passe que vous pouvez configurer.
Tableau 7-1 : Paramètres de mot de passe
Paramètre de mot de passe
Valeur minimale
Valeur maximale recommandée
Appliquer des mots de passe
à casse mixte
Sans objet
Sans objet
Doit comprendre N caractères au minimum
0 caractère
64 caractères
Doit changer de mot de passe tous les N jours
1 jour
100 jours
Les N derniers mots de passe ne peuvent être réutilisés
1 mot de passe
100 mots de passe
Le mot de passe peut être
modifié après N minute(s)
0 minute
100 minutes
Désactiver le compte après
N échecs de connexion
1 échec
100 échecs
Réinitialiser le nombre
d'échecs de connexion après
N minute(s)
1 minute
100 minutes
Réactiver le compte après
N minute(s)
0 minute
100 minutes
4. Cliquez sur Mettre à jour.
229
2011-05-06
Authentification
7.2.4 Activation de l'authentification sécurisée
L'authentification sécurisée d'Enterprise est utilisée pour effectuer une connexion unique en s'appuyant
sur le serveur d'applications Web pour vérifier l'identité d'un utilisateur. Cette méthode d'authentification
implique l'établissement d'une sécurité entre le CMS (Central Management Server) et le serveur
d'applications Web hébergeant l'application Web de la plateforme de BI. Lorsque la sécurité est établie,
le système abandonne la vérification de l'identité d'un utilisateur au serveur d'applications Web.
L'authentification sécurisée peut être utilisée pour prendre en charge des méthodes d'authentification
telles que SAML, x.509 et d'autres méthodes ne disposant pas d'un plug-in d'authentification propre.
Les utilisateurs préfèrent se connecter une fois au système et ne pas avoir à entrer leurs mots de passe
plusieurs fois pendant une session. L'authentification sécurisée constitue une solution de connexion
unique Java pour intégrer la solution d'authentification de votre plateforme de BI aux solutions
d'authentification tierces. Les applications qui possèdent une sécurité établie avec le Central Management
Server (CMS) peuvent utiliser l'authentification sécurisée pour permettre aux utilisateurs de se connecter
sans entrer leurs mots de passe.
Pour activer l'authentification sécurisée, vous devez configurer un secret partagé sur le serveur via les
paramètres d'authentification d'Enterprise, alors que le client est configuré via les propriétés spécifiées
pour le fichier WAR BOE.
Remarque :
•
•
Pour pouvoir utiliser l'authentification sécurisée, vous devez au préalable avoir créé des utilisateurs
Enterprise ou mappé les utilisateurs tiers que vous allez utiliser pour établir la connexion à la
plateforme de BI.
L'URL de connexion unique pour la zone de lancement est : http://server:port/BOE/BI.
Rubriques associées
• Pour configurer le serveur de manière à utiliser l'authentification sécurisée
• Pour configurer l'authentification sécurisée pour l'application Web
7.2.4.1 Pour configurer le serveur de manière à utiliser l'authentification
sécurisée
Pour pouvoir utiliser l'authentification sécurisée, vous devez avoir créé des utilisateurs Enterprise ou
mappé les utilisateurs tiers que vous allez utiliser pour établir la connexion à la plateforme de BI.
1. Connectez-vous à la CMC.
2. Accédez à la zone de gestion Authentification.
3. Cliquez sur l'option Enterprise.
230
2011-05-06
Authentification
La boîte de dialogue "Enterprise" apparaît.
4. Faites défiler l'écran vers le bas jusqu'à la zone "Authentification sécurisée".
a. Cliquez sur L'authentification sécurisée est activée.
b. Cliquez sur Nouveau secret partagé.
Le message suivant s'affiche :
La clé du secret partagé est générée et est prête au téléchargement
c. Cliquez sur Télécharger le secret partagé.
Remarque :
Le secret partagé est utilisé par le client et le CMS pour établir la fiabilité. Vous devez également
configurer le client après avoir terminé la configuration de l'authentification sécurisée pour le
serveur.
La boîte de dialogue "Téléchargement de fichier" s'affiche.
d. Cliquez sur "Enregistrer" et accédez au répertoire suivant pour enregistrer le fichier Trusted
Principal.conf :
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\win32_x86\
e. Pour indiquer le nombre de jours pendant lesquels le secret partagé sera valide, saisissez une
valeur dans le champ "Période de validité du secret partagé".
f. Indiquez une valeur de délai pour vos demandes d'authentification sécurisée.
Remarque :
La valeur de délai correspond au décalage maximal, en millisecondes, entre l'horloge du client
et l'horloge du CMS. Si vous saisissez 0, le décalage possible entre les deux horloges est illimité.
Il est déconseillé de définir cette valeur sur 0 car cela risque d'augmenter la vulnérabilité aux
attaques.
5. Cliquez sur Mettre à jour pour activer le secret partagé.
Remarque :
Toutes les modifications des paramètres d'authentification sécurisée ne sont pas contrôlées par la
plateforme de BI. Nous vous conseillons de sauvegarder manuellement toutes vos informations
d'authentification sécurisée.
Le secret partagé est utilisé par le client et le CMS pour établir la fiabilité. Vous devez également
configurer le client après avoir terminé la configuration de l'authentification sécurisée pour le serveur.
7.2.5 Configuration de l'authentification sécurisée pour l'application Web
Pour configurer l'authentification sécurisée pour le client, vous devez accéder au fichier war BOE et en
modifier les propriétés globales, ainsi que les propriétés spécifiques de la zone de lancement BI et des
applications OpenDocument.
Vous pouvez utiliser l'une de ces deux méthodes pour transmettre le secret partagé au client :
•
231
Session Web
2011-05-06
Authentification
•
Fichier TrustedPrincipal.conf
Outre le secret partagé, vous devez utiliser l'une des méthodes suivantes pour transmettre le nom
d'utilisateur au client :
• Session Web
• Cookies
• En-tête HTTP :
• Requête d'URL
Quelle que soit la méthode, elle doit être personnalisée dans les propriétés globales Trus
ted.auth.user.retrieval du fichier war BOE.
7.2.5.1 Utilisation de l'authentification sécurisée pour la connexion unique SAML
Le SAML (Security Assertion Markup Language) est un standard XML pour la communication
d'informations d'identité. Le SAML fournit une connexion sécurisée où l'identité et l'approbation sont
communiquées par activation d'un mécanisme de connexion unique qui élimine les connexions
supplémentaires pour les utilisateurs sécurisés tentant d'accéder à la plateforme de BI.
Activation de l'authentification SAML
Si votre serveur d'applications peut fonctionner comme fournisseur de service SAML, vous pouvez
utiliser l'authentification sécurisée pour fournir la connexion unique SAML à la plateforme de BI.
Pour ce faire, vous devez d'abord configurer le serveur d'applications Web pour l'authentification SAML.
Voici un exemple de fichier web.xml configuré pour l'authentification SAML :
<security-constraint>
<web-resource-collection>
<web-resource-name>InfoView</web-resource-name>
<url-pattern>*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>j2ee-admin</role-name>
<role-name>j2ee-guest</role-name>
<role-name>j2ee-special</role-name>
</auth-constraint>
<user-data-constraint>
<transport-guarantee>NONE</transport-guarantee>
</user-data-constraint>
</security-constraint>
<login-config>
<auth-method>FORM</auth-method>
<realm-name>InfoView</realm-name>
<form-login-config>
<form-login-page>/logon.jsp</form-login-page>
<form-error-page>/logon.jsp</form-error-page>
</form-login-config>
</login-config>
<security-role>
<description>Assigned to the SAP J2EE Engine System Administrators</description>
<role-name>j2ee-admin</role-name>
</security-role>
<security-role>
<description>Assigned to all users</description>
<role-name>j2ee-guest</role-name>
</security-role>
<security-role>
232
2011-05-06
Authentification
<description>Assigned to a special group of users</description>
<role-name>j2ee-special</role-name>
</security-role>
Veuillez vous référer à la documentation du serveur d'applications pour davantage d'instructions sur
la manière de procéder car cela varie en fonction du serveur d'applications.
Utilisation de l'authentification sécurisée
Une fois configuré votre serveur d'applications pour fonctionner comme fournisseur de service SAML,
vous pouvez utiliser l'authentification sécurisée pour fournir la connexion unique SAML.
Remarque :
Les utilisateurs doivent être importés sur la plateforme de BI ou disposer de comptes Enterprise.
La création dynamique d'alias est utilisée pour activer la connexion unique. Lorsqu'un utilisateur accède
pour la première fois à la page de connexion via SAML, il est invité à se connecter manuellement à
l'aide de ses références de compte existantes de la plateforme de BI. Une fois les références de
connexion de l'utilisateur vérifiées, le système crée un alias entre l'identité SAML de l'utilisateur et son
compte de plateforme de BI. Les tentatives ultérieures de connexion de l'utilisateur seront réalisées à
l'aide de la connexion unique car le système aura fait correspondre dynamiquement l'alias d'identité
de l'utilisateur avec un compte existant.
Remarque :
Une propriété spécifique pour le fichier war BOE (trusted.auth.user.namespace.enabled) doit
être activée pour que ce mécanisme fonctionne.
7.2.5.2 Propriétés d'authentification sécurisée pour les applications Web
Le tableau suivant répertorie les paramètres d'authentification sécurisée inclus dans le fichier glo
bal.properties par défaut pour BOE.war. Pour remplacer des paramètres, créez un fichier dans :
C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enter
prise XI 4.0\warfiles\webapps\BOE\WEB-INF\config\custom.
233
2011-05-06
Authentification
Propriété
Valeur par défaut
Description
sso.en
abled=true
sso.enabled=false Active et désactive la connexion unique (SSO) à la plateforme de BI. Pour activer l'authentification sécurisée, cette
propriété doit être définie sur true.
trus
ted.auth.sha
red.secret
Aucune
Nom de variable de session utilisé pour extraire le secret
pour l'authentification sécurisée. Uniquement d'application
si la session Web est utilisée pour transmettre le secret
partagé.
trus
Aucune
ted.auth.user.pa
ram
Spécifie la variable utilisée pour extraire le nom d'utilisateur pour l'authentification sécurisée.
trus
Aucune
ted.auth.user.re
trieval
Spécifie la méthode utilisée pour extraire le nom d'utilisateur pour l'authentification sécurisée. Peut être définie sur
l'une des valeurs suivantes :
• "REMOTE_USER"
• "HTTP_HEADER"
• "COOKIE"
• "QUERY_STRING"
• "WEB_SESSION"
• "USER_PRINCIPAL"
N'attribuez aucune valeur pour désactiver l'authentification
sécurisée.
trus
ted.auth.user.na
mespace.en
abled
trus
ted.auth.user.na
mespace.en
abled=false
Active et désactive la liaison dynamique des alias aux
comptes utilisateur existants. Si la valeur true est attribuée à la propriété, l'authentification sécurisée utilise la
liaison d'alias pour authentifier les utilisateurs à a plateforme de BI. Avec la liaison d'alias, votre serveur d'applications peut fonctionner comme un fournisseur de service
SAML, activant par conséquent l'authentification sécurisée
pour fournir une connexion unique SAML au système. Si
la valeur false est attribuée, l'authentification sécurisée
utilisera la correspondance de noms lors de l'authentification d'utilisateurs.
7.2.5.3 Pour configurer l'authentification sécurisée pour l'application Web
Si vous avez l'intention de stocker le secret partagé dans le fichier TrustedPrincipal.conf,
assurez-vous de stocker le fichier dans le répertoire de plateforme approprié :
234
2011-05-06
Authentification
Plateforme
Emplacement du fichier TrustedPrincipal.conf
Windows, installation par défaut
<REPINSTALL>\SAP BusinessObjects
Enterprise XI 4.0\win32_x86\
AIX
<REPINSTALL>/sap_bobj/enterprise_xi40/
aix_rs6000/
Solaris
<REPINSTALL>/sap_bobj/enterprise_xi40/
solaris_sparc/
HP_UX
<REPINSTALL>/sap_bobj/enterprise_xi40/
hpux_pa-risc/
Linux
<REPINSTALL>/sap_bobj/enter
prise_xi40/linux_x86
Il existe plusieurs mécanismes remplissant la variable de nom d'utilisateur utilisée pour configurer
l'authentification sécurisée pour le client hébergeant les applications Web. Configurez votre serveur
d'applications Web de façon à ce que les noms d'utilisateur soient exposés avant d'utiliser ces méthodes
d'extraction du nom d'utilisateur. Voir http://java.sun.com/j2ee/1.4/docs/api/javax/servlet/http/HttpServ
letRequest.html pour en savoir plus.
Pour configurer l'authentification sécurisée pour le client, vous devez accéder au fichier BOE.war et en
modifier les propriétés. Le fichier BOE.war comprend les propriétés aussi bien générales que spécifiques
pour les applications Web de zone de lancement BI et OpenDocument.
Remarque :
En fonction de la méthode que vous comptez utiliser pour extraire le nom d'utilisateur ou le secret
partagé, il peut exister des étapes supplémentaires.
1. Accédez au dossier personnalisé pour le fichier BOE.war sur l'ordinateur hébergeant les applications
Web.
Si vous utilisez le serveur d'applications Web Tomcat fourni avec l'installation de la plateforme de
BI, vous pouvez directement accéder au répertoire suivant :
C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\webapps\BOE\WEBINF\config\custom\
Conseil :
Si vous utilisez un serveur d'applications Web ne permettant pas l'accès direct aux applications
Web déployées, vous pouvez utiliser le dossier suivant dans l'installation de votre produit pour
modifier le fichier BOE.war.
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles\we
bapps\BOE\WEB-INF\config\custom\.
Vous devrez redéployer ultérieurement le fichier BOE.war modifié.
2. Créez un fichier.
235
2011-05-06
Authentification
Remarque :
Utilisez Notepad ou tout autre éditeur de texte.
3. Spécifiez les propriétés de l'authentification sécurisée en saisissant les éléments suivants :
sso.enabled=true
trusted.auth.user.retrieval=Method for user ID retrieval
trusted.auth.user.param=Variable
trusted.auth.shared.secret=WEB_SESSION
Les options d'extraction du nom d'utilisateur sont répertoriées dans le tableau suivant :
Option
Mode d'extraction du nom d'utilisateur
HTTP_HEADER
Le nom d'utilisateur est extrait du contenu d'un
en-tête HTTP défini. Vous devez spécifier l'entête HTTP que vous souhaitez utiliser dans la
propriété trusted.auth.user.param.
QUERY_STRING
Le nom d'utilisateur est extrait du paramètre
défini de l'URL de la requête. Vous devez spécifier la chaîne de requête à utiliser dans la
propriété trusted.auth.user.param.
COOKIE
Le nom d'utilisateur est extrait d'un cookie défini.
Vous devez spécifier le cookie à utiliser dans la
propriété trusted.auth.user.param.
WEB_SESSION
Le nom d'utilisateur est extrait du contenu d'une
variable de session définie. Vous devez spécifier
la variable de session Web à utiliser dans le
paramètre trusted.auth.user.param du
fichier global.properties.
USER_PRINCIPAL
Le nom d'utilisateur est extrait d'un appel à ge
tUserPrincipal().getName() sur l'objet
HttpServletRequest pour la requête en
cours dans un servlet ou un fichier JSP.
Remarque :
•
236
Certains serveurs d'applications Web nécessitent que vous ayez affecté la valeur true à la variable
d'environnement REMOTE_USER sur votre serveur d'applications Web. Consultez la
documentation spécifique à votre serveur d'applications Web pour savoir si cette exigence
s'applique. Si elle s'applique, vérifiez que la variable d'environnement a la valeur true si vous
utilisez cette méthode d'extraction du nom d'utilisateur.
2011-05-06
Authentification
•
Si vous utilisez USER_PRINCIPAL pour transmettre le nom d'utilisateur, laissez vide le paramètre
trusted.auth.user.param.
4. Enregistrez le fichier sous le nom suivant .
global.properties
5. Redémarrez le serveur d'applications Web.
Les nouvelles propriétés ne prennent effet que lorsque l'application Web BOE est redéployée sur
l'ordinateur exécutant le serveur d'applications Web. Utilisez WDeploy pour redéployer le fichier WAR
sur le serveur d'applications Web. Pour en savoir plus sur l'utilisation de WDeploy, voir le Guide de
déploiement d'applications Web de la plateforme SAP BusinessObjects de Business Intelligence.
7.2.5.3.1 Exemples de configuration
Pour transmettre le secret partagé par le biais du fichier TrustedPrincipal.conf
L'exemple de configuration suivant suppose qu'un utilisateur JohnDoe a été créé sur la plateforme de
BI.
Les informations d'utilisateur seront stockées et transmises par le biais de la session Web, tandis que
le secret partagé sera transmis par le biais du fichier TrustedPrincipal.conf. Le fichier est censé
se trouver dans le répertoire suivant : C:\Program Files (x86)\SAP BusinessObjects\SAP
BusinessObjects Enterprise XI 4.0\win32_x86 . La version fournie de Tomcat 6 constitue
le serveur d'applications Web.
1. Accédez au répertoire suivant :
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles\we
bapps\BOE\WEB-INF\config\custom\
2. Créez un fichier.
Remarque :
Utilisez Notepad ou tout autre éditeur de texte.
3. Spécifiez les propriétés de l'authentification sécurisée en saisissant les éléments suivants :
sso.enabled=truetrue
trusted.auth.user.retrieval=WEB_SESSION
trusted.auth.user.param=MyUser
trusted.auth.shared.secret=
4. Enregistrez le fichier sous le nom suivant .
global.properties
5. Accédez au fichier suivant :
C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\webapps\BOE\WEBINF\eclipse\plugins\webpath.InfoView\web\custom.jsp
6. Modifiez le contenu du fichier pour inclure les éléments suivants :
<\!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<%@ page language="java" contentType="text/html;charset=utf-8" %>
<%
//custom Java code
request.getSession().setAttribute("MyUser", "JohnDoe");
237
2011-05-06
Authentification
%>
<html>
<head>
<title>Custom Entry Point</title>
</head>
<body>
<script type="text/javascript" src="noCacheCustomResources/myScript.js"></script>
<a href="javascript:goToLogonPage()">Click this to go to the logon page of BI launch pad</a>
</body>
</html>
7. Créez le fichier myScript.js dans le répertoire suivant :
C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\webapps\BOE\WEBINF\eclipse\plugins\webpath.InfoView\web\noCacheCustomResources
8. Ajoutez à myScript.js les éléments suivants :
function goToLogonPage() {
window.location = "logon.jsp";
}
9. Fermez Tomcat.
10. Supprimez le fichier de travail du répertoire suivant :
C:\Program Files (x86)\ SAP BusinessObjects\Tomcat6
11. Redémarrez Tomcat.
Pour vérifier si vous avez correctement configuré l'authentification sécurisée, utilisez l'URL suivante
pour accéder à l'application de zone de lancement BI : http://[nom_cms]:8080/BOE/BI/cus
tom.jsp où [nom_cms] est le nom de l'ordinateur hébergeant le CMS. Le lien suivant devrait s'afficher :
Cliquez sur ce lien pour accéder à la page de connexion de la zone de
lancement BI
Pour transmettre le secret partagé par le biais de la variable de session Web
L'exemple de configuration suivant suppose qu'un utilisateur JohnDoe a été créé sur la plateforme de
BI.
Les informations d'utilisateur seront stockées et transmises par le biais de la session Web, tandis que
le secret partagé sera transmis par le biais de la variable de session Web. Le fichier est censé se
trouver dans le répertoire suivant : C:\Program Files (x86)\SAP BusinessObjects\SAP
BusinessObjects Enterprise XI 4.0\win32_x86 . Vous devez ouvrir et consulter le contenu
du fichier. Dans cet exemple de configuration, il est supposé que le secret partagé est le suivant :
9ecb0778edcff048edae0fcdde1a5db8211293486774a127ec949c1bdb98dae8e0ea388979edc65773
841c8ae5d1f675a6bf5d7c66038b6a3f1345285b55a0a7
La version fournie de Tomcat 6 constitue le serveur d'applications Web.
1. Accédez au répertoire suivant :
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles\we
bapps\BOE\WEB-INF\config\custom\
2. Créez un fichier.
238
2011-05-06
Authentification
Remarque :
Utilisez Notepad ou tout autre éditeur de texte.
3. Spécifiez les propriétés de l'authentification sécurisée en saisissant les éléments suivants :
sso.enabled=truetrue
trusted.auth.user.retrieval=WEB_SESSION
trusted.auth.user.param=MyUser
trusted.auth.shared.secret=MySecret
4. Enregistrez le fichier sous le nom suivant .
global.properties
5. Accédez au fichier suivant :
C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\webapps\BOE\WEBINF\eclipse\plugins\webpath.InfoView\web\custom.jsp
6. Modifiez le contenu du fichier pour inclure les éléments suivants :
<\!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"
"http://www.w3.org/TR/html4/loose.dtd">
<%@ page language="java" contentType="text/html;charset=utf-8" %>
<%
//custom Java code
request.getSession().setAttribute("MySecret","9ecb0778edcff048edae0fcdde1a5db82112934
86774a127ec949c1bdb98dae8e0ea388979edc65773841c8ae5d1f675a6bf5d7c66038b6a3f1345
285b55a0a7"
request.getSession().setAttribute("MyUser", "JohnDoe");
%>
<html>
<head>
<title>Custom Entry Point</title>
</head>
<body>
<script type="text/javascript" src="noCacheCustomResources/myScript.js"></script>
<a href="javascript:goToLogonPage()">Click this to go to the logon page of BI launch pad</a>
</body>
</html>
7. Créez le fichier myScript.js dans le répertoire suivant :
C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\webapps\BOE\WEBINF\eclipse\plugins\webpath.InfoView\web\noCacheCustomResources
8. Ajoutez à myScript.js les éléments suivants :
function goToLogonPage() {
window.location = "logon.jsp";
}
9. Fermez Tomcat.
10. Supprimez le fichier de travail du répertoire suivant :
C:\Program Files (x86)\ SAP BusinessObjects\Tomcat6
11. Redémarrez Tomcat.
Pour vérifier si vous avez correctement configuré l'authentification sécurisée, utilisez l'URL suivante
pour accéder à l'application de zone de lancement BI : http://[nom_cms]:8080/BOE/BI/cus
tom.jsp où [nom_cms] est le nom de l'ordinateur hébergeant le CMS. Le lien suivant devrait s'afficher :
Cliquez sur ce lien pour accéder à la page de connexion de la zone de
lancement BI
239
2011-05-06
Authentification
Pour transmettre le nom d'utilisateur par le biais de l'utilisateur principal
L'exemple de configuration suivant suppose qu'un utilisateur JohnDoe a été créé sur la plateforme de
BI.
Les informations d'utilisateur seront stockées et transmises par le biais de l'option d'utilisateur principal
tandis que le secret partagé sera transmis par le biais du fichier TrustedPrincipal.conf. Le fichier
est censé se trouver dans le répertoire suivant : C:\Program Files (x86)\SAP
BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\win32_x86 . La version
fournie de Tomcat 6 constitue le serveur d'applications Web.
1. Arrêtez le serveur Tomcat.
2. Ouvrez le fichier server.xml pour Tomcat.
Le fichier est disponible par défaut dans le répertoire suivant :
C:\Program Files (x86)\ SAP BusinessObjects\Tomcat6\conf\.
3. Modifiez la valeur de Realm className= comme suit :
Realm className=“org.apache.catalina.realm.MemoryRealm ”
4. Ouvrez le fichier tomcat-users.xml.
Le fichier se trouve par défaut sous
C:\Program Files (x86)\ SAP BusinessObjects\Tomcat6\conf\.
5. Cherchez la balise <tomcat-users> et effectuez les modifications comme suit :
<user name=“JohnDoe” password=“password”
roles=“onjavauser”/>
6. Ouvrez le fichier web.xml dans le répertoire suivant :
C:\Program Files (x86)\ SAP BusinessObjects\Tomcat6\webapps\BOE\WEB-INF\
7. Avant la balise </web-app>, ajoutez ce qui suit :
<security-constraint>
<web-resource-collection>
<web-resource-name>OnJavaApplication</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>onjavauser</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>OnJava Application</realm-name>
</login-config>
Remarque :
Vous devez saisir une page spécifique pour le paramètre <url-pattern></url-pattern>.
Cette page ne doit généralement pas être l'URL par défaut pour la zone de lancement BI ni aucune
autre application Web.
8. Supprimez le fichier de travail du répertoire suivant :
C:\Program Files (x86)\ SAP BusinessObjects\Tomcat6
240
2011-05-06
Authentification
9. Redémarrez Tomcat.
Remarque :
Les configurations sur le serveur d'applications Web sont les mêmes que si vous utilisiez la méthode
Utilisateur distant.
Pour vérifier si vous avez correctement configuré l'authentification sécurisée, utilisez l'URL suivante
pour accéder à l'application de zone de lancement BI : http://[nom_cms]:8080/BOE/BI où
[nom_cms] désigne le nom de l'ordinateur hébergeant le CMS. Après un moment, une boîte de dialogue
de connexion s'affiche.
7.3 Authentification LDAP
7.3.1 Utilisation de l'authentification LDAP
Cette section fournit une description générale du fonctionnement de l'authentification LDAP avec la
plateforme de BI. Elle présente ensuite les outils d'administration qui vous permettent de gérer et de
configurer les comptes LDAP sur la plateforme.
Lorsque vous installez la plateforme de BI, le plug-in d'authentification LDAP est installé
automatiquement, mais n'est pas activé par défaut. Vous devez tout d'abord vérifier que votre répertoire
LDAP est configuré afin d'utiliser l'authentification LDAP. Pour obtenir davantage d'informations sur
LDAP, reportez-vous à la documentation relative à LDAP.
Le protocole LDAP (Lightweight Directory Access Protocol), un répertoire commun indépendant de
toute application, permet aux utilisateurs de partager des informations entre plusieurs applications.
Basé sur un standard ouvert, LDAP fournit un moyen d'accéder et de mettre à jour des informations
dans un répertoire.
LDAP est basé sur le standard X.500, qui utilise un protocole d'accès aux répertoires (DAP) pour
communiquer entre un client répertoire et un serveur d'annuaire. LDAP est une alternative à DAP car
il utilise moins de ressources, simplifie et omet certaines opérations et fonctions X.500.
La structure de répertoires dans LDAP se compose d'entrées organisées selon un schéma spécifique.
Chaque entrée est identifiée par un nom distinctif correspondant (DN) ou un nom commun (CN). Les
autres attributs communs incluent le nom d'unité de l'organisation (OU) et le nom de l'organisation (O).
Par exemple, un groupe de membres peut se trouver dans une arborescence de répertoires comme
suit : cn=Utilisateurs de la plateforme de BI, ou=Utilisateurs Enterprise A, o=Recherche. Consultez
votre documentation LDAP pour plus d'informations.
Puisque LDAP est indépendant de toute application, tout client avec l'autorisation adéquate peut accéder
à ses répertoires. LDAP vous offre la possibilité de configurer des utilisateurs pour se connecter à la
241
2011-05-06
Authentification
plateforme de BI par le biais de l'authentification LDAP. Il permet également d'autoriser les utilisateurs
lors de l'accès aux objets dans le système. Tant que vous disposez d'un serveur (ou de serveurs) LDAP
en cours d'exécution, et que vous utilisez LDAP dans vos systèmes existants reliés en réseau, vous
pouvez utiliser l'authentification LDAP (en même temps que les authentifications Enterprise et Windows
AD).
Si vous le souhaitez, le plug-in de sécurité LDAP fourni avec la plateforme de BI peut communiquer
avec votre serveur LDAP via une connexion SSL établie à l'aide d'une authentification serveur ou d'une
authentification mutuelle. Dans le cadre d'une authentification serveur, le serveur LDAP possède un
certificat de sécurité que la plateforme de BI utilise pour vérifier si elle approuve le serveur, tandis que
le serveur LDAP autorise les connexions depuis des clients anonymes. Dans le cadre d'une
authentification mutuelle, le serveur LDAP et la plateforme de BI disposent de certificats de sécurité et
le serveur LDAP doit également vérifier le certificat client pour qu'une connexion puisse être établie.
Le plug-in de sécurité LDAP fourni avec la plateforme de BI peut être configuré de manière à
communiquer avec votre serveur LDAP via SSL, mais il effectue toujours une authentification de base
lors de la vérification des références de connexion des utilisateurs. Avant de déployer l'authentification
LDAP conjointement avec la plateforme de BI, assurez-vous que vous êtes familiarisé avec les
différences entre ces types d'authentification LDAP. Pour en savoir plus, voir RFC2251, à présent
disponible à l'adresse http://www.faqs.org/rfcs/rfc2251.html.
Rubriques associées
• Configuration de l'authentification LDAP
• Mappage des groupes LDAP
7.3.1.1 Plug-in de sécurité LDAP
Le plug-in de sécurité LDAP vous permet de mapper des comptes et des groupes utilisateur de votre
serveur d'annuaire LDAP vers la plateforme de BI ; il permet également au système de vérifier toutes
les requêtes de connexion qui spécifient l'authentification LDAP. Les utilisateurs sont authentifiés par
rapport au serveur de répertoire LDAP et leur appartenance à un groupe LDAP mappé est vérifiée
avant que le CMS ne leur accorde une session de plateforme de BI active. Les listes d'utilisateurs et
les appartenances à des groupes sont mises à jour dynamiquement par le système. Si vous souhaitez
renforcer la sécurité, vous pouvez spécifier que la plateforme doit utiliser une connexion SSL (Secure
Sockets Layer) pour communiquer avec le serveur d'annuaire LDAP.
L'authentification LDAP pour la plateforme de BI est similaire à l'authentification Windows AD en ce
sens que vous pouvez mapper des groupes et configurer l'authentification, l'autorisation et la création
d'alias. En outre, comme dans l'authentification NT ou AD, vous pouvez créer des comptes Enterprise
pour les utilisateurs LDAP existants et attribuer des alias LDAP aux utilisateurs existants si les noms
d'utilisateur correspondent aux noms d'utilisateur Enterprise. En outre, vous pouvez procéder aux
opérations suivantes :
•
242
Mapper les utilisateurs et les groupes depuis le service de répertoire LDAP.
2011-05-06
Authentification
•
Mapper LDAP par rapport à AD. Un certain nombre de restrictions s'appliquent si vous configurez
LDAP par rapport à AD.
•
Spécifier des noms d'hôtes multiples et les ports associés.
•
Configurer LDAP avec SiteMinder.
Une fois que vous avez mappé vos utilisateurs et vos groupes LDAP, tous les outils client de la plateforme
de BI prennent en charge l'authentification LDAP. Vous pouvez également créer vos propres applications
prenant en charge l'authentification LDAP.
Rubriques associées
• Configuration des paramètres SSL pour le serveur LDAP ou l'authentification mutuelle
• Mappage de LDAP par rapport à Windows AD
• Configuration du plug-in LDAP pour SiteMinder
7.3.2 Configuration de l'authentification LDAP
Pour simplifier la gestion, la plateforme de BI prend en charge l'authentification LDAP pour les comptes
d'utilisateurs et de groupes. Pour que les utilisateurs puissent utiliser leur nom d'utilisateur et leur mot
de passe LDAP pour se connecter au système, vous devez mapper leur compte LDAP à la plateforme
de BI. Lorsque vous mappez un compte LDAP, vous pouvez choisir de créer un compte ou d'établir un
lien vers un compte de la plateforme de BI existant.
Avant de configurer et d'activer l'authentification LDAP, vérifiez que le répertoire LDAP est configuré.
Pour en savoir plus, reportez-vous à la documentation relative à LDAP.
La configuration de l'authentification LDAP comprend les tâches suivantes :
•
Configuration de l'hôte LDAP
•
Préparation du serveur LDAP pour SSL (si nécessaire)
•
Configuration du plug-in LDAP pour SiteMinder (si nécessaire)
Remarque :
Si vous configurez LDAP par rapport à AD, vous pourrez mapper vos utilisateurs, mais vous ne serez
pas en mesure de configurer une connexion unique AD ou une connexion unique à la base de données.
Cependant, les méthodes de connexion unique LDAP telles que SiteMinder et l'authentification sécurisée
seront toujours disponibles.
7.3.2.1 Pour configurer l'hôte LDAP
243
2011-05-06
Authentification
Il est conseillé d'installer et d'exécuter le serveur LDAP avant de configurer l'hôte LDAP.
1. Accédez à la zone de gestion Authentification de la CMC, puis cliquez deux fois sur LDAP.
Remarque :
Pour ouvrir la zone de gestion Authentification, choisissez Authentification dans la liste de
navigation.
2. Saisissez le nom et le numéro de port de vos hôtes LDAP dans le champ Ajouter un hôte LDAP
(nomhôte:port) (par exemple, "monserveur:123"), cliquez sur Ajouter, puis sur OK.
Conseil :
Répétez cette étape pour ajouter d'autres hôtes LDAP appartenant au même type de serveur, qui
feront office de serveurs de basculement. Si vous voulez supprimer un hôte, mettez en surbrillance
le nom de l'hôte et cliquez sur Supprimer.
3. Sélectionnez votre type de serveur dans la liste Type de serveur LDAP.
Remarque :
Si vous mappez LDAP à AD, sélectionnez le serveur d'applications Microsoft Active Directory comme
type de serveur.
4. Si vous voulez afficher ou modifier les Mappages des attributs du serveur LDAP ou les Attributs de
recherche LDAP par défaut, cliquez sur Afficher les mappages des attributs.
Par défaut, les mappages des attributs du serveur et les attributs de recherche de chaque type de
serveur pris en charge sont déjà définis.
5. Cliquez sur Suivant.
6. Dans le champ Nom distinctif LDAP de base, saisissez le nom distinctif (par exemple, o=UneBase)
du serveur LDAP, puis cliquez sur Suivant.
7. Dans la zone des références de connexion du serveur LDAP, indiquez le nom distinctif et le mot de
passe d'un compte utilisateur disposant d'un accès en lecture à l'annuaire.
Remarque :
Les références d'administrateur ne sont pas requises.
Remarque :
Si votre serveur LDAP permet la liaison anonyme, ne renseignez pas cette zone. Les serveurs et
les clients de la plateforme de BI se connecteront à l'hôte principal via une connexion anonyme.
8. Si vous avez configuré des références sur l'hôte LDAP, saisissez les informations d'authentification
dans la zone Références de connexion LDAP, puis saisissez le nombre de tronçons de référence
dans le champ Nombre maximal de tronçons de référence.
Remarque :
La zone "Références de connexion LDAP" doit être configurée si toutes les conditions suivantes
s'appliquent :
244
•
L'hôte principal a été configuré pour faire référence à un autre serveur d'annuaire qui traite les
requêtes concernant les entrées dans une base spécifiée.
•
L'hôte auquel il est fait référence a été configuré de manière à ne pas autoriser la liaison anonyme.
2011-05-06
Authentification
•
Un groupe de l'hôte auquel il est fait référence sera mappé à la plateforme de BI.
Remarque :
•
•
Les groupes peuvent être mappés à partir de plusieurs hôtes mais seul un ensemble de références
de connexion peut être défini. Par conséquent, si vous disposez de plusieurs hôtes de référence,
vous devez créer un compte d'utilisateur sur chaque hôte qui utilise les mêmes nom distinctif et
mot de passe.
Si la valeur zéro est affectée à "Nombre maximal de tronçons de référence", aucune référence
ne sera autorisée.
9. Cliquez sur Suivant.
10. Choisissez le type d'authentification SSL (Secure Sockets Layer) utilisé, puis cliquez sur Suivant.
Les options sont les suivantes :
•
De base (non SSL)
•
Authentification serveur
•
Authentification mutuelle
11. Choisissez une méthode d'authentification de connexion unique LDAP, puis cliquez sur Suivant.
Les options sont les suivantes :
•
De base (non SSO)
•
SiteMinder
12. Sélectionnez le mode de mappage des alias et utilisateurs aux comptes de la plateforme de BI.
a. Dans "Options de nouvel alias", sélectionnez le mode de mappage des nouveaux alias aux
comptes Enterprise. Sélectionnez l'une des options suivantes :
• Affecter à un même compte chaque alias LDAP ajouté
Utilisez cette option lorsque vous savez que certains utilisateurs possèdent un compte
Enterprise portant le même nom ; cela signifie que les alias LDAP seront affectés aux
utilisateurs existants (la création d'alias automatique est activée). Les utilisateurs dépourvus
de compte Enterprise, ou ne portant pas le même nom dans leur compte Enterprise et LDAP,
sont ajoutés en tant que nouveaux utilisateurs.
•
Créer un nouveau compte pour chaque alias LDAP ajouté
Utilisez cette option pour créer un compte pour chaque utilisateur.
b. Dans "Options de mise à jour des alias", sélectionnez le mode de gestion des mises à jour des
alias pour les comptes Enterprise. Sélectionnez l'une des options suivantes :
• Créer de nouveaux alias lors de la mise à jour des alias
Utilisez cette option pour créer automatiquement un nouvel alias pour chaque utilisateur LDAP
mappé à la plateforme de BI. De nouveaux comptes LDAP sont ajoutés pour les utilisateurs
dépourvus de comptes de la plateforme de BI, ou pour tous les utilisateurs si vous avez
sélectionné l'option Créer un nouveau compte pour chaque alias LDAP ajouté.
•
245
Créer de nouveaux alias uniquement lorsque l'utilisateur se connecte
2011-05-06
Authentification
Sélectionnez cette option si l'annuaire LDAP que vous mappez contient de nombreux
utilisateurs dont seulement quelques-uns utiliseront la plateforme de BI. Le système ne crée
pas automatiquement d'alias et de comptes Enterprise pour tous les utilisateurs. Par contre,
il crée des alias (et des comptes, le cas échéant) uniquement pour les utilisateurs qui se
connectent à la plateforme.
c. Dans "Options de nouvel utilisateur", indiquez le nombre d'utilisateurs créés.
Si votre licence de plateforme SAP BusinessObjects de Business Intelligence est basée sur les
rôles utilisateur, sélectionnez l'une des "Options de nouvel utilisateur" suivantes :
• Visualiseur BI
Les nouveaux comptes utilisateur sont configurés sous le rôle Visualiseur BI. L'accès aux
applications de la plateforme de BI pour tous les comptes ayant le rôle Visualiseur BI est
défini dans le contrat de licence. L'accès utilisateur est limité aux workflows d'application
définis pour le rôle Visualiseur BI. Les droits d'accès sont généralement limités à l'affichage
des documents Business Intelligence. Ce rôle convient généralement aux utilisateurs qui
utilisent du contenu via les applications de la plateforme de BI.
•
Analyste BI Les nouveaux comptes utilisateur sont configurés sous le rôle Analyste BI.
L'accès aux applications de la plateforme de BI pour tous les comptes ayant le rôle Analyste
BI est défini dans le contrat de licence. Les utilisateurs peuvent accéder à tous les workflows
d'application définis pour le rôle Analyste BI. Les droits d'accès incluent l'affichage et la
modification des documents Business Intelligence. Ce rôle convient généralement aux
utilisateurs qui créent et modifient le contenu pour les applications de la plateforme de BI.
Si votre licence de plateforme SAP BusinessObjects de Business Intelligence n'est pas basée
sur les rôles utilisateur, sélectionnez l'une des options suivantes :
•
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs nommés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences
Utilisateurs nommés. Les licences Utilisateur nommé sont associées à des utilisateurs
particuliers qui peuvent accéder au système en saisissant un nom d'utilisateur et un mot de
passe. Ainsi, les utilisateurs nommés peuvent accéder au système, quel que soit le nombre
de personnes connectées. Il faut qu'une licence Utilisateurs nommés soit disponible pour
chaque compte d'utilisateur créé à l'aide de cette option.
•
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs simultanés
Les nouveaux comptes utilisateur sont configurés de manière à utiliser des licences
d'utilisateurs simultanés. Les licences d'accès simultanés spécifient le nombre d'utilisateurs
pouvant se connecter simultanément à la plateforme SAP BusinessObjects de Business
Intelligence. Cette licence est tout à fait adaptée dans la mesure où elle peut accepter de
nombreux utilisateurs. Par exemple, suivant la fréquence et la durée des connexions des
utilisateurs à la plateforme, une licence pour 100 utilisateurs simultanés peut prendre en
charge 250, 500 ou 700 utilisateurs.
13. Dans la zone "Options de liaison d'attributs", vous pouvez spécifier la priorité de liaison des attributs
pour le plug-in LDAP :
a. Cliquez sur la case Importer le nom complet et l'adresse électronique.
Les noms complets et les descriptions des comptes LDAP sont importés et stockés avec les
objets utilisateur dans le système.
246
2011-05-06
Authentification
b. Spécifiez une option pour Rendre la liaison d'attributs LDAP prioritaire par rapport aux
autres liaisons d'attributs.
Remarque :
Si l'option est définie sur "1", les attributs LDAP sont prioritaires dans les scénarios où LDAP et
les autres plug-ins (Windows AD et SAP) sont activés. Si l'option est définie sur "3", les attributs
des autres plug-ins activés seront prioritaires.
14. Cliquez sur Terminer.
Rubriques associées
• Configuration des paramètres SSL pour le serveur LDAP ou l'authentification mutuelle
• Configuration du plug-in LDAP pour SiteMinder
• Licences basées sur les rôles
7.3.2.2 Gestion des hôtes LDAP multiples
Lors de l'utilisation de LDAP et de la plateforme de BI, vous pouvez rendre votre système tolérant aux
pannes en ajoutant plusieurs hôtes LDAP. Le système utilise comme hôte LDAP principal le premier
hôte que vous ajoutez. Les hôtes suivants sont traités en tant qu'hôtes de basculement.
L'hôte LDAP principal et tous les hôtes de basculement doivent être configurés exactement de la même
façon, et chaque hôte LDAP doit faire référence à tous les autres hôtes à partir desquels vous souhaitez
mapper des groupes. Pour obtenir davantage d'informations sur les hôtes et les références LDAP,
reportez-vous à la documentation relative à LDAP.
Pour ajouter plusieurs hôtes LDAP, saisissez-les lorsque vous configurez LDAP à l'aide de l'Assistant
de configuration LDAP (voir pour plus d'informations). Si vous avez déjà configuré LDAP, vous pouvez
accéder à la zone de gestion Authentification de la Central Management Console puis cliquer sur l'onglet
LDAP. Dans la zone Résumé de la configuration du serveur LDAP, cliquez sur le nom de l'hôte LDAP
pour ouvrir la page qui vous permet d'ajouter ou de supprimer des hôtes.
Remarque :
•
•
Assurez-vous d'ajouter en premier l'hôte principal, suivi des autres hôtes de basculement.
Si vous recourez à des hôtes LDAP de basculement, vous ne pouvez pas utiliser le niveau le plus
élevé de sécurité SSL (en d'autres termes, vous ne pouvez pas sélectionner l'option "Accepter le
certificat du serveur s'il provient d'une autorité de certification fiable et si l'attribut CN du certificat
correspond au nom d'hôte DNS du serveur").
Rubriques associées
• Configuration de l'authentification LDAP
247
2011-05-06
Authentification
7.3.2.3 Configuration des paramètres SSL pour le serveur LDAP ou
l'authentification mutuelle
Cette section décrit la configuration SSL avec une authentification serveur et mutuelle LDAP sur la
CMC. Il est supposé que vous avez configuré l'hôte LDAP et que vous avez sélectionné l'une des
options suivantes pour votre authentification SSL :
•
Authentification serveur
•
Authentification mutuelle
Pour en savoir plus ou pour obtenir des informations sur la configuration du serveur hôte LDAP,
reportez-vous à la documentation de votre fournisseur LDAP.
Rubriques associées
• Pour configurer l'hôte LDAP
248
2011-05-06
Authentification
7.3.2.3.1 Pour configurer une authentification serveur ou mutuelle LDAP
Ressources
Actions prérequises
Certificat CA
Une autorité de certification est nécessaire pour générer un certificat CA. Ce
certificat doit être ajouté au serveur LDAP. Pour en savoir plus, reportez-vous à
la documentation de votre fournisseur LDAP. Cette action est requise pour l'authentification serveur et mutuelle avec SSL.
Certificat de serveur
Vous devez demander puis générer un certificat de serveur. Vous devez autoriser
le certificat avant de l'ajouter au serveur LDAP. Cette action est requise pour
l'authentification serveur et mutuelle avec SSL.
cert7.db key3.db
Vous devez accéder à l'application certutil qui peut générer un fichier cert7.db.
Vous pouvez télécharger l'application à partir de l'URL suivante : ftp://ftp.mo
zilla.org/pub/mozilla.org/security/nss/releases/NSS_3_6_RTM/ . Copiez le certificat
CA dans le même répertoire que certutil. Générez les fichiers cert7.db, key3.db
et secmod.db à l'aide de la commande suivante :
certutil -N -d .
Ajoutez le certificat CA au fichier cert7.db à l'aide de la commande suivante :
certutil -A -n <CA_alias_name> -t CT -d . -I cacert.cer
Stockez les trois fichiers dans un répertoire connu de l'ordinateur hébergeant la
plateforme SAP BusinessObjects de Business Intelligence. Les fichiers sont requis
pour l'authentification serveur et mutuelle avec SSL.
cacerts
Ce fichier n'est requis que pour l'authentification serveur et mutuelle avec SSL
pour les applications Java comme la zone de lancement BI. Accédez au fichier
keytool dans votre répertoire bin Java. Utilisez la commande suivante pour créer
le fichier cacerts :
keytool -import -v -alias <CA_alias_name> -file <CA_certificate_name> -trustcacerts
-keystore
Stockez le fichier cacerts dans le même répertoire que les fichiers cert7.db et
key3.db.
Certificat client
249
2011-05-06
Authentification
Ressources
Actions prérequises
Vous devez créer des demandes client distinctes pour les fichiers cert7.db et
.keystore. Pour configurer le plug-in LDAP, vous devez générer une demande
de certificat client à l'aide de certutil. Pour générer la demande de certificat client,
utilisez la commande :
certutil -R -s "<client_dn>" -a -o <certificate_request_name> -d .
Remarque :
<client_dn> comprend des informations telles que "CN=<nom_client>,
OU=unité org, O=Nomsociété, L=ville, ST=province, C=pays Cette
demande de certificat doit ensuite être authentifiée à l'aide de l'autorité de certification. Pour récupérer le certificat et l'insérer dans le fichier cert7.db, utilisez
la commande suivante :
certutil -A -n <client_name> -t Pu -d . -I <client_certificate_name>
Pour faciliter l'authentification Java avec SSL, vous devez générer une demande
de certificat client à l'aide de l'utilitaire keytool à partir du répertoire bin Java.
Générez une paire de clés à l'aide de la commande suivante :
keytool -genkey -keystore .keystore
Après avoir spécifié les informations sur votre client, utilisez la commande suivante
pour générer une demande de certificat client :
keytool -certreq -file <certificate_request_name> -keystore .keystore
Après authentification de la demande de certificat client par l'autorité de certification, le certificat CA doit être inséré dans le fichier .keystore à l'aide de la commande suivante :
keytool -import -v -alias <CA_alias_name> -file <ca_certificate_name> -trustcacerts
-keystore .keystore
Pour terminer, récupérez la demande de certificat client à partir de CA et insérezla dans le fichier .keystore en utilisant la commande suivante :
keytool -import -v -file <client_certificate_name> -trustcacerts -keystore .keystore
Stockez le fichier .keystore dans le même répertoire que cert7.db et cacerts
sur l'ordinateur hébergeant la plateforme de BI.
1. Choisissez le niveau de sécurité SSL à utiliser parmi les options disponibles :
Remarque :
Les applications Java ignoreront les premier et dernier paramètres et accepteront le certificat du
serveur uniquement si celui-ci provient d'une autorité de certification fiable.
•
Toujours accepter le certificat du serveur
Cette option offre le niveau de sécurité le plus faible. Avant que la plateforme de BI ne puisse
établir une connexion SSL avec l'hôte LDAP (pour authentifier les utilisateurs et groupes LDAP),
elle doit recevoir et vérifier un certificat de sécurité envoyé par l'hôte LDAP. La plateforme de BI
ne vérifie pas le certificat qu'elle reçoit.
250
2011-05-06
Authentification
•
Accepter le certificat du serveur s'il provient d'une autorité de certification fiable
Cette option offre un niveau de sécurité moyen. Avant que la plateforme de BI ne puisse établir
une connexion SSL avec l'hôte LDAP (pour authentifier les utilisateurs et groupes LDAP), elle
doit recevoir et vérifier un certificat de sécurité envoyé par l'hôte. Pour vérifier le certificat, le
système doit rechercher dans sa base de données des certificats l'autorité de certification ayant
émis le certificat.
•
Accepter le certificat du serveur s'il provient d'une autorité de certification fiable et si
l'attribut CN du certificat correspond au nom d'hôte DNS du serveur
Cette option offre le niveau de sécurité le plus élevé. Avant que la plateforme de BI ne puisse
établir une connexion SSL avec l'hôte LDAP (pour authentifier les utilisateurs et groupes LDAP),
elle doit recevoir et vérifier un certificat de sécurité envoyé par l'hôte LDAP. Pour vérifier le
certificat, la plateforme de BI doit rechercher dans sa base de données des certificats l'autorité
de certification ayant émis le certificat. Il doit également être en mesure de confirmer que l'attribut
CN associé au certificat du serveur correspond exactement au nom de l'hôte LDAP, tel que vous
l'avez saisi dans le champ "Ajoutez un hôte LDAP" à la première étape de l'Assistant. En d'autres
termes, si vous avez saisi le nom d'hôte LDAP sous la forme ABALONE.rd.crystald.net:389, vous
ne pouvez pas utiliser la syntaxe CN =ABALONE:389 dans le certificat.
Le nom d'hôte associé au certificat de sécurité du serveur est le nom d'hôte LDAP principal. Par
conséquent, si vous sélectionnez cette option, vous ne pouvez pas utiliser un hôte LDAP de
basculement.
2. Dans la zone Hôte SSL, saisissez le nom d'hôte de chaque ordinateur, puis cliquez sur Ajouter.
Remarque :
Ensuite, ajoutez le nom d'hôte de chaque ordinateur du déploiement de la plateforme de BI qui
utilise le SDK de la plateforme SAP BusinessObjects de Business Intelligence. (Cela concerne
l'ordinateur sur lequel s'exécute le CMS (Central Management Server) et celui sur lequel s'exécute
le serveur d'applications Web.)
3. Spécifiez les paramètres SSL de chaque hôte SSL ajouté à la liste et précisez les paramètres par
défaut qui seront utilisés pour chaque hôte n'apparaissant pas dans la liste.
Remarque :
Les paramètres par défaut seront utilisés pour toute définition (de n'importe quel hôte) dans laquelle
vous laissez la case "Utiliser la valeur par défaut" cochée ou pour tout ordinateur non ajouté
explicitement à la liste des hôtes SSL.
Pour spécifier les paramètres par défaut :
a. Sélectionnez une valeur par défaut dans la liste SSL.
b. Décochez les cases Utiliser la valeur par défaut.
c. Saisissez les valeurs dans "Chemin d'accès aux fichiers de la base de données de clés et de
certificats" et "Mot de passe d'accès à la base de données des clés".
d. Si vous spécifiez les paramètres d'une authentification mutuelle, vous pouvez également saisir
une valeur dans le champ "Surnom du certificat client du fichier cert7.db".
Pour définir les paramètres d'un autre hôte, sélectionnez son nom dans la liste située à gauche.
Ensuite, saisissez les valeurs appropriées dans les zones situées à droite.
251
2011-05-06
Authentification
4. Cliquez sur Suivant.
5. Choisissez une méthode d'authentification de connexion unique LDAP parmi les suivantes :
• De base (non SSO)
•
SiteMinder
6. Choisissez le mode de création de nouveaux utilisateurs et alias LDAP.
7. Cliquez sur Terminer.
Rubriques associées
• Configuration du plug-in LDAP pour SiteMinder
7.3.2.4 Modification des paramètres de configuration LDAP
Après avoir configuré l'authentification LDAP à l'aide de l'Assistant de configuration LDAP, vous pouvez
modifier les paramètres de connexion et des groupes de membres LDAP à l'aide de la page Résumé
de la configuration du serveur LDAP.
1. Accédez à la zone de gestion Authentification de la CMC.
2. Cliquez deux fois sur LDAP.
Si l'autorisation LDAP est configurée, la page Résumé de la configuration du serveur LDAP apparaît.
Cette page permet de modifier les zones ou les champs de paramètres de connexion. Vous pouvez
également modifier la zone Groupes des membres LDAP mappés.
3. Supprimez les groupes mappés actuellement qui ne seront plus accessibles selon les nouveaux
paramètres de connexion, puis cliquez sur Mettre à jour.
4. Modifiez les paramètres de connexion, puis cliquez sur Mettre à jour.
5. Modifiez les options Alias et Nouvel utilisateur, puis cliquez sur Mettre à jour.
6. Mappez les nouveaux groupes de membres LDAP, puis cliquez sur Mettre à jour.
7.3.2.5 Configuration du plug-in LDAP pour SiteMinder
Cette section explique comment configurer la CMC pour utiliser LDAP avec SiteMinder. SiteMinder est
un outil tiers qui permet l'authentification et l'accès des utilisateurs et qui peut être employé avec le
plug-in de sécurité LDAP pour créer une connexion unique à la plateforme de BI.
Pour utiliser SiteMinder et LDAP avec la plateforme de BI, vous devez apporter des modifications de
configuration à deux endroits :
•
252
Le plug-in LDAP via la CMC
2011-05-06
Authentification
•
Les propriétés du fichier BOE.war
Remarque :
Vérifiez que l'administrateur SiteMinder a activé la prise en charge des agents 4.x. Cette activation doit
être effectuée quelle que soit la version SiteMinder prise en charge que vous utilisez. Pour en savoir
plus sur SiteMinder et sur son installation, reportez-vous à sa documentation.
Rubriques associées
• Pour configurer l'hôte LDAP
7.3.2.5.1 Pour configurer LDAP pour la connexion unique avec SiteMinder
1. Ouvrez l'écran Configurez les paramètres SiteMinder à l'aide d'une des méthodes suivantes :
•
•
Sélectionnez SiteMinder dans l'écran "Choisissez un mode d'authentification de connexion unique
LDAP" dans l'assistant de configuration LDAP.
Sélectionnez le lien "Type de connexion unique" dans l'écran d'authentification LDAP disponible
si vous avez déjà configuré LDAP et que vous ajoutez maintenant la connexion unique.
2. Dans la zone Hôte serveur de règles, saisissez le nom de chaque serveur de règles, puis cliquez
sur Ajouter.
3. Pour chaque hôte serveur de règles, indiquez le numéro des ports de comptabilisation,
d'Authentification et d'autorisation.
4. Saisissez le Nom de l'agent et le Secret partagé. Saisissez de nouveau le secret partagé.
5. Cliquez sur Suivant.
6. Poursuivez par la configuration des options LDAP.
7.3.2.5.2 Pour activer LDAP et SiteMinder dans le fichier BOE.war
Outre la spécification des paramètres SiteMinder pour le plug-in de sécurité LDAP, les paramètres
SiteMinder doivent être spécifiés pour les propriétés du fichier BOE.war.
1. Accédez au répertoire suivant de votre installation de la plateforme de BI :
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles\we
bapps\BOE\WEB-INF\config\custom\.
2. Créez un fichier.
Remarque :
Utilisez Notepad ou tout autre éditeur de texte.
3. Fermez le fichier et enregistrez-le sous le nom suivant :
BIlaunchpad.properties
4. Entrez l'instruction suivante :
siteminder.authentication=secLDAP
siteminder.enabled=true
5. Fermez le fichier et enregistrez-le sous le nom suivant :
global.properties
253
2011-05-06
Authentification
Remarque :
Vérifiez que le nom de fichier n'est pas enregistré sous une autre extension comme .txt.
6. Créez un autre fichier dans le même répertoire.
7. Entrez l'instruction suivante :
authentication.default=LDAP
cms.default=[enter your cms name]:[Enter the CMS port number]
Par exemple :
authentication.default=LDAP
cms.default=mycms:6400
8. Fermez le fichier et enregistrez-le sous le nom suivant :
bilaunchpad.properties
Les nouvelles propriétés ne prennent effet que lorsque l'application Web BOE est redéployée sur
l'ordinateur exécutant le serveur d'applications Web. Utilisez WDeploy pour redéployer le fichier WAR
sur le serveur d'applications Web. Pour en savoir plus sur l'utilisation de WDeploy, voir le Guide de
déploiement d'applications Web de la plateforme SAP BusinessObjects de Business Intelligence.
7.3.3 Mappage des groupes LDAP
Après avoir configuré l'hôte LDAP à l'aide de l'Assistant de configuration LDAP, vous pouvez mapper
les groupes LDAP aux groupes Enterprise.
Après avoir mappé les groupes LDAP, vous pouvez les afficher en cliquant sur les options LDAP dans
la zone de gestion Authentification. Si l'autorisation LDAP est configurée, la zone Groupes des
membres LDAP mappés affiche les groupes LDAP mappés à la plateforme de BI.
Vous pouvez également mapper les groupes Windows AD pour qu'ils soient authentifiés dans la
plateforme de BI via le plug-in de sécurité LDAP.
Remarque :
Si vous avez configuré LDAP par rapport à AD, cette procédure mappera vos groupes AD.
Rubriques associées
• Mappage de LDAP par rapport à Windows AD
7.3.3.1 Pour mapper des groupes LDAP à l'aide de la plateforme de BI.
1. Accédez à la zone de gestion Authentification de la CMC.
2. Cliquez deux fois sur LDAP.
254
2011-05-06
Authentification
Si l'autorisation LDAP est configurée, la page de résumé LDAP apparaît.
3. Dans la zone "Groupes des membres LDAP mappés", spécifiez votre groupe LDAP (soit par un
nom commun ou un nom distinct) dans le champ Ajouter un groupe LDAP (par cn ou dn) et
cliquez sur Ajouter.
Vous pouvez ajouter plusieurs groupes LDAP en répétant cette étape. Pour supprimer un groupe,
mettez-le en surbrillance et cliquez sur Supprimer.
4. Les options de nouvel alias vous permettent de spécifier la façon dont les alias LDAP sont mappés
aux comptes Enterprise. Sélectionnez l'une des options suivantes :
• Affecter à un même compte chaque alias LDAP ajouté
Utilisez cette option lorsque vous savez que certains utilisateurs possèdent un compte Enterprise
portant le même nom ; cela signifie que les alias LDAP seront affectés aux utilisateurs existants
(la création d'alias automatique est activée). Les utilisateurs dépourvus de compte Enterprise,
ou ne portant pas le même nom dans leur compte Enterprise et LDAP, sont ajoutés en tant que
nouveaux utilisateurs LDAP.
ou
•
Créer un nouveau compte pour chaque alias LDAP ajouté
Utilisez cette option pour créer un compte pour chaque utilisateur.
5. Les options de mise à jour vous permettent de spécifier si des alias LDAP sont automatiquement
créés pour tous les nouveaux utilisateurs. Sélectionnez l'une des options suivantes :
• Les nouveaux alias seront ajoutés et les nouveaux utilisateurs seront créés
Utilisez cette option pour créer automatiquement un nouvel alias pour chaque utilisateur LDAP
mappé à la plateforme de BI. De nouveaux comptes LDAP sont ajoutés pour les utilisateurs
dépourvus de compte de la plateforme de BI, ou pour tous les utilisateurs si vous avez sélectionné
l'option "Créer un nouveau compte pour chaque alias LDAP ajouté" et cliqué sur Mettre à jour.
ou
•
Aucun nouvel alias ne sera ajouté et les nouveaux utilisateurs ne seront pas créés
Utilisez cette option si l'annuaire LDAP que vous mappez contient plusieurs utilisateurs dont
seulement quelques-uns utiliseront la plateforme de BI. Le système ne crée pas automatiquement
d'alias ni de comptes Enterprise pour tous les utilisateurs. Il crée plutôt des alias (et des comptes,
le cas échéant) uniquement pour les utilisateurs qui se connectent à la plateforme de BI.
6. Les options de nouvel utilisateur vous permettent de spécifier les propriétés des nouveaux comptes
Enterprise créés en vue d'être mappés à des comptes LDAP.
Si votre licence de plateforme SAP BusinessObjects de Business Intelligence est basée sur les
rôles utilisateur, sélectionnez l'une des "Options de nouvel utilisateur" suivantes :
• Visualiseur BI
Les nouveaux comptes utilisateur sont configurés sous le rôle Visualiseur BI. L'accès aux
applications de la plateforme de BI pour tous les comptes ayant le rôle Visualiseur BI est défini
dans le contrat de licence. L'accès utilisateur est limité aux workflows d'application définis pour
le rôle Visualiseur BI. Les droits d'accès sont généralement limités à l'affichage des documents
255
2011-05-06
Authentification
Business Intelligence. Ce rôle convient généralement aux utilisateurs qui utilisent du contenu via
les applications de la plateforme de BI.
•
Analyste BI
Les nouveaux comptes utilisateur sont configurés sous le rôle Analyste BI. L'accès aux applications
de la plateforme de BI pour tous les comptes ayant le rôle Analyste BI est défini dans le contrat
de licence. Les utilisateurs peuvent accéder à tous les workflows d'application définis pour le
rôle Analyste BI. Les droits d'accès incluent l'affichage et la modification des documents Business
Intelligence. Ce rôle convient généralement aux utilisateurs qui créent et modifient le contenu
pour les applications de la plateforme de BI.
Si votre licence de plateforme SAP BusinessObjects de Business Intelligence n'est pas basée sur
les rôles utilisateur, sélectionnez l'une des options suivantes :
•
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs nommés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences Utilisateurs
nommés. Les licences Utilisateur nommé sont associées à des utilisateurs particuliers qui peuvent
accéder au système en saisissant un nom d'utilisateur et un mot de passe. Ainsi, les utilisateurs
nommés peuvent accéder au système, quel que soit le nombre de personnes connectées. Il faut
qu'une licence Utilisateurs nommés soit disponible pour chaque compte d'utilisateur créé à l'aide
de cette option.
•
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs simultanés
Les nouveaux comptes utilisateur sont configurés de manière à utiliser des licences d'utilisateurs
simultanés. Les licences d'accès simultanés spécifient le nombre d'utilisateurs pouvant se
connecter en même temps à la plateforme de BI. Cette licence est tout à fait adaptée dans la
mesure où elle peut accepter de nombreux utilisateurs. Par exemple, suivant la fréquence et la
durée des connexions des utilisateurs au système, une licence pour 100 utilisateurs simultanés
peut prendre en charge 250, 500 ou 700 utilisateurs.
7. Cliquez sur Mettre à jour.
Rubriques associées
• Licences basées sur les rôles
7.3.3.2 Pour démapper les groupes LDAP à l'aide de la plateforme de BI
1. Accédez à la zone de gestion Authentification de la CMC.
2. Cliquez deux fois sur LDAP.
Si l'autorisation LDAP est configurée, la page de résumé LDAP apparaît.
3. Dans la zone "Groupes des membres LDAP mappés", sélectionnez le groupe LDAP que vous voulez
supprimer.
4. Cliquez sur Supprimer, puis sur Mettre à jour.
256
2011-05-06
Authentification
Les utilisateurs appartenant à ce groupe ne pourront pas accéder à la plateforme de BI.
Remarque :
La seule exception possible se produit lorsqu'un utilisateur dispose d'un alias pour un compte
Enterprise. Pour limiter l'accès, désactivez ou supprimez le compte Enterprise de l'utilisateur.
Pour refuser l'authentification LDAP pour tous les groupes, décochez la case "L'authentification LDAP
est activée", puis cliquez sur Mettre à jour.
7.3.3.3 Mappage de LDAP par rapport à Windows AD
Si vous configurez LDAP par rapport à AD (Windows AD), tenez compte des restrictions suivantes :
•
Si vous configurez LDAP par rapport à AD, vous pourrez mapper vos utilisateurs, mais vous ne
serez pas en mesure de configurer une connexion unique AD ou une connexion unique à la base
de données. Cependant, les méthodes de connexion unique LDAP telles que SiteMinder et
l'authentification sécurisée seront toujours disponibles.
•
Les utilisateurs qui sont uniquement membres de groupes par défaut d'AD ne pourront pas se
connecter. Ils doivent également être membres d'un autre groupe AD créé explicitement et ce groupe
doit en plus être mappé. Le groupe "utilisateurs du domaine" est un exemple de ce type de groupe.
•
Si un groupe local de domaine mappé contient un utilisateur provenant d'un domaine différent de
la forêt, l'utilisateur de ce domaine différent ne sera pas en mesure de se connecter.
•
Les utilisateurs d'un groupe universel dont le domaine est différent du contrôleur de domaine spécifié
comme hôte LDAP ne pourront pas se connecter.
•
Vous ne pouvez pas utiliser le plug-in LDAP pour mapper les utilisateurs et les groupes de forêts
AD situés à l'extérieur de la forêt dans laquelle la plateforme de BI est installée.
Vous ne pouvez pas mapper le groupe Utilisateurs du domaine dans AD.
Vous ne pouvez pas mapper un groupe local de l'ordinateur.
Si vous utilisez le contrôleur de domaine de catalogue global, vous devez tenir compte des remarques
supplémentaires suivantes lors du mappage de LDAP à AD :
•
•
•
257
2011-05-06
Authentification
Situation
Remarques
Vous pouvez effectuer un mappage dans :
• les groupes universels d'un domaine enfant,
Plusieurs domaines lors du pointage
vers le contrôleur de domaine de catalogue global
•
les groupes du même domaine contenant des groupes
universels d'un domaine enfant, et
•
les groupes universels inter-domaines.
Vous ne pouvez pas effectuer de mappage dans :
• les groupes globaux d'un domaine enfant,
• les groupes locaux d'un domaine enfant,
• les groupes du même domaine contenant un groupe
global du domaine enfant, et
• les groupes globaux inter-domaines.
Généralement, si le groupe est un groupe universel, il
prendra en charge les utilisateurs inter-domaines et ceux
des domaines enfants. Les autres groupes ne seront pas
mappés s'ils contiennent des utilisateurs inter-domaines
ou de domaines enfants. Dans le domaine vers lequel
vous pointez, vous pouvez mapper les groupes locaux,
globaux et universels du domaine.
Mappage dans les groupes universels
•
Pour effectuer un mappage dans les groupes universels,
vous devez pointer vers le contrôleur de domaine de catalogue global. Vous devez également utiliser le numéro
de port 3268 au lieu du port 389 par défaut.
Si vous utilisez plusieurs domaines mais que vous ne pointez pas vers le contrôleur de domaine de
catalogue global, vous ne pouvez effectuer de mappage dans aucun type de groupe inter-domaines
ou de domaines enfant. Vous pouvez effectuer un mappage dans tous les types de groupe du
domaine spécifique vers lequel vous pointez uniquement.
7.3.3.4 Dépannage des comptes LDAP
•
258
Si vous créez un nouveau compte d'utilisateur LDAP qui n'appartient pas à un compte de groupe
mappé à la plateforme de BI, mappez le groupe ou ajoutez le nouveau compte d'utilisateur LDAP
à un groupe déjà mappé au système.
2011-05-06
Authentification
•
Si vous créez un compte d'utilisateur LDAP qui appartient à un compte de groupe mappé à la
plateforme de BI, actualisez la liste des utilisateurs.
Rubriques associées
• Configuration de l'authentification LDAP
• Mappage des groupes LDAP
7.4 Authentification Windows AD
7.4.1 Présentation
7.4.1.1 Utilisation de l'authentification Windows AD
Cette section fournit une description générale du mode de fonctionnement de l'authentification Windows
Active Directory (AD) avec la plateforme de BI. Elle présente ensuite les workflows d'administration
requis pour activer et gérer les comptes AD sur la plateforme de BI. La fin de la section présente des
conseils de base pour le dépannage.
Exigences de prise en charge
Pour faciliter l'authentification AD sur la plateforme de BI, vous devez tenir compte des exigences de
prise en charge suivantes.
•
•
Le CMS doit toujours être installé sur une plateforme Windows prise en charge.
Bien que les plateformes Windows 2003 et 2008 soient prises en charge aussi bien pour
l'authentification Kerberos que pour l'authentification NTLM, il est possible que certaines applications
de la plateforme de BI n'utilisent qu'une méthode d'authentification spécifique. Par exemple, des
applications telles que la zone de lancement BI et la Central Management Console ne prennent en
charge que Kerberos.
Procédure de base d'authentification AD
Pour utiliser l'authentification AD avec la plateforme de BI, vous devez appliquer la procédure de base
suivante :
1. Configurer les ressources de contrôleur de domaine requises.
259
2011-05-06
Authentification
2. Préparer l'hôte de la plateforme de BI pour l'authentification Windows AD.
3. Activer le plug-in de sécurité AD et mapper les groupes AD.
4. Choisissez une méthode d'authentification :
• Windows AD avec Kerberos
• Windows AD avec NTLM
5. Configurez la connexion unique aux applications de la plateforme de BI. Cette étape facultative peut
être facilitée grâce aux méthodes suivantes :
• Windows AD avec Vintela (Kerberos)
• Windows AD avec SiteMinder (Kerberos)
7.4.1.1.1 Plug-in de sécurité Windows AD
Le plug-in de sécurité Windows AD permet de mapper des comptes et des groupes d'utilisateurs de la
base de données utilisateur Microsoft Active Directory (AD) 2003 et 2008 dans la plateforme de BI. Il
permet également au système de vérifier toutes les requêtes de connexion qui spécifient l'authentification
AD. Les utilisateurs sont authentifiés par rapport à la base de données utilisateur AD et leur appartenance
à un groupe AD mappé est vérifiée avant que le CMS (Central Management Server) ne leur accorde
une session de plateforme de BI active
Le plug-in de sécurité de Windows AD vous permet de procéder à la configuration suivante :
•
Authentification Windows AD avec NTLM
•
Authentification Windows AD avec Kerberos
•
Authentification Windows AD avec SiteMinder pour une connexion unique
Le plug-in de sécurité Windows AD est compatible avec les domaines Microsoft Active Directory 2003
et 2008 exécutés en mode natif ou mixte.
Une fois que vous avez mappé vos utilisateurs et groupes AD, il peuvent accéder à tous les outils client
de la plateforme de BI utilisant l'authentification AD.
•
L'authentification Windows AD fonctionne uniquement si le CMS s'exécute sous Windows. Pour
que la connexion unique à la base de données fonctionne, les serveurs de reporting doivent
également s'exécuter sous Windows. Tous les autres serveurs et services peuvent s'exécuter sur
toutes les plateformes prises en charge.
•
Le plug-in Windows AD pour la plateforme de BI prend en charge les domaines dans plusieurs
forêts.
7.4.1.1.2 Utilisation des utilisateurs et groupes Windows AD
La plateforme de BI prend en charge l'authentification AD (Active Directory) avec le plug-in de sécurité
Windows inclus par défaut lors de l'installation du produit sur une plateforme Windows. La prise en
charge de l'authentification Windows AD signifie que les comptes des utilisateurs et des groupes de
Microsoft Active Directory (2003 et 2008) peuvent être utilisés pour l'authentification sur la plateforme
de BI. L'administrateur système peut ainsi mapper les comptes AD existants au lieu de configurer
chaque utilisateur et chaque groupe sur la plateforme de BI.
260
2011-05-06
Authentification
Planification des mises à jour des groupes Windows AD
La plateforme de BI permet aux administrateurs de planifier les mises à jour des groupes et alias
utilisateur AD. Cette fonction est disponible pour l'authentification AD avec Kerberos ou NTLM. La CMC
vous permet également de visualiser la date et l'heure d'exécution de la dernière mise à jour.
Remarque :
Pour que l'authentification AD fonctionne sur la plateforme de BI, vous devez configurer la méthode de
mise à jour des groupes et alias AD.
Lorsque vous planifiez une mise à jour, vous pouvez choisir une des périodicités récapitulées dans le
tableau suivant :
261
Périodicité
Description
Toutes les heures
La mise à jour s'exécutera toutes les heures. Vous pouvez spécifier l'heure à laquelle l'exécution démarrera, de même que sa
date de début et sa date de fin.
Tous les jours
La mise à jour s'exécutera tous les jours ou tous les N jours. Vous
pouvez préciser l'heure à laquelle l'exécution aura lieu, de même
que sa date de début et sa date de fin.
Toutes les semaines
La mise à jour s'exécutera toutes les semaines. Elle peut être
exécutée une ou plusieurs fois par semaine. Vous pouvez préciser
les jours et l'heure auxquels l'exécution doit avoir lieu, ainsi qu'une
date de début et une date de fin.
Tous les mois
La mise à jour s'exécutera tous les mois ou tous les N mois. Vous
pouvez préciser l'heure à laquelle l'exécution aura lieu, de même
que sa date de début et sa date de fin.
Nième jour du mois
La mise à jour sera exécutée un jour spécifique du mois. Vous
pouvez préciser le jour du mois et l'heure auxquels l'exécution
aura lieu, ainsi que sa date de début et sa date de fin.
1er lundi du mois
La mise à jour sera exécutée le premier lundi de chaque mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu, de
même que sa date de début et sa date de fin.
Dernier jour du mois
La mise à jour sera exécutée le dernier jour de chaque mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu, de
même que sa date de début et sa date de fin.
Jour X de la Nième semaine du
mois
La mise à jour sera exécutée le jour indiqué de la semaine indiquée du mois. Vous pouvez préciser l'heure à laquelle l'exécution
aura lieu, de même que sa date de début et sa date de fin.
Calendrier
La mise à jour sera exécutée aux dates spécifiées dans un calendrier précédemment créé.
2011-05-06
Authentification
Planification des mises à jour de groupe AD
La plateforme de BI s'appuie sur AD (Active Directory) pour les informations utilisateur et les informations
de groupe. Pour limiter le volume des requêtes envoyées à AD, le plug-in AD met en cache les
informations sur les groupes, leurs relations, et l'appartenance des utilisateurs aux groupes. La mise
à jour ne s'effectue pas si aucune planification spécifique n'est définie.
Vous devez utiliser la CMC pour configurer la récurrence de l'actualisation de la mise à jour de groupe.
La planification doit refléter la fréquence à laquelle vous voulez modifier les informations d'appartenance
aux groupes.
Planification des mises à jour des alias d'utilisateur AD
Les objets utilisateur peuvent avoir un alias dans un compte AD (Active Directory) Windows, ce qui
permet aux utilisateurs d'utiliser leur références de connexion AD pour se connecter à la plateforme
de BI. Les mises à jour des comptes AD sont propagées sur la plateforme de BI par le plug-in AD. Les
comptes créés, supprimés ou désactivés dans AD le sont aussi sur la plateforme de BI.
Si vous ne planifiez pas les mises à jour des alias AD, elles se produiront uniquement dans les cas
suivants :
• Un utilisateur se connecte : l'alias AD est mis à jour.
• Un administrateur sélectionne l'option Mettre à jour AD et les alias maintenant dans la zone "Mise
à jour d'AD à la demande" de la CMC.
Remarque :
Aucun mot de passe AD n'est stocké dans l'alias utilisateur.
7.4.1.1.3 Connexion unique avec Windows AD
Le plug-in de sécurité Windows AD prend en charge la connexion unique, afin de permettre aux
utilisateurs AD authentifiés de se connecter à la plateforme de BI sans avoir à saisir explicitement leurs
références de connexion. Les conditions requises pour la connexion unique dépendent du mode d'accès
des utilisateurs à la plateforme : via un client lourd ou via le Web. Dans les deux scénarios, le plug-in
de sécurité obtient le contexte de sécurité de l'utilisateur auprès du fournisseur d'authentification et
accorde à l'utilisateur une session active de la plateforme de BI s'il est membre d'un groupe AD mappé.
La connexion unique à l'application Web de zone de lancement BI constitue le scénario d'utilisation le
plus courant.
Connexion unique à une base de données
Le plug-in Windows AD prend en charge la connexion unique à la base de données. S'ils sont
correctement identifiés, les utilisateurs AD n'ont pas à fournir leurs références de connexion au compte
lors de l'accès aux rapports à partir de l'application de la zone de lancement BI.
Rubriques associées
• Utilisation de Windows AD avec SiteMinder
• Configuration de l'authentification Windows AD (Kerberos) avec la connexion unique Vintela
262
2011-05-06
Authentification
7.4.2 Préparation à l'authentification AD (Kerberos)
7.4.2.1 Utilisation de l'authentification Windows AD avec Kerberos
Cette section décrit les tâches prérequises pour configurer l'authentification Kerberos pour la plateforme
de BI. Une fois que toutes les tâches prérequises ont été implémentées, vous pouvez passer à la
configuration des options d'authentification Windows AD pour Kerberos dans le plug-in de sécurité de
Windows AD.
Workflow recommandé
Pour configurer correctement l'authentification Windows AD, les tâches prérequises suivantes doivent
être implémentées :
•
•
•
Définition d'un compte de service pour l'exécution de la plateforme de BI
Préparation des serveurs de la plateforme de BI à l'authentification Windows AD avec Kerberos
Configuration de votre serveur d'applications Web pour l'authentification Windows AD avec Kerberos
7.4.2.1.1 Configuration d'un compte de service pour l'authentification AD avec Kerberos
Pour configurer la plateforme de BI pour l'authentification Kerberos et Windows AD, vous avez besoin
d'un compte de service. Vous pouvez utiliser un compte de domaine existant ou en créer un nouveau.
Le compte de service sera utilisé pour exécuter les serveurs de la plateforme de BI.
Remarque :
Après avoir configuré le compte de service, vous devrez accorder les droits d'accès aux comptes
appropriés.
Si vous utilisez un domaine Windows 2003 ou 2008, vous pouvez également configurer une restriction
de délégation.
Pour configurer le compte de service sur un domaine Windows 2003 ou 2008
Vous devez configurer un nouveau compte de service sur le contrôleur de domaine pour activer
correctement l'authentification Windows AD avec Kerberos. Ce compte de service sera utilisé
spécifiquement pour permettre aux utilisateurs d'un groupe Windows AD précis de se connecter à la
zone de lancement BI. Cette tâche est effectuée sur l'ordinateur du contrôleur du domaine AD.
1. Créez un compte avec un mot de passe sur le contrôleur de domaine ou utilisez un compte existant.
Pour obtenir des instructions détaillées, voir http://msdn.microsoft.com/
2. Exécutez la commande keytabktpass pour créer et placer un fichier keytab Kerberos.
263
2011-05-06
Authentification
Vous devrez spécifier les paramètres ktpass répertoriés dans le tableau suivant :
Para
mètre
Description
-out
Indique le nom du fichier keytab Kerberos à générer.
-mapu
ser
Indique le nom du compte utilisateur auquel le SPN est mappé. Il s'agit du compte
sous lequel le Server Intelligence Agent s'exécute.
-pass
Indique le mot de passe utilisé par le compte de service.
-kvno
Indique le numéro de version de la clé utilisée pour créer la clé.
Indique le type principal. Doit être spécifié comme suit :
-ptype
-crypto
-ptype KRB5_NT_PRINCIPAL
Spécifie quel type de cryptage utiliser avec le compte de service. Utilisez les indications suivantes :
-crypto RC4-HMAC-NT
Par exemple :
ktpass -out -mapuser sbo.serviceDOMAIN.COM -pass password
-kvno 255 -ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT
Le résultat de la commande ktpass doit confirmer le contrôleur de domaine cible et la création
d'un fichier keytab Kerberos contenant le secret partagé. La commande mappe également le nom
principal du compte de service (local).
3. Exécutez la commande setspn -l pour vérifier que la commande ktpass a été correctement
exécutée.
Le résultat affiché répertorie tous les noms principaux de service enregistrés sur le compte de service
local.
4. Cliquez avec le bouton droit de la souris sur le compte créé au cours de l'étape 1, sélectionnez
Propriétés > Délégation.
5. Cliquez sur Approuver cet utilisateur pour la délégation à tous les services (Kerberos
uniquement).
6. Cliquez sur OK pour enregistrer vos paramètres.
Une fois créé, des droits doivent être affectés au compte de service, et celui-ci doit être ajouté au groupe
Administrateurs local des serveurs.
Accord de droits pour le compte de service
Pour que Windows AD et Kerberos soient pris en charge, vous devez attribuer au compte de service
le droit d'agir en tant que partie du système d'exploitation. Vous devez le faire sur chaque ordinateur
exécutant un SIA (Server Intelligence Agent) avec le CMS (Central Management Server).
264
2011-05-06
Authentification
Si vous avez besoin d'une connexion unique à la base de données, le SIA doit inclure les serveurs
suivants :
•
Crystal Reports Processing Server
•
Report Application Server
•
Web Intelligence Processing Server
Remarque :
Pour que la connexion unique à la base de données fonctionne, le compte de service doit être approuvé
pour la délégation.
Pour accorder des droits de compte de service
1. Cliquez sur Démarrer > Panneau de configuration > Outils d'administration > Stratégie de
sécurité locale.
2. Développez Stratégies locales, puis cliquez sur Attribution des droits utilisateur.
3. Cliquez deux fois sur Agir en tant que partie du système d'exploitation.
4. Cliquez sur Ajouter.
5. Saisissez le nom du compte de service créé, puis cliquez sur OK.
6. Vérifiez que la case à cocher Paramètre de stratégie locale est activée, puis cliquez sur OK.
7. Répétez les étapes ci-dessus pour chaque ordinateur sur lequel est installé un serveur de la
plateforme de BI.
Remarque :
Il est important que l'option Droits effectifs soit activée après la sélection de l'option Agir en tant
que partie du système d'exploitation. En règle générale, vous devez redémarrer le serveur pour
ce faire. Si, une fois le serveur redémarré, cette option n'est toujours pas activée, vos paramètres
de stratégie locale sont écrasés par vos paramètres de stratégie de domaine.
Ajout d'un compte de service au groupe Administrateurs local des serveurs
Pour que Kerberos soit pris en charge, le compte de service doit faire partie du groupe Administrateurs
local de chaque serveur doté d'un SIA sur lequel un des services suivants est déployé :
•
CMS
•
Serveur de traitement Crystal Reports (requis uniquement pour SSO2DB)
•
Report Application Server (requis uniquement pour SSO2DB)
•
Serveur de traitement Web Intelligence (requis uniquement pour SSO2DB)
Remarque :
Si vous utilisez SSO2DB, vous avez besoin d'un compte de service approuvé pour la délégation. Vous
devez également disposer de droits Administrateur sur le serveur.
265
2011-05-06
Authentification
Pour ajouter un compte au groupe Administrateurs
1. Sur l'ordinateur de votre choix, cliquez avec le bouton droit de la souris sur Poste de travail, puis
sélectionnez Gérer.
2. Accédez à Outils système > Utilisateurs et groupes locaux > Groupes.
3. Cliquez avec le bouton droit de la souris sur Administrateurs, puis sélectionnez Ajouter au groupe.
4. Cliquez sur Ajouter, puis saisissez le nom de connexion du compte de service.
5. Cliquez sur Vérifier les noms pour vous assurer que le compte fonctionne.
6. Cliquez sur OK, puis de nouveau sur OK.
7. Répétez ces étapes pour chaque serveur de la plateforme de BI devant être configuré.
7.4.2.1.2 Préparation des serveurs à l'authentification Windows AD avec Kerberos
Une fois le compte de service créé et configuré pour l'authentification Windows AD avec Kerberos,
vous pouvez exécuter chaque SIA au sein de votre déploiement de la plateforme de BI sous ce compte.
Pour configurer le SIA sous le compte de service
Vous devez effectuer les opérations suivantes pour tout SIA (Server Intelligence Agent) exécutant les
services utilisés par le compte de service créé pour l'authentification Windows AD avec Kerberos.
1. Accédez àProgrammes > SAP BusinessObjects Enterprise XI 4.0 > SAPBusinessObjects
Enterprise > Central Configuration Manager .
2. Dans le CCM, cliquez avec le bouton droit de la souris sur le Server Intelligence Agent (SIA) et
sélectionnez Arrêter.
Remarque :
Lorsque vous arrêtez le SIA, tous les services gérés par celui-ci sont arrêtés.
3. Cliquez avec le bouton droit sur le SIA et sélectionnez Propriétés.
4. Désactivez la case à cocher Compte de système.
5. Saisissez les références de connexion (NOMDOMAINE\nom du service) et cliquez sur OK.
6. Redémarrez le SIA.
7. Si nécessaire, répétez les étapes 1 à 5 pour chaque SIA exécutant un service à configurer.
7.4.2.1.3 Préparation du serveur d'applications à l'authentification Windows AD (Kerberos)
Cette section présente les tâches de configuration de Kerberos pour une utilisation avec les serveurs
d'applications suivants :
•
•
•
•
•
Tomcat
WebSphere
WebLogic
Oracle Application Server
SAP NetWeaver 7.10
Cette section contient les informations suivantes :
266
2011-05-06
Authentification
•
•
•
Le workflow spécifique à un serveur d'applications Web particulier. Ce workflow est nécessaire,
étant donné que la mise en œuvre de JAAS (Java Authentication and Authorization Service) est
différente d'un serveur à l'autre.
Les détails de la procédure pour chaque étape du workflow.
Exemples de fichier Krb5.ini pour les serveurs d'applications Java.
Présentation générale
La procédure spécifique de configuration de Kerberos pour un serveur d'applications Web diffère
légèrement en fonction du type de serveur d'applications spécifique utilisé. Toutefois, la procédure
générale de configuration de Kerberos comprend les étapes suivantes :
•
•
Création du fichier de configuration Kerberos.
Création du fichier de configuration de la connexion à JAAS.
Remarque :
Cette étape n'est pas requise pour le serveur d'applications Java de SAP NetWeaver 7.10. Cependant,
vous devrez ajouter LoginModule à votre serveur SAP NetWeaver.
•
•
Modification des options Java.
Redémarrage du serveur d'applications Java.
Création d'un fichier de configuration Kerberos pour SAP NetWeaver, Tomcat, WebLogic, SAP
NetWeaver ou Oracle
Procédez comme suit pour créer le fichier de configuration Kerberos si vous utilisez SAP Netweaver 7.10,
Tomcat 6, Oracle Application Server ou WebLogic.
1. Créez le fichier krb5.ini (s'il n'existe pas déjà) et stockez-le sous C:\WINNT pour Windows.
Remarque :
•
Si le serveur d'applications est installé sous UNIX, utilisez les répertoires suivants :
Solaris : /etc/krb5/krb5.conf
Linux : /etc/krb5.conf
•
Vous pouvez stocker ce fichier à un autre emplacement, mais vous devrez le spécifier dans vos
options Java. Pour en savoir plus sur krb5.ini, consultez la page http://docs.sun.com/app/do
cs/doc/816-0219/6m6njqb94?a=view.
2. Ajoutez les informations requises suivantes dans le fichier de configuration Kerberos :
[libdefaults]
default_realm = DOMAIN.COM
dns_lookup_kdc = true
dns_lookup_realm = true
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
[domain_realm]
.domain.com = DOMAIN.COM
domain.com = DOMAIN.COM
.domain2.com = DOMAIN2.COM
domain2.com = DOMAIN2.COM
[realms]
DOMAIN.COM = {
default_domain = DOMAIN.COM
kdc = HOSTNAME.DOMAIN.COM
267
2011-05-06
Authentification
}
DOMAIN2.COM = {
default_domain = DOMAIN2.COM
kdc = HOSTNAME.DOMAIN2.COM
}
[capaths]
DOMAIN2.COM = {
DOMAIN.COM =
}
Remarque :
DOMAINE.COM est le nom DNS du domaine. Vous devez le saisir en majuscules au format FQDN.
kdc est le nom d'hôte du contrôleur de domaine. Vous pouvez ajouter plusieurs entrées de domaine
à la section [realms] si les utilisateurs se connectent à partir de plusieurs domaines. [capath]
définit l'approbation entre les domaines faisant partie d'une autre forêt AD. Dans l'exemple ci-dessus,
DOMAINE2.COM est un domaine d'une forêt externe et bénéficie d'une approbation directe transitive
bidirectionnelle à DOMAINE.COM. Dans une configuration comportant plusieurs domaines, sous
[libdefaults], la valeur default_realm peut correspondre à tout domaine source. La meilleure
solution consiste à utiliser le domaine comportant le plus grand nombre d'utilisateurs qui seront
authentifiés à l'aide de leurs comptes AD. Si aucun suffixe UPN n'est fourni à la connexion, la valeur
par défaut default_realm est utilisée. Cette valeur doit être cohérente avec le paramètre de
domaine par défaut dans la CMC.
Rubriques associées
• Pour modifier les options Java pour Kerberos sur Tomcat
Création d'un fichier de configuration Kerberos pour WebSphere
1. Créez le fichier krb5.ini (s'il n'existe pas déjà) et stockez-le sous C:\WINNT pour Windows.
Remarque :
Vous pouvez stocker ce fichier à un autre emplacement, mais vous devrez le spécifier dans vos
options Java.
2. Ajoutez les informations requises suivantes dans le fichier de configuration Kerberos :
[libdefaults]
default_realm = DOMAIN.COM
dns_lookup_kdc = true
dns_lookup_realm = true
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
[domain_realm]
.domain.com = DOMAIN.COM
domain.com = DOMAIN.COM
.domain2.com = DOMAIN2.COM
domain2.com = DOMAIN2.COM
[realms]
DOMAIN.COM = {
default_domain = DOMAIN.COM
kdc = HOSTNAME.DOMAIN.COM
}
DOMAIN2.COM = {
default_domain = DOMAIN2.COM
kdc = HOSTNAME.DOMAIN2.COM
}
[capaths]
DOMAIN2.COM = {
DOMAIN.COM =
}
268
2011-05-06
Authentification
Remarque :
•
•
•
Si vous utilisez le cryptage DES, remplacez rc4-hmac par des-cbc-crc.
DOMAINE.COM est le nom DNS du domaine. Vous devez le saisir en majuscules au format FQDN.
nomhôte est le nom d'hôte du contrôleur de domaine.
3. Enregistrez le fichier et fermez-le.
Rubriques associées
• Pour modifier les options Java pour Kerberos sur WebSphere
Exemple de fichier Krb5.ini avec plusieurs domaines
Voici un exemple de fichier avec plusieurs domaines :
[domain_realm]
; trust relationship: childtest4<->sboptest3<->sboptest<->sboptest2
[libdefaults]
default_realm = SBOPTEST.COM
[realms]
SBOPTEST.COM = {
kdc = VANPGVMBOBJ01.sboptest.com
}
SBOPTEST2.COM = {
kdc = VANPGVMBOBJ05.sboptest2.com
}
SBOPTEST3.COM = {
kdc = VANPGVMBOBJ07.sboptest3.com
}
CHILDTEST4.SBOPTEST3.COM = {
kdc = vanpgvmbobj08.childtest4.sboptest3.com
}
[capaths]
; for clients in sboptest3 to login sboptest2
SBOPTEST3.COM = {
SBOPTEST2.COM = SBOPTEST.COM
}
; for clients in childtest4 to login sboptest2
CHILDTEST4.SBOPTEST3.COM = {
SBOPTEST2.COM = SBOPTEST.COM
SBOPTEST2.COM = SBOPTEST3.COM
}
Création d'un fichier de configuration de connexion JAAS Tomcat ou WebLogic
1. Créez un fichier nommé bscLogin.conf (s'il n'existe pas déjà) et stockez-le à l'emplacement par
défaut : C:\WINNT.
Remarque :
Vous pouvez stocker ce fichier à un emplacement différent. Toutefois, si vous le faites, vous devrez
spécifier son emplacement dans vos options Java.
2. Ajoutez le code suivant au fichier de configuration JAAS bscLogin.conf :
com.businessobjects.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required;
};
3. Enregistrez le fichier et fermez-le.
269
2011-05-06
Authentification
Création d'un fichier de configuration de connexion JAAS Oracle
1. Recherchez le fichier jazn-data.xml.
Remarque :
L'emplacement par défaut de ce fichier est C:\OraHome_1\j2ee \home\config. Si vous avez
installé un serveur d'applications Oracle à un autre emplacement, recherchez le fichier spécifique
à votre installation.
2. Ajoutez le contenu suivant au fichier entre les balises <jazn-loginconfig> :
<application>
<name>com.businessobjects.security.jgss.initiate</name>
<login-modules>
<login-module>
<class>com.sun.security.auth.module.Krb5LoginModule</class>
<control-flag>required</control-flag>
</login-module>
</login-modules>
</application>
3. Enregistrez et fermez le fichier jazn-data.xml.
Pour créer un fichier de configuration de connexion JAAS Websphere
1. Créez un fichier nommé bscLogin.conf si nécessaire, puis stockez-le dans l'emplacement par
défaut : C:\WINNT
2. Ajoutez le code suivant au fichier de configuration JAAS bscLogin.conf :
com.businessobjects.security.jgss.initiate {
com.ibm.security.auth.module.Krb5LoginModule required;
};
3. Enregistrez le fichier et fermez-le.
Pour ajouter un LoginModule à SAP NetWeaver
Pour utiliser Kerberos et SAP NetWeaver 7.10, configurez le système comme si vous utilisiez le serveur
d'applications Web Tomcat. Vous ne devrez pas nécessairement créer de fichier bscLogin.conf.
Une fois cette opération effectuée, vous devez ajouter un LoginModule et mettre à jour certains
paramètres Java sur SAP NetWeaver 7.10.
Pour mapper com.sun.security.auth.module.Krb5LoginModule à
com.businessobjects.security.jgss.initiate, vous devez ajouter manuellement un LoginModule à
NetWeaver.
1. Ouvrez l'administrateur NetWeaver en entrant l'adresse suivante dans un navigateur Web :
http://<nom de l'ordinateur>:<port>/nwa.
2. Cliquez sur Gestion de configuration > Sécurité > Authentification > Modules de connexion
> Edition.
3. Ajoutez un nouveau module de connexion avec les informations suivantes :
270
2011-05-06
Authentification
Nom d'affichage
Krb5LoginModule
Nom de la classe
com.sun.security.auth.module.Krb5LoginModule
4. Cliquez sur Enregistrer.
NetWeaver crée le module.
5. Cliquez sur Composants > Edition.
6. Ajoutez une nouvelle police nommée com.businessobjects.security.jgss.initiate.
7. Dans Pile d'authentification, ajoutez le module de connexion créé à l'étape 3 et définissez-le sur
Requis.
8. Vérifiez qu'il n'existe aucune autre entrée dans les "Options du module de connexion sélectionné".
Si vous en trouvez, supprimez-les.
9. Cliquez sur Enregistrer.
10. Déconnectez-vous de l'administrateur NetWeaver.
Pour modifier les options Java pour Kerberos sur Tomcat
1. Dans le menu Démarrer, sélectionnez Programmes >Tomcat > Configuration Tomcat.
2. Cliquez sur l'onglet Java.
3. Ajoutez les options suivantes :
-Djava.security.auth.login.config=C:\XXXX\bscLogin.conf
-Djava.security.krb5.conf=C:\XXXX\krb5.ini
Remplacez XXXX par l'emplacement de stockage du fichier.
4. Fermez le fichier de configuration Tomcat.
5. Redémarrez Tomcat.
Pour modifier les options Java de SAP NetWeaver 7.10
1. Accédez à l'outil de configuration Java (qui se trouve par défaut sous C:\usr\sap\<ID
NetWeaver>\<instance>\j2ee\configtool\) et cliquez deux fois sur configtool.bat.
L'outil de configuration s'ouvre.
2. Cliquez sur Afficher > Mode expert.
3. Développez Données cluster > Modèle.
4. Sélectionnez l'instance qui correspond à votre serveur NetWeaver (par exemple Instance - <ID
système><nom de l'ordinateur>).
5. Cliquez sur Paramètres VM.
6. Sélectionnez SAP dans la liste Fournisseur et GLOBAL dans la liste Plateforme.
7. Cliquez sur Système.
8. Ajoutez les informations de paramètres personnalisés suivantes :
271
2011-05-06
Authentification
java.security.kbr5.conf
<chemin vers le fichier krb5.ini comprenant
le nom de fichier>
javax.security.auth.useSubjectCred- False
sOnly
9. Cliquez sur Enregistrer.
10. Cliquez sur Editeur de configuration.
11. Cliquez sur Configurations > Sécurité > Configurations > com.businessobjects.security.jg
ss.initiate > Sécurité > Authentification.
12. Cliquez sur Mode Edition.
13. Cliquez avec le bouton droit sur le nœud Authentification et sélectionnez Créer un sous-nœud.
14. Sélectionnez Saisie de valeurs dans la liste supérieure.
15. Saisissez les informations suivantes :
Nom
Créer_session_sécurité
Valeur
False
16. Cliquez sur Créer.
17. Fermez la fenêtre.
18. Cliquez sur Outil de configuration.
19. Cliquez sur Enregistrer.
Après la mise à jour de votre configuration, redémarrez le serveur NetWeaver.
Pour modifier les options Java pour Kerberos sur WebLogic
Si vous utilisez Kerberos avec WebLogic, vous devez modifier les options Java pour indiquer
l'emplacement du fichier de configuration Kerberos, ainsi que le module de connexion Kerberos.
1. Arrêtez le domaine de WebLogic qui exécute les applications de la plateforme de BI.
2. Ouvrez le script qui démarre le domaine de WebLogic exécutant les applications de votre plateforme
de BI (startWeblogic.cmd pour Windows, startWebLogic.sh pour UNIX).
3. Ajoutez les informations suivantes à la section Java_Options du fichier :
set JAVA_OPTIONS=-Djava.security.auth.login.config=C:/XXXX/bscLogin.conf -Djava.security.krb5.co
nf=C:/XXX/krb5.ini
Remplacez XXX par l'emplacement de stockage du fichier.
4. Redémarrez le domaine de WebLogic qui exécute les applications de la plateforme de BI.
Pour modifier les options Java pour Kerberos sur Oracle Application Server
Si vous utilisez Kerberos avec Oracle Application Server, vous devez modifier les options Java pour
indiquer l'emplacement du fichier de configuration Kerberos.
272
2011-05-06
Authentification
1.
2.
3.
4.
5.
Connectez-vous à la console d'administration d'Oracle Application Server.
Cliquez sur le nom de l'instance OC4J qui exécute les applications de la plateforme de BI.
Sélectionnez Server Properties (propriétés du serveur).
Accédez à la section Multiple VM Configuration (configuration VM multiple).
Dans la section Command Line Options (options de ligne de commande), ajoutez le texte suivant
à la fin du champ de texte Java Options (options Java) : -Djava.security.krb5.co
nf=C:/XXXX/krb5.ini en remplaçant XXXX par l'emplacement de stockage du fichier.
6. Redémarrez votre instance d'OC4J.
Pour modifier les options Java pour Kerberos sur WebSphere
1. Connectez-vous à la console d'administration de WebSphere.
Pour IBM WebSphere 5,1, saisissez http://nomserveur:9090/admin. Pour IBM WebSphere 6.0,
saisissez http://nomserveur:9060/admin/
2. Développez Serveur, cliquez sur Serveurs d'applications, puis sur le nom du serveur d'applications
que vous avez créé pour l'utiliser avec la plateforme de BI.
3. Accédez à la page JVM.
Si vous utilisez WebSphere 5.1, effectuez les étapes suivantes pour accéder à la page JVM.
a. Faites défiler la page du serveur vers le bas jusqu'à ce qu'apparaisse Définition de processus
dans la colonne Autres propriétés.
b. Cliquez sur Définition de processus.
c. Faites défiler l'écran vers le bas et cliquez sur Machine virtuelle Java.
Si vous utilisez WebSphere 6.0, effectuez les étapes suivantes pour accéder à la page JVM.
a. Dans la page du serveur, sélectionnez Gestion de processus et Java.
b. Sélectionnez Définition de processus.
c. Sélectionnez Machine virtuelle Java.
4. Cliquez sur Arguments JVM génériques, puis saisissez l'emplacement du fichier Krb5.ini et du
fichier bscLogin.conf.
-Djava.security.auth.login.config=C:\XXXX\bscLogin.conf
-Djava.security.krb5.conf=C:\XXXX\krb5.ini
Remplacez XXX par l'emplacement de stockage du fichier.
5. Cliquez sur Appliquer, puis sur Enregistrer.
6. Arrêtez puis redémarrez le serveur.
7.4.3 Connexion unique d'authentification AD
273
2011-05-06
Authentification
7.4.3.1 Options de la connexion unique d'authentification Windows AD
Deux méthodes sont prises en charge pour configurer une connexion unique d'authentification Windows
AD avec la plateforme de BI :
• Connexion unique Vintela - cette option ne peut être utilisée qu'avec Kerberos.
• Connexion unique avec SiteMinder - cette option ne peut être utilisée qu'avec Kerberos.
Remarque :
Le scénario de connexion unique le plus courant implique un accès à l'application de zone de lancement
BI, dont le déploiement n'est possible que sur un serveur d'applications Java. La connexion unique
pour la zone de lancement BI n'est disponible que via Kerberos.
7.4.3.2 Préparation à la connexion unique d'authentification Windows AD
7.4.3.2.1 Configuration de l'authentification Windows AD (Kerberos) avec la connexion unique
Vintela
La section suivante présente dans le détail les tâches requises pour configurer la plateforme de BI en
vue d'un fonctionnement avec l'authentification Windows AD et la connexion unique Vintela.
Remarque :
Les tâches de configuration prérequises pour l'authentification Windows AD ainsi que pour la tâche de
connexion unique Vintela spécifique doivent être achevées avant de configurer les options
d'authentification Windows AD dans la CMC.
Rubriques associées
• Configuration d'un compte de service pour l'authentification AD avec Kerberos
• Préparation des serveurs à l'authentification Windows AD avec Kerberos
• Préparation du serveur d'applications à l'authentification Windows AD (Kerberos)
7.4.3.2.2 Workflow de configuration de Kerberos et de la connexion unique pour la zone de
lancement BI Java
Pour configurer la plateforme de BI en vue d'un fonctionnement avec l'authentification Windows AD et
la connexion unique Vintela, vous devez exécuter les tâches suivantes :
1. Créez et configurez un compte de service qui sera utilisé pour la connexion unique Vintela.
2. Configurez votre déploiement de la plateforme de BI pour qu'il fonctionne sous le compte de service.
274
2011-05-06
Authentification
3. Configurez les propriétés générales de BOE et les propriétés spécifiques à la zone de lancement
BI pour la connexion unique Vintela.
4. Augmentez la limite de taille d'en-tête du serveur d'applications Java.
5. Configurez les navigateurs Internet pour la connexion unique Vintela
6. Configurez une restriction de délégation pour la connexion unique Vintela (facultatif).
Une fois toutes ces tâches effectuées, vous pouvez configurer les options d'authentification Windows
AD dans la CMC.
7.4.3.2.3 Pour configurer le compte de service pour la connexion unique Vintela
Vous devez configurer un nouveau compte de service sur le contrôleur du domaine pour activer
correctement la connexion unique Vintela pour l'authentification Windows AD. Ce compte de service
sera utilisé spécifiquement pour permettre aux utilisateurs d'un groupe Windows AD précis de se
connecter à la zone de lancement BI. Cette tâche est effectuée sur l'ordinateur du contrôleur du domaine
AD. Les étapes 1 à 5 ci-dessous sont requises pour utiliser Windows AD avec Kerberos, alors que les
étapes 6 et 7 sont spécifiques à la configuration de la connexion unique Vintela.
1. Créez un compte de service avec un mot de passe sur le contrôleur de domaine principal.
2. Exécutez la commande de configuration keytab de Kerberos ktpass pour créer et placer un fichier
keytab.
Vous devrez spécifier les paramètres ktpass répertoriés dans le tableau suivant :
Para
mètre
Description
-out
Indique le nom du fichier keytab Kerberos à générer.
Indique le nom principal utilisé pour le compte de service. Ce paramètre doit être
spécifié au format SPN.
-princ
Remarque :
Le nom de votre compte de service respecte la casse. Un SPN inclut toujours le nom
de l'ordinateur hôte sur lequel l'instance de service est exécutée.
Conseil :
Le SPN doit être unique dans la forêt dans laquelle il est enregistré. L'une des façons
de le vérifier consiste à utiliser l'outil d'assistance Windows Ldp.exe pour rechercher
le SPN.
-mapu
ser
Indique le nom du compte utilisateur auquel le -princ (ci-dessus) est mappé. Il s'agit
du compte sous lequel le Server Intelligence Agent s'exécute.
-pass
Indique le mot de passe utilisé par le compte de service.
-kvno
Indique le numéro de version de la clé utilisée pour créer la clé.
Indique le type principal. Doit être spécifié comme suit :
-ptype
275
-ptype KRB5_NT_PRINCIPAL
2011-05-06
Authentification
Para
mètre
-crypto
Description
Spécifie quel type de cryptage utiliser avec le compte de service. Utilisez les indications suivantes :
-crypto RC4-HMAC-NT
Par exemple :
ktpass -out keytab_filename.keytab -princ
MYSIAMYSERVER/sbo.service.DOMAIN.COM
-mapuser sbo.serviceDOMAIN.COM -pass password
-kvno 255 -ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT
Le résultat de la commande ktpass doit confirmer le contrôleur de domaine cible et la création
d'un fichier keytab Kerberos contenant le secret partagé. La commande mappe également le nom
principal du compte de service (local).
3. Exécutez la commande setspn -l pour vérifier que la commande ktpass a été correctement
exécutée.
Le résultat affiché répertorie tous les noms principaux de service enregistrés sur le compte de service
local.
4. Cliquez avec le bouton droit de la souris sur le compte créé au cours de l'étape 1, sélectionnez
Propriétés > Délégation.
5. Cliquez sur Approuver cet utilisateur pour la délégation à tous les services (Kerberos
uniquement).
6. Utilisez la commande setspn -a pour ajouter les noms de service HTTP principaux au compte
de service créé au cours de l'étape 1. Indiquez les noms de service principaux du serveur, du serveur
de domaine complet et l'adresse IP de la machine sur laquelle la zone de lancement BI est déployée.
Par exemple :
setspn -a HTTP/servername servicename
setspn -a HTTP/servernamedomain servicename
setspn -a HTTP/<ip address of server> servicename
Où nomserveur désigne le nom du serveur sur lequel la zone de lancement BI est déployée et
domainenomserveur représente le nom de domaine complet de celui-ci.
7. Exécutez setspn -l nomservice pour vérifier que les noms de service HTTP principaux ont
été ajoutés au compte de service.
Le résultat affiché de la commande doit inclure tous les noms de service enregistrés, comme l'illustre
l'exemple ci-dessous :
Registered ServicePrincipalNames for
CN=bo.service,OU=boe,OU=BIP,OU=PG,DC=DOMAIN,DC=com:
HTTP/<ip address of server>
HTTP/servername.DOMAIN.com
HTTP/servername
servername/servicenameDOMAIN.com
Sur le compte de service, tous les noms de service principaux requis ont été ajoutés, et le fichier keytab
requis a été créé.
276
2011-05-06
Authentification
Pour que la connexion unique Vintela fonctionne, vous devez configurer les serveurs de la plateforme
de BI, modifier les propriétés de la zone de lancement BI et copier le fichier keytab dans le répertoire
approprié.
7.4.3.2.4 Préparation des serveurs pour la connexion unique Vintela
Vous devez veiller à ce que l'ordinateur sur lequel sont déployés les serveurs de la plateforme de BI
soit ajouté au domaine principal et à ce que tous les suffixes de DNS requis aient été ajoutés.
Pour effectuer la tâche suivante, vous aurez besoin du fichier keytab créé pour l'authentification Windows
AD avec Kerberos.
1. Copiez le fichier keytab Kerberos dans un emplacement de l'ordinateur hébergeant les serveurs de
la plateforme de BI.
2. Ajoutez le compte de service Kerberos au groupe Administrateur sur l'ordinateur hôte.
Donnez au nom du compte le format suivant : NOMDOMAINE\nom du service.
3. Ajoutez le compte de service Kerberos aux droits système suivants dans la console MMC de stratégie
de sécurité locale :
Droit système
Impact
Agir en tant que partie du système d'exploitation
Permet à un processus d'emprunter l'identité
de n'importe quel utilisateur sans requête d'authentification.
Connexion en tant que traitement par lots
Permet à un utilisateur d'être connecté via un
utilitaire d'arrivée par lot.
Connexion en tant que service
Permet à un compte de service d'enregistrer un
processus en tant que service.
Remplacer un jeton au niveau du processus
Permet à un compte d'appeler l'API CreateProcessAsUser() et ainsi, d'autoriser un service à
en démarrer un autre.
Vous devez exécuter les serveurs de la plateforme de BI sous le compte de service.
4. Accédez àProgrammes > SAP BusinessObjects Enterprise XI 4.0 > SAPBusinessObjects
Enterprise > Central Configuration Manager .
5. Dans le CCM, cliquez avec le bouton droit de la souris sur le Server Intelligence Agent (SIA) et
sélectionnez Arrêter.
6. Cliquez avec le bouton droit sur le SIA et sélectionnez Propriétés.
7. Désactivez la case à cocher Compte de système.
8. Saisissez les références de connexion du compte Kerberos (NOMDOMAINE\nom service) à partir
de l'étape 2 et cliquez sur OK.
9. Redémarrez le SIA.
Pour terminer la configuration de la connexion unique Vintela, vous devez effectuer les tâches suivantes :
277
2011-05-06
Authentification
•
•
Préparez les propriétés du serveur d'applications Web et de la zone de lancement BI pour la
connexion unique Vintela.
Configurez le plug-in de sécurité de Windows AD pour autoriser l'authentification Windows AD et
la connexion unique Vintela.
7.4.3.2.5 Activation de la connexion unique Vintela pour la zone de lancement BI et
OpenDocument
Cette procédure peut être utilisée pour les applications Web de zone de lancement BI et OpenDocument.
Les paramètres de la connexion unique Vintela doivent être spécifiés pour le plug-in de sécurité Windows
AD, mais aussi pour les propriétés BOE.war.
1. Accédez au dossier personnalisé pour l'application Web BOE sur l'ordinateur hébergeant le serveur
d'applications Web.
Si vous utilisez le serveur d'applications Web Tomcat fourni avec l'installation de la plateforme de
BI, vous pouvez directement accéder au répertoire suivant :
C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\webapps\BOE\WEBINF\config\custom\
Conseil :
Si vous utilisez un serveur d'applications Web ne permettant pas l'accès direct aux applications
Web déployées, vous pouvez utiliser le dossier suivant dans l'installation de votre produit pour
modifier l'application Web BOE.
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles\we
bapps\BOE\WEB-INF\config\custom\.
Vous devrez redéployer ultérieurement l'application Web BOE modifiée.
2. Créez un fichier.
Remarque :
Utilisez Notepad ou tout autre éditeur de texte.
3. Saisissez les informations suivantes :
sso.enabled=true
siteminder.enabled=false
vintela.enabled=true
idm.realm=[YOUR_REALM]
idm.princ=[YOUR_PRINCIPAL]
idm.allowUnsecured=true
idm.allowNTLM=false
idm.logger.name=simple
idm.logger.props=error-log.properties
Remarque :
Les paramètres idm.realm et idm.princ requièrent des valeurs valides. idm.realm doit avoir la même
valeur que celle définie lors de la configuration de default_realm dans votre fichierkrb5.ini. Cette
valeur doit être en majuscules. Le paramètre idm.princ est le SPN utilisé pour le compte de service
créé pour la connexion unique Vintela.
278
2011-05-06
Authentification
4. Si vous avez choisi d'utiliser un fichier keytab, ajoutez le paramètre keytab et indiquez le chemin
d'accès au fichier selon l'exemple ci-dessous :
idm.keytab=C:/WIN/filename.keytab
Sautez l'étape suivante si vous ne souhaitez pas utiliser de restriction de délégation pour
l'authentification Windows AD et la connexion unique Vintela.
5. Pour utiliser l'ajout de restriction de délégation :
idm.allowS4U=true
6. Fermez le fichier et enregistrez-le sous le nom suivant :
global.properties
Remarque :
Vérifiez que le nom de fichier n'est pas enregistré sous une autre extension comme .txt.
7. Créez un autre fichier dans le même répertoire. Enregistrez le fichier sous OpenDocument.pro
perties ou BIlaunchpad.properties selon vos besoins.
8. Entrez l'instruction suivante :
authentication.default=secWinAD
cms.default=[enter your cms name]:[Enter the CMS port number]
Par exemple :
authentication.default=secWinAD
cms.default=mycms:6400
9. Enregistrez le fichier et fermez-le.
10. Redémarrez le serveur d'applications Web.
Les nouvelles propriétés ne prendront effet qu'après le redéploiement de l'application Web BOE sur
l'ordinateur exécutant le serveur d'applications Web. Utilisez Wdeploy pour redéployer BOE sur le
serveur d'applications Web. Pour en savoir plus sur l'utilisation de WDeploy pour annuler le déploiement
d'applications Web, voir le Guide de déploiement d'applications Web de la plateforme SAP
BusinessObjects de Business Intelligence.
Remarque :
Si votre déploiement utilise un pare-feu, pensez à ouvrir tous les ports requis, sans quoi les applications
Web ne parviendront pas à se connecter aux serveurs de la plateforme de BI.
Rubriques associées
• Exemple de fichier Krb5.ini avec plusieurs domaines
• Préparation du serveur d'applications à l'authentification Windows AD (Kerberos)
7.4.3.2.6 Pour augmenter la limite de taille d'en-tête pour Tomcat
Active Directory crée un jeton Kerberos utilisé lors de la procédure d'authentification. Ce jeton est stocké
dans l'en-tête HTTP. Votre serveur d'applications Java aura une taille d'en-tête HTTP par défaut. Pour
éviter les erreurs, vérifiez que sa taille par défaut minimale est de 16384 octets. (Certains déploiement
peuvent nécessiter une taille supérieure. Pour en savoir plus, voir les directives de dimensionnement
de Microsoft sur son site de support (http://support.microsoft.com/kb/327825).)
279
2011-05-06
Authentification
1. Sur le serveur sur lequel Tomcat est installé, ouvrez le fichier server.xml.
Sous Windows, il est situé dans <REPINSTALLTomcat>/conf
•
•
Si vous utilisez la version de Tomcat installée avec la plateforme de BI sous Windows et que
vous n'avez pas modifié
d'installation par défaut, remplacez <REPINSTALLTomcat> par :C:\Program Files
(x86)\SAP BusinessObjects\Tomcat6\
Si vous utilisez tout autre serveur d'applications Web pris en charge, consultez la documentation
de votre serveur d'applications Web pour déterminer le chemin approprié.
2. Recherchez la balise <Connector …> du numéro de port que vous avez configuré.
Si vous utilisez le port par défaut 8080, recherchez la balise <Connector …> comportant port=“8080”.
Par exemple :
<Connector URIEncoding="UTF-8" acceptCount="100"
connectionTimeout="20000" debug="0"
disableUploadTimeout="true" enableLookups="false"
maxSpareThreads="75" maxThreads="150"
minSpareThreads="25" port="8080" redirectPort="8443"
/>
3. Ajoutez la valeur suivante dans la balise <Connector …> :
maxHttpHeaderSize="16384"
Par exemple :
<Connector URIEncoding="UTF-8" acceptCount="100"
connectionTimeout="20000" debug="0"
disableUploadTimeout="true" enableLookups="false"
maxSpareThreads="75" maxThreads="150"
maxHttpHeaderSize="16384" minSpareThreads="25" port="8080" redirectPort="8443" />
4. Enregistrez et fermez le fichier server.xml.
5. Redémarrez Tomcat.
Remarque :
Pour les autres serveurs d'applications Java, consultez la documentation correspondante.
7.4.3.2.7 Configuration des navigateurs Internet
Pour prendre en charge la connexion unique Kerberos, vous devez configurer les clients de la plateforme
de BI. Cela implique de configurer le navigateur Internet Explorer (IE) sur les ordinateurs client.
Pour configurer Internet Explorer sur les ordinateurs client
1. Sur l'ordinateur client, ouvrez une fenêtre de navigateur Internet Explorer.
2. Activez l'authentification intégrée de Windows.
a. Dans le menu Outils, cliquez sur Options Internet.
b. Cliquez sur l'onglet Avancé.
c. Accédez à Sécurité, sélectionnez Activer l'authentification intégrée de Windows, puis cliquez
sur Appliquer.
280
2011-05-06
Authentification
3. Ajoutez le serveur d'applications Java ou l'URL des sites fiables. Vous pouvez saisir le nom de
domaine complet du site.
a. Dans le menu Outils, cliquez sur Options Internet.
b. Cliquez sur l'onglet Sécurité.
c. Cliquez sur Sites, puis sur Avancés.
d. Sélectionnez ou saisissez le site, puis cliquez sur Ajouter.
e. Cliquez sur OK jusqu'à ce que la boîte de dialogue Options Internet se ferme.
4. Fermez et rouvrez la fenêtre de navigateur Internet Explorer pour appliquer ces modifications.
5. Répétez toutes ces étapes pour chaque ordinateur client de la plateforme de BI.
Pour configurer Firefox sur les ordinateurs client
1. Modifiez network.negotiate-auth.delegation-uris
a. Sur l'ordinateur client, ouvrez une fenêtre de navigateur Firefox.
b. Saisissez about:config dans le champ de l'adresse URL. Une liste de propriétés configurables
s'affiche.
c. Cliquez deux fois sur network.negotiate-auth.delegation-uris pour modifier la propriété.
d. Saisissez l'URL que vous souhaitez utiliser pour accéder à la zone de lancement BI. Par exemple,
si l'URL de votre zone de lancement BI est http://ordinateur.domaine.com:8080/BOE/BI,
vous devrez saisir http://ordinateur.domaine.com.
Remarque :
Pour ajouter plusieurs URL, séparez-les par des virgules. Par exemple : http://ordinateur.do
maine.com,ordinateur2.domaine.com .
e. Cliquez sur OK.
2. Modifiez network.negotiate-auth.trusted-uris
a. Sur l'ordinateur client, ouvrez une fenêtre de navigateur Firefox.
b. Saisissez about:config dans le champ de l'adresse URL. Une liste de propriétés configurables
s'affiche.
c. Cliquez deux fois sur network.negotiate-auth.trusted-uris pour modifier la propriété.
d. Saisissez l'URL que vous souhaitez utiliser pour accéder à InfoView. Par exemple, si l'URL de
votre zone de lancement BI est http://ordinateur.domaine.com:8080/BOE/BI, vous devrez
saisir http://ordinateur.domaine.com.
Remarque :
Pour ajouter plusieurs URL, séparez-les par des virgules. Par exemple : http://ordinateur.do
maine.com,ordinateur2.domaine.com .
e. Cliquez sur OK.
3. Fermez et rouvrez la fenêtre de navigateur Firefox pour appliquer ces modifications.
4. Répétez toutes ces étapes pour chaque ordinateur client de la plateforme de BI.
281
2011-05-06
Authentification
7.4.3.2.8 Pour configurer une restriction de délégation pour la connexion unique Vintela
La restriction de délégation est facultative pour l'authentification Windows AD et la connexion unique
Vintela. Elle est requise pour les scénarios de déploiement impliquant une connexion unique à la base
de données système.
1. Sur l'autre ordinateur du contrôleur du domaine AD, ouvrez le jeu d'outils intégrables "Utilisateurs
et ordinateurs" d'Active Directory.
2. Cliquez avec le bouton droit de la souris sur le compte de service créé pour la connexion unique
Vintela, puis cliquez sur Propriétés > Délégation.
3. Sélectionnez N'approuver cet ordinateur que pour la délégation aux services spécifiés.
4. Sélectionnez Utiliser uniquement Kerberos.
5. Cliquez sur Ajouter > Utilisateurs ou ordinateurs.
6. Saisissez le nom du compte (utilisé pour la connexion unique Vintela), puis cliquez sur OK.
Une liste de services s'affiche.
7. Sélectionnez les services suivants, puis cliquez sur OK.
•
•
Le service HTTP
Le service utilisé pour exécuter le SIA (Service Intelligence Agent) sur l'ordinateur hébergeant
la plateforme de BI.
Les services sont ajoutés à la liste de services pouvant être délégués pour le compte (de connexion
unique Vintela).
Vous devez modifier les propriétés de l'application Web pour justifier cette modification. Ouvrez le fichier
global.properties de BOE sur votre serveur d'applications Web. Ajoutez les éléments suivants, puis
redémarrez le serveur d'applications Web.
idm.allowS4U=true
7.4.3.3 Utilisation de SiteMinder
7.4.3.3.1 Utilisation de Windows AD avec SiteMinder
Cette section explique comment utiliser AD et SiteMinder. SiteMinder est un outil tiers qui permet
l'authentification et l'accès des utilisateurs et qui peut être employé avec le plug-in de sécurité AD pour
créer une connexion unique à la plateforme de BI. Vous pouvez utiliser SiteMinder avec Kerberos.
Assurez-vous que les ressources de gestion de l'identité de SiteMinder sont installées et configurées
avant de configurer l'authentification Windows AD en vue d'un fonctionnement avec SiteMinder. Pour
en savoir plus sur SiteMinder et sur son installation, reportez-vous à sa documentation.
Pour activer la connexion unique AD avec SiteMinder, vous devez exécuter deux tâches :
•
282
Configurer le plug-in AD pour la connexion unique avec SiteMinder
2011-05-06
Authentification
•
Configurer les propriétés de SiteMinder pour l'application Web BOE
Remarque :
Vérifiez que l'administrateur SiteMinder a activé la prise en charge des agents 4.x. Cette activation doit
être effectuée quelle que soit la version SiteMinder prise en charge que vous utilisez. Pour en savoir
plus sur la configuration de SiteMinder, reportez-vous à la documentation relative à SiteMinder.
Modification du fichier de propriétés BOE pour l'authentification Windows AD avec SiteMinder
Les paramètres de SiteMinder doivent être spécifiés pour le plug-in de sécurité Windows AD, mais
aussi pour le fichier de propriétés war de BOE.
1. Accédez au répertoire suivant de votre installation de la plateforme de BI :
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles\we
bapps\BOE\WEB-INF\config\custom\
2. Créez un fichier.
Remarque :
Utilisez Notepad ou tout autre éditeur de texte.
3. Fermez le fichier et enregistrez-le sous le nom suivant :
BIlaunchpad.properties
4. Entrez l'instruction suivante :
sso.enabled=true
siteminder.authentication=secWinAD
siteminder.enabled=true
5. Fermez le fichier et enregistrez-le sous le nom suivant :
global.properties
Remarque :
Vérifiez que le nom de fichier n'est pas enregistré sous une autre extension telle que.txt.
6. Créez un autre fichier dans le même répertoire.
7. Entrez l'instruction suivante :
authentication.default=secWinAD
cms.default=[enter your cms name]:[Enter the CMS port number]
Par exemple :
authentication.default=LDAP
cms.default=mycms:6400
8. Fermez le fichier et enregistrez-le sous le nom suivant :
BIlaunchpad.properties
Les nouvelles propriétés ne prendront effet qu'après redéploiement de BOE.war sur l'ordinateur
exécutant le serveur d'applications Web. Utilisez WDeploy pour redéployer le fichier WAR sur le serveur
d'applications Web. Pour en savoir plus sur l'utilisation de WDeploy pour annuler le déploiement
283
2011-05-06
Authentification
d'applications Web, voir le Guide de déploiement d'applications Web de la plateforme SAP
BusinessObjects de Business Intelligence.
Pour désactiver SiteMinder
Si vous souhaitez empêcher la configuration de SiteMinder ou le désactiver après sa configuration
dans la CMC, modifiez le fichier de configuration Web pour la zone de lancement BI.
Désactivation de SiteMinder pour les clients Java
Les paramètres de SiteMinder doivent être désactivés pour le plug-in de sécurité Windows AD, mais
aussi pour le fichier war BOE sur le serveur d'applications Web.
1. Accédez au répertoire suivant de votre installation de la plateforme de BI :
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles\we
bapps\BOE\WEB-INF\config\custom\
2. Ouvrez le fichier global.properties.
3. Passez siteminder.enabled à false
siteminder.enabled=false
4. Enregistrez les modifications et fermez le fichier.
La modification ne prend effet qu'après redéploiement de BOE.war sur l'ordinateur exécutant le serveur
d'applications Web. Utilisez WDeploy pour redéployer le fichier WAR sur le serveur d'applications Web.
Pour en savoir plus sur l'utilisation de WDeploy pour annuler le déploiement d'applications Web, voir
le Guide de déploiement d'applications Web de la plateforme SAP BusinessObjects de Business
Intelligence.
7.4.4 Mappage des groupes AD et configuration de l'authentification AD
7.4.4.1 Pour mapper les utilisateurs et groupes AD et configurer le plug-in de
sécurité Windows AD
Pour configurer l'authentification Windows AD en vue d'un fonctionnement avec un type d'authentification
particulier, vous devez d'abord procéder à toutes les tâches de préparation requises. Pour en savoir
plus, voir la section "Rubriques associées" ci-dessous.
Quel que soit le protocole utilisé, vous devez exécuter les étapes suivantes pour permettre aux
utilisateurs AD de s'authentifier. Suivez les étapes 1 à 8 de la procédure indiquée ci-dessous pour
importer des groupes AD sur la plateforme de BI.
284
2011-05-06
Authentification
1. Accédez à la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur Windows AD.
3. Vérifiez que la case Activer Windows Active Directory (AD) est sélectionnée.
4. Dans la zone Configuration Windows AD - Synthèse, cliquez sur le lien en regard de Nom
d'administration AD.
Remarque :
Avant la configuration du plug-in de sécurité Windows AD, ce lien apparaît sous la forme de guillemets
doubles. Une fois la configuration enregistrée, le lien indique les noms d'administration AD.
5. Saisissez le nom et le mot de passe d'un compte d'utilisateur du domaine activé. La plateforme de
BI va utiliser ce compte pour demander des informations à AD.
Les références de connexion AD peuvent utiliser l'un des formats suivants :
•
Nom NT (NomDomaine\NomUtilisateur)
•
UPN (utilisateur@nom_domaine_DNS)
La plateforme de BI ne modifie, n'ajoute ni ne supprime jamais de contenu d'AD. Elle lit uniquement
les informations, par conséquent, seuls les droits appropriés sont requis.
Remarque :
L'authentification AD ne continue pas si le compte AD utilisé pour lire l'annuaire AD devient non
valide (par exemple, si le mot de passe du compte est modifié ou expire, ou si le compte est
désactivé).
6. Renseignez le champ Domaine AD par défaut.
Remarque :
•
•
Vous pouvez mapper les groupes du domaine par défaut sans spécifier le préfixe du nom de
domaine.
Si vous saisissez le nom de domaine AD par défaut, les utilisateurs du domaine par défaut n'ont
pas à le spécifier lorsqu'ils se connectent à la plateforme de BI via l'authentification AD.
7. Dans la zone "Groupes de membres AD mappés", saisissez le domaine\groupe AD dans le champ
Ajouter un groupe AD (domaine\groupe).
Vous pouvez mapper les groupes à l'aide d'un des formats suivants :
•
nom de compte du gestionnaire de comptes de sécurité (SAM, Security Account Manager),
également appelé nom NT (NomDomaine\NomGroupe)
•
DN (cn=NomGroupe, ......, dc=NomDomaine, dc=com)
Remarque :
Si vous souhaitez mapper un groupe local, vous ne pouvez utiliser que le format de nom NT
(\\NomServeur\NomGroupe). AD ne prend pas en charge les utilisateurs locaux. Les utilisateurs
locaux appartenant à un groupe local mappé ne sont donc pas mappés à la plateforme de BI. Par
conséquent, ils ne peuvent pas accéder au système.
8. Cliquez sur Ajouter.
Le groupe est ajouté à la liste.
285
2011-05-06
Authentification
Vous pouvez sauter les étapes 9 à 18 si vous souhaitez importer des comptes de groupe AD sans
configurer les options d'authentification AD ou les mises à jour de groupe AD.
9. Pour configurer une connexion unique, sélectionnez Activer la connexion unique pour le mode
d'authentification sélectionné.
Remarque :
Si vous sélectionnez cette option, vous devez configurer les propriétés générales de BOE et les
propriétés de la zone de lancement BI pour activer la connexion unique.
10. Sélectionnez l'option dans la zone "Synchronisation des références de connexion" pour activer et
mettre à jour les références de connexion à la source de données de l'utilisateur AD au moment de
la connexion. Cela permettra de synchroniser la source de données avec les références de connexion
actuelles de l'utilisateur.
11. Utilisez la zone Options de SiteMinder de la page pour configurer SiteMinder comme option de
connexion unique pour l'authentification AD avec Kerberos.
Remarque :
Vous pouvez configurer soit Vintela, soit SiteMinder comme option de connexion unique, mais pas
les deux à la fois. Effacez toute saisie présente dans le champ Nom principal du service (étape 9b)
si vous souhaitez configurer les options SiteMinder.
a. Cliquez sur Désactivé.
La page de configuration Windows AD SiteMinder apparaît.
Remarque :
Si vous n'avez pas configuré le plug-in Windows AD, vous recevez un avertissement et devez
indiquer si vous souhaitez continuer ou non. Cliquez sur OK.
b. Cliquez sur Utiliser la connexion unique SiteMinder.
c. Dans la zone "Hôte serveur de règles", saisissez le nom de chaque serveur de règles, puis
cliquez surAjouter.
d. Pour chaque hôte serveur de règles, indiquez le numéro des ports de comptabilisation,
d'Authentification et d'autorisation.
e. Saisissez le Nom de l'agent et le Secret partagé. Saisissez de nouveau le Secret partagé.
Remarque :
Vérifiez que l'administrateur SiteMinder a activé la prise en charge des agents 4.x. Cette activation
doit être effectuée quelle que soit la version SiteMinder prise en charge que vous utilisez. Pour
en savoir plus sur SiteMinder et sur son installation, reportez-vous à sa documentation.
f. Cliquez sur Mettre à jour pour enregistrer vos informations et revenir à la page principale
d'authentification AD.
12. Dans la zone "Options d'alias AD", indiquez comment les nouveaux alias sont ajoutés et mis à jour
dans la plateforme de BI.
a. Dans "Options de nouvel alias", sélectionnez le mode de mappage des nouveaux alias aux
comptes Enterprise. Sélectionnez l'une des options suivantes :
• Affecter chaque nouvel alias AD à un compte utilisateur existant portant le même nom
Utilisez cette option lorsque vous savez que certains utilisateurs possèdent un compte
Enterprise portant le même nom ; cela signifie que les alias AD seront affectés aux utilisateurs
286
2011-05-06
Authentification
existants (la création d'alias automatique est activée). Les utilisateurs dépourvus de compte
Enterprise, ou ne portant pas le même nom dans leurs comptes Enterprise et AD, sont ajoutés
en tant que nouveaux utilisateurs.
•
Créer un nouveau compte utilisateur pour chaque nouvel alias AD
Utilisez cette option pour créer un compte pour chaque utilisateur.
b. Dans "Options de mise à jour des alias", sélectionnez le mode de gestion des mises à jour des
alias pour les comptes Enterprise. Sélectionnez l'une des options suivantes :
• Créer de nouveaux alias lors de la mise à jour des alias
Utilisez cette option pour créer automatiquement un nouvel alias pour chaque utilisateur AD
mappé à la plateforme de BI. De nouveaux comptes AD sont ajoutés pour les utilisateurs
dépourvus de comptes pour la plateforme de BI, ou pour tous les utilisateurs si vous avez
sélectionné l'option "Créer un nouveau compte utilisateur pour chaque nouvel alias AD" et
cliqué sur Mettre à jour.
•
Créer de nouveaux alias uniquement lorsque l'utilisateur se connecte
Utilisez cette option si l'annuaire AD que vous mappez contient plusieurs utilisateurs dont
seulement quelques-uns utiliseront la plateforme de BI. La plateforme ne crée pas
automatiquement d'alias et de comptes Enterprise pour tous les utilisateurs. Il crée plutôt des
alias (et des comptes, le cas échéant) uniquement pour les utilisateurs qui se connectent à
la plateforme de BI.
c. Dans "Options de nouvel utilisateur", indiquez le mode de création des utilisateurs en sélectionnant
l'une des options suivantes :
Si votre licence de plateforme SAP BusinessObjects de Business Intelligence est basée sur les
rôles utilisateur, sélectionnez l'une des options suivantes :
• Utilisateur visualiseur BI
Les nouveaux comptes utilisateur sont configurés sous le rôle Visualiseur BI. L'accès aux
applications de la plateforme de BI pour tous les comptes ayant le rôle Visualiseur BI est
défini dans le contrat de licence. L'accès utilisateur est limité aux workflows d'application
définis pour le rôle Visualiseur BI. Les droits d'accès sont généralement limités à l'affichage
des documents Business Intelligence. Ce rôle convient généralement aux utilisateurs qui
utilisent du contenu via les applications de la plateforme de BI.
•
Utilisateur analyste BI
Les nouveaux comptes utilisateur sont configurés sous le rôle Analyste BI. L'accès aux
applications de la plateforme de BI pour tous les comptes ayant le rôle Analyste BI est défini
dans le contrat de licence. Les utilisateurs peuvent accéder à tous les workflows d'application
définis pour le rôle Analyste BI. Les droits d'accès incluent l'affichage et la modification des
documents Business Intelligence. Ce rôle convient généralement aux utilisateurs qui créent
et modifient le contenu pour les applications de la plateforme de BI.
Si votre licence de plateforme SAP BusinessObjects de Business Intelligence n'est pas basée
sur les rôles utilisateur, sélectionnez l'une des options suivantes :
•
287
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs nommés
2011-05-06
Authentification
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences
Utilisateurs nommés. Les licences Utilisateur nommé sont associées à des utilisateurs
particuliers qui peuvent accéder au système en saisissant un nom d'utilisateur et un mot de
passe. Ainsi, les utilisateurs nommés peuvent accéder au système, quel que soit le nombre
de personnes connectées. Il faut qu'une licence Utilisateurs nommés soit disponible pour
chaque compte d'utilisateur créé à l'aide de cette option.
•
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs simultanés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences
Utilisateurs simultanés. Les licences d'accès simultanés spécifient le nombre d'utilisateurs
pouvant se connecter en même temps à la plateforme de BI. Cette licence est tout à fait
adaptée dans la mesure où elle peut accepter de nombreux utilisateurs. Par exemple, suivant
la fréquence et la durée des connexions des utilisateurs au système, une licence pour 100
utilisateurs simultanés peut prendre en charge 250, 500 ou 700 utilisateurs.
13. Pour configurer le mode de planification des mises à jour des alias AD, cliquez sur Planifier les
mises à jour des alias AD.
a. Dans la boîte de dialogue "Planifier", sélectionnez une récurrence dans la liste Exécuter l'objet.
b. Définissez tous les autres paramètres et options de planification requis.
c. Cliquez sur Planifier.
Lorsque la mise à jour des alias se produit, les informations sur le groupe sont également mises
à jour.
14. Dans la zone "Options de liaison d'attributs", vous pouvez spécifier la priorité de liaison des attributs
pour le plug-in AD :
a. Cliquez sur la case Importer le nom complet et l'adresse électronique.
Les noms complets et les descriptions des comptes AD sont importés et stockés avec les objets
utilisateur sur la plateforme de BI.
b. Spécifiez une option pour Rendre la liaison d'attributs AD prioritaire par rapport aux autres
liaisons d'attributs.
Remarque :
Si l'option est définie sur "1", les attributs AD sont prioritaires dans les scénarios où AD et les
autres plug-ins (LDAP et SAP) sont activés. Si l'option est définie sur "3", les attributs des autres
plug-ins activés seront prioritaires.
15. Vous pouvez configurer les mises à jour du groupe AD dans la zone "Options du groupe AD".
a. Cliquez sur Planifier les mises à jour du groupe AD.
La boîte de dialogue "Planifier" s'affiche.
b. Sélectionnez une récurrence dans la liste Exécuter l'objet.
c. Définissez tous les autres paramètres et options de planification requis.
d. Cliquez sur Planifier.
Le système va planifier la mise à jour et l'exécuter conformément aux informations de planification
que vous avez définies. Vous pouvez visualiser la prochaine mise à jour planifiée pour les comptes
de groupe AD sous "Options du groupe AD".
288
2011-05-06
Authentification
16. Utilisez les paramètres de la zone "Mise à jour d'AD à la demande" pour spécifier les éléments à
mettre à jour. Vous pouvez sélectionner l'une des options suivantes :
• Mettre à jour le groupe AD maintenant
Sélectionnez cette option si vous voulez mettre à jour les groupes AD. La mise à jour ne sera
effectuée qu'une fois que vous aurez cliqué sur Mettre à jour.
Remarque :
Cette option affecte toutes les mises à jour planifiées du groupe AD. La prochaine mise à jour
planifiée du groupe AD est répertoriée sous "Options du diagramme de groupe AD".
•
Mettre à jour les alias et les groupes AD maintenant
Sélectionnez cette option si vous voulez mettre à jour le groupe AS et les alias utilisateur. Les
mises à jour ne seront effectuées qu'une fois que vous aurez cliqué sur Mettre à jour.
Remarque :
Cette option affecte toutes les mises à jour planifiées du groupe AD. Les prochaines mises à
jour planifiées sont répertoriées sous "Options du groupe AD" et "Options d'alias AD".
•
Ne pas mettre à jour les alias et les groupes AD maintenant
Si vous cliquez sur Mettre à jour, ni le groupe ni les alias utilisateur ne seront mis à jour.
Remarque :
Cette option affecte toutes les mises à jour planifiées du groupe ou des alias. Les prochaines
mises à jour planifiées sont répertoriées sous "Options du groupe AD" et "Options d'alias AD".
17. Cliquez sur Mettre à jour.
18. Cliquez sur OK.
Rubriques associées
• Connexion unique avec Windows AD
• Utilisation de Windows AD avec SiteMinder
• Utilisation de l'authentification Windows AD avec Kerberos
7.4.5 Dépannage de l'authentification Windows AD
7.4.5.1 Dépannage de votre configuration
289
2011-05-06
Authentification
Ces deux procédures peuvent vous aider si vous rencontrez des difficultés lors de la configuration de
Kerberos :
•
•
Activation de la journalisation
Test de la configuration Kerberos du SDK Java
7.4.5.1.1 Pour activer la journalisation
1. Dans le menu Démarrer, sélectionnez Programmes >Tomcat > Configuration Tomcat.
2. Cliquez sur l'onglet Java.
3. Ajoutez les options suivantes :
-Dcrystal.enterprise.trace.configuration=verbose
-sun.security.krb5.debug=true
Vous créez ainsi un fichier journal à l'emplacement suivant :
C:\Documents and Settings\<user name>\.businessobjects\jce_verbose.log
7.4.5.1.2 Pour tester la configuration Kerberos Java
•
Exécutez la commande suivante pour tester la configuration Kerberos, cptserv correspondant au
compte de service et au domaine sous lesquels s'exécute le CMS et Password au mot de passe
associé au compte de service.
<Install Directory>\SAP Business Objects Enterprise XI 4.0\win64_64\jdk\bin servact@TESTM03.COM Password
Par exemple :
C:\Program Files\SAP BusinessObjects\
SAP Business Objects Enterprise XI 4.0\win64_64\jdk\bin\
servact@TESTM03.COM Password
Si le problème persiste, vérifiez que la casse du domaine et du nom de service principal correspond
exactement à celle définie dans Active Directory.
7.4.5.1.3 Echec de la connexion dû à des noms UPN et SAM différents dans AD
L'ID Active Directory d'un utilisateur a été correctement mappé à la plateforme de BI. Malgré cela,
l'utilisateur ne peut pas se connecter à la CMC ou à la zone de lancement BI avec l'authentification
Windows AD et Kerberos au format suivant : DOMAIN\ABC123
Ce problème peut se produire lorsque l'utilisateur est configuré dans Active Directory avec un nom
UPN et un nom SAM qui ne sont pas exactement identiques. Les exemples suivants peuvent causer
un problème :
•
•
Le nom UPN est abc123@company.com mais le nom SAM est DOMAIN\ABC123.
Le nom UPN est jsmith@company mais le nom SAM est DOMAIN\johnsmith.
Il y a deux façons de traiter ce problème :
•
•
290
Demandez aux utilisateurs de se connecter à l'aide de leurs noms UPN plutôt que de leurs noms
SAM.
Vérifiez que le nom de compte SAM et le nom UPN sont identiques.
2011-05-06
Authentification
7.4.5.1.4 Erreur de pré-authentification
Un utilisateur qui a pu se connecter au préalable ne parvient plus à le faire. Il obtient le message d'erreur
suivant : Informations de compte non reconnues. Les journaux d'erreur Tomcat font état de l'erreur
suivante : "Pre-authentication information was invalid (24)" (Informations de
pré-authentification non valides).
Ceci peut se produire lorsque la base de données d'utilisateurs Kerberos n'a pas été mise à jour après
un changement d'UPN dans AD. Ceci peut également indiquer que la base de données d'utilisateurs
Kerberos et les informations AD ne sont pas synchronisées.
Pour résoudre ce problème, réinitialisez le mot de passe de l'utilisateur dans AD. Ainsi, les modifications
seront correctement diffusées.
Remarque :
Ce problème n'en est pas un dans J2SE 5.0.
7.5 Authentification SAP
7.5.1 Configuration de l'authentification SAP
Cette section explique comment configurer l'authentification de la plateforme de BI pour votre
environnement SAP.
L'authentification SAP permet aux utilisateurs SAP de se connecter à la plateforme de BI à l'aide de
leurs noms d'utilisateur et mots de passe SAP, sans stocker ces mots de passe dans la plateforme de
BI. Elle permet également de conserver les informations relatives aux rôles utilisateur dans SAP, et
d'utiliser ces informations sur la plateforme pour affecter des droits permettant d'effectuer des tâches
administratives ou d'accéder à un contenu.
Accès à l'application d'authentification SAP
Une fois que l'authentification SAP a été installée, vous devez fournir des informations sur votre système
SAP à la plateforme de BI. Vous pouvez accéder à une application Web dédiée via l'outil d'administration
principal de la plateforme de BI, la Central Management Console (CMC). Pour y accéder depuis la
page d'accueil de la CMC, cliquez sur Authentification.
Authentification des utilisateurs SAP
Les plug-ins de sécurité développent et personnalisent la manière dont la plateforme de BI authentifie
les utilisateurs. La fonction Authentification SAP inclut un plug-in de sécurité SAP (secSAPR3.dll)
291
2011-05-06
Authentification
pour le composant CMS (Central Management Server) de la plateforme de BI. Ce plug-in de sécurité
SAP offre plusieurs avantages fondamentaux :
•
Il agit comme un fournisseur d'authentification qui compare les références de connexion de l'utilisateur
à celles du système SAP pour le compte du CMS. Lorsque les utilisateurs se connectent directement
à la plateforme de BI, ils peuvent choisir l'authentification SAP et fournir leurs nom d'utilisateur et
mot de passe SAP habituels. La plateforme de BI peut également valider les tickets de connexion
du portail Enterprise dans les systèmes SAP.
•
Il facilite la création de compte en permettant de mapper les rôles de SAP aux groupes d'utilisateurs
de la plateforme de BI, ainsi que la gestion des comptes en permettant d'affecter des droits aux
utilisateurs et aux groupes de manière cohérente au sein de la plateforme de BI.
•
Il tient à jour les listes de rôles SAP de façon dynamique. Ainsi, lorsque vous mappez un rôle SAP
sur la plateforme, tous les utilisateurs appartenant à ce rôle peuvent se connecter au système. Si,
par la suite, vous modifiez l'appartenance au rôle SAP, vous n'avez pas besoin de mettre à jour ou
d'actualiser la liste sur la plateforme de BI.
•
Le composant d'authentification SAP comprend une application Web pour la configuration du plug-in.
Vous pouvez accéder à cette application dans la zone "Authentification" de la CMC (Central
Management Console).
7.5.2 Création d'un compte utilisateur pour la plateforme de BI
Le système de la plateforme de BI requiert un compte utilisateur SAP autorisé à accéder aux listes
d'appartenance aux rôles SAP et à authentifier les utilisateurs SAP. Vous avez besoin des références
de connexion pour connecter la plateforme de BI à votre système SAP. Pour en savoir plus sur la
manière de créer des comptes utilisateur SAP et d'affecter des droits via les rôles, consultez votre
documentation SAP BW.
Utilisez la transaction SU01 pour créer un nouveau compte d'utilisateur SAP appelé CRYSTAL. Utilisez
la transaction PFCG pour créer un nouveau rôle appelé CRYSTAL_ENTITLEMENT. Notez que ces noms
sont recommandés mais pas obligatoires. Modifiez les données d'autorisation du nouveau rôle en
définissant ces valeurs pour les objets d'autorisation suivants :
Objet d'autorisation
Autorisation d'accès aux fichiers
(S_DATASET)
292
Champ
Valeur
Activité (ACTVT)
Lecture, écriture (33, 34)
Nom de fichier physique (FILENAME)
* (signifie TOUS)
Nom de programme ABAP
(PROGRAM)
*
2011-05-06
Authentification
Objet d'autorisation
Contrôle des autorisations pour
accès RFC (S_RFC)
Maintenance principale des utilisateurs : Groupes d'utilisateurs
(S_USER_GRP)
Champ
Valeur
Activité (ACTVT)
16
Nom de RFC à protéger
(RFC_NAME)
BDCH, STPA, SUSO, BDL5,
SUUS, SU_USER, SYST, SUNI,
RFC1, SDIFRUNTIME, PRGN_J2EE, /CRYSTAL/SECURITY
Type d'objet RFC à protéger
(RFC_TYPE)
Groupe de fonctions (FUGR)
Activité (ACTVT)
Créer ou générer, et afficher
(03)
*
Groupe d'utilisateurs dans maintenance du fichier utilisateur
(CLASS)
Remarque :
Pour plus de sécurité, vous
pouvez répertorier explicitement
les groupes d'utilisateurs dont
les membres doivent accéder à
la plateforme de BI.
Enfin, ajoutez l'utilisateur CRYSTAL au rôle CRYSTAL_ENTITLEMENT.
Conseil :
Si les règles de votre système exigent que les utilisateurs modifient leur mot de passe à la première
ouverture de session, ouvrez une session avec le compte utilisateur CRYSTAL et redéfinissez le mot
de passe.
7.5.3 Connexion aux systèmes d'autorisation de SAP
Avant d'importer des rôles ou de publier du contenu BW dans la plateforme de BI, vous devez fournir
des informations sur les systèmes d'autorisation SAP auxquels vous souhaitez vous intégrer. La
plateforme de BI utilise ces informations pour se connecter au système SAP cible lors de la définition
de l'appartenance aux rôles et de l'authentification des utilisateurs SAP.
293
2011-05-06
Authentification
7.5.3.1 Ajout d'un système d'autorisation SAP
1. Accédez à la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur le lien SAP.
Les paramètres des systèmes d'autorisation s'affichent.
Conseil :
Si un système d'autorisation est déjà affiché dans la liste Nom du système logique, cliquez sur
Nouveau.
3. Dans le champ Système, saisissez les trois caractères de l'identifiant de votre système SAP (SID).
4. Dans le champ Client, saisissez le numéro de client que la plateforme de BI doit utiliser lorsqu'elle
se connecte à votre système SAP.
La plateforme de BI associe vos informations Système et Client, puis ajoute une entrée à la liste
Nom du système logique.
5. Vérifiez que la case Désactivé est décochée.
Remarque :
La case à cocher Désactivé permet d'indiquer à la plateforme de BI qu'un système SAP particulier
est momentanément indisponible.
6. Le cas échéant, remplissez les champs Serveur de messagerie et Groupe de connexion si vous
avez configuré l'équilibrage de charge pour que la plateforme de BI se connecte via un serveur de
messagerie.
Remarque :
Vous devez définir les entrées appropriées dans le fichier Services de l'ordinateur de votre
plateforme de BI pour activer l'équilibrage de charge, en particulier si le déploiement est effectué
sur plusieurs ordinateurs. Prenez en compte les ordinateurs qui hébergent le CMS, le serveur
d'applications Web et tous les ordinateurs qui gèrent vos comptes et paramètres d'authentification.
7. Si vous n'avez pas configuré l'équilibrage de charge (ou si vous préférez que la plateforme de BI
se connecte directement au système SAP), renseignez les champs Serveur d'applications et
Numéro du système selon les besoins.
8. Dans les champs prévus à cet effet, saisissez le Nom d'utilisateur, le Mot de passe et la Langue
du compte SAP que doit utiliser la plateforme de BI pour se connecter à SAP.
Remarque :
Ces références de connexion doivent correspondre au compte utilisateur que vous avez créé pour
la plateforme de BI.
9. Cliquez sur Mettre à jour.
Si vous ajoutez plusieurs systèmes d'autorisation, cliquez sur l'onglet Options pour spécifier le système
que la plateforme de BI utilise par défaut (c'est-à-dire le système contacté pour authentifier les utilisateurs
294
2011-05-06
Authentification
qui tentent de se connecter avec des références de connexion SAP mais sans spécifier un système
SAP particulier).
Rubriques associées
• Création d'un compte utilisateur pour la plateforme de BI
7.5.3.2 Pour vérifier qu'un système d'autorisation a été correctement ajouté
1. Cliquez sur l'onglet Importation de rôles.
2. Sélectionnez le système d'autorisation approprié dans la liste Nom de système logique.
Si celui-ci a été correctement ajouté, la liste Rôles disponibles contient la liste des rôles que vous
pouvez importer.
Conseil :
Si la liste .Rôles disponibles ne contient aucun rôle, recherchez les éventuels messages d'erreur
sur la page Vous y trouverez peut-être les informations nécessaires pour résoudre le problème.
7.5.3.3 Pour désactiver temporairement une connexion à un système
d'autorisation SAP
Dans la CMC, vous pouvez désactiver temporairement une connexion entre la plateforme de BI et un
système d'autorisation SAP. Cette opération peut s'avérer utile pour maintenir la réactivité de la
plateforme de BI, par exemple lors du temps d'arrêt planifié d'un système d'autorisation SAP.
1. Dans la CMC, accédez à la zone de gestion Autorisation.
2. Cliquez deux fois sur le lien SAP.
3. Dans la liste Nom de système logique, sélectionnez le système à désactiver.
4. Cochez la case Désactivé.
5. Cliquez sur Mettre à jour.
7.5.4 Définition des options d'authentification SAP
L'authentification SAP comprend un certain nombre d'options que vous pouvez spécifier lors de
l'intégration de la plateforme de BI à votre système SAP. Les options incluent :
• Activation ou désactivation de l'authentification SAP
295
2011-05-06
Authentification
•
•
•
Spécification des paramètres de connexion
Mise en relation des utilisateurs importés aux modèles de licence de la plateforme de BI.
Configuration de la connexion unique dans le système SAP
7.5.4.1 Pour définir les options d'authentification SAP
1. Accédez à la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur le lien SAP, puis cliquez sur l'onglet Options.
3. Vérifiez les paramètres et modifiez-les si nécessaire.
296
2011-05-06
Authentification
Paramètre
Description
Activer l'authentification SAP
Décochez cette case si vous souhaitez désactiver
complètement l'authentification SAP. (Pour désactiver l'authentification SAP d'un système SAP spécifique, cochez la case Désactivé du système en
question dans l'onglet Système d'autorisation.)
Racine du dossier de contenu
Utilisez ce champ pour indiquer l'emplacement où
la plateforme de BI doit commencer à dupliquer la
structure des dossiers BW dans la CMC et la zone
de lancement BI. Par défaut, il s'agit du dossier
/SAP/2.0, mais vous pouvez indiquer un autre
dossier. Si vous modifiez cette valeur, vous devez
le faire à la fois dans la CMC et dans le Workbench
d'administration de contenu.
Système par défaut
Dans cette liste, sélectionnez le système d'autorisation SAP que la plateforme de BI utilise par défaut
(c'est-à-dire, le système contacté pour authentifier
les utilisateurs qui tentent de se connecter avec des
références de connexion SAP, mais sans spécifier
un système SAP particulier).
Remarque :
Si vous désignez un système par défaut, les utilisateurs de ce système n'ont pas à saisir leur ID système et client lorsqu'ils se connectent à partir d'outils
client tels que Live Office ou Universe Designer à
l'aide de l'authentification SAP. Par exemple, si
SYS~100 est défini comme système par défaut,
SYS~100/utilisateur1 peut se connecter comme
utilisateur1 lorsque l'authentification SAP est sélectionnée.
Nombre maximal d'échecs d'accès au système d'autorisation
297
2011-05-06
Authentification
Paramètre
Description
Saisissez le nombre de fois que la plateforme doit
réessayer de contacter un système SAP pour satisfaire les demandes d'authentification. Lorsque vous
définissez la valeur sur -1, la plateforme de BI peut
tenter de contacter indéfiniment le système d'autorisation. Si vous définissez la valeur sur 0, la plateforme de BI n'a droit qu'à une seule tentative d'accès
au système d'autorisation.
Remarque :
Utilisez ce paramètre conjointement à Laisser le
système d'autorisation désactivé pendant [secondes] pour configurer la façon dont la plateforme
de BI doit gérer les systèmes d'autorisation SAP qui
sont momentanément indisponibles. Le système
utilise ces paramètres pour déterminer à quel moment les communications avec les systèmes SAP
indisponibles doivent être interrompues puis reprises.
Conserver le système d'autorisation désa- Saisissez le nombre de secondes pendant lesquelles la plateforme de BI doit attendre avant de
ctivé pendant (secondes)
reprendre les tentatives d'authentification des utilisateurs dans le système SAP. Par exemple, si vous
saisissez la valeur 3 pour Nombre maximal
d'échecs d'accès au système d'autorisation, la
plateforme de BI a droit à un maximum de 3 échecs
lors des tentatives d'authentification utilisateur auprès d'un système SAP particulier ; au quatrième
échec, le système interrompt les tentatives d'authentification auprès de ce système pendant la durée
indiquée.
Nombre maximal de connexions simulta- Utilisez ce champ pour définir le nombre maximal
de connexions qui peuvent être ouvertes simultanénées par système
ment sur votre système SAP. Par exemple, si vous
saisissez 2 dans ce champ, la plateforme de BI
garde deux connexions distinctes à SAP ouvertes.
Nombre d'utilisations par connexion
298
Utilisez ce champ pour indiquer le nombre d'opérations que vous souhaitez autoriser par connexion
au système SAP. Par exemple, si vous indiquez 2
pour Nombre maximal de connexions simultanées par système et 3 pour Nombre d'utilisations
par connexion, lorsque 3 sessions ont été ouvertes
sur une connexion, la plateforme de BI ferme la connexion concernée, puis la relance.
2011-05-06
Authentification
Paramètre
Description
Visualiseur BIet Analyste BI
Utilisez ces options pour spécifier si de nouveaux
comptes utilisateur sont configurés sous les rôles
utilisateur Visualiseur BI ou Analyste BI. Le rôle Visualiseur BI est habituellement affecté aux utilisateurs de contenu : Ce rôle comporte un accès restreint aux workflows d'applications, selon les stipulations du contrat de licence de la plateforme SAP
BusinessObjects Enterprise de Business Intelligence. Le rôle Analyste BI est destiné aux utilisateurs
qui créent et modifient le contenu pour les applications de la plateforme. Ce rôle ne comporte pas de
restrictions d'accès aux workflows des applications.
Remarque :
L'option que vous sélectionnez ici ne change ni le
nombre, ni le type des licences utilisateur que vous
avez installées dans la plateforme de BI. Vous devez
disposer des licences adéquates sur votre système.
299
2011-05-06
Authentification
Paramètre
Description
Utilisateurs simultanés et Utilisateurs nom- Utilisez cette option pour spécifier si de nouveaux
comptes utilisateur sont configurés pour utiliser des
més
licences Utilisateurs simultanés ou des licences
Utilisateurs nommés. Les licences d'accès simultanés spécifient le nombre d'utilisateurs pouvant se
connecter en même temps à la plateforme de BI.
Cette licence est tout à fait adaptée car un petit nombre de licences peut accepter de nombreux utilisateurs. Par exemple, suivant la fréquence et la durée
des connexions des utilisateurs au système, une licence pour 100 utilisateurs simultanés peut prendre
en charge 250, 500 ou 700 utilisateurs. Les licences
Utilisateur nommé sont associées à des utilisateurs
particuliers qui peuvent accéder au système en
saisissant un nom d'utilisateur et un mot de passe.
Ainsi, les utilisateurs nommés peuvent accéder au
système, quel que soit le nombre de personnes connectées.
Remarque :
L'option que vous sélectionnez ici ne change ni le
nombre, ni le type des licences utilisateur que vous
avez installées dans la plateforme de BI. Vous devez
disposer des licences adéquates sur votre système.
Importer le nom complet et l'adresse élec- Sélectionnez cette option pour spécifier un niveau
de priorité pour le plug-in d'authentification SAP.
tronique
Les noms complets et les descriptions des comptes
SAP sont importés et stockés avec les objets utilisateur dans la plateforme de BI.
Rendre la liaison d'attributs SAP prioritaire Spécifie une priorité pour la liaison des attributs utipar rapport aux autres liaisons d'attributs lisateur SAP (nom complet et adresse électronique).
Si l'option est définie sur "1", les attributs SAP sont
prioritaires dans les scénarios où SAP et les autres
plug-ins (Windows AD et LDAP) sont activés. Si
l'option est définie sur "3", les attributs des autres
plug-ins activés seront prioritaires.
Les champs suivants sont utilisés pour configurer le service de connexion unique SAP :
300
2011-05-06
Authentification
Paramètre
Description
"ID système"
Identificateur système fourni par la plateforme de BI au système SAP lors
de l'exécution du service de connexion unique SAP.
Parcourir
Utilisez ce bouton pour télécharger le fichier de stockage de clés généré
pour permettre la connexion unique SAP. Il est également possible de
saisir manuellement le chemin complet du fichier dans le champ prévu.
"Mot de passe du sto- Fournissez le mot de passe requis pour accéder au fichier de stockage de
ckage de clés"
clés.
"Mot de passe de la
clé privée"
Fournissez le mot de passe requis pour accéder au certificat correspondant
au fichier de stockage de clés. Le certificat est stocké sur le système SAP
"Alias de clé privée"
Fournissez l'alias requis pour accéder au fichier de stockage de clés.
4. Cliquez sur Mettre à jour.
Rubriques associées
• Licences basées sur les rôles
• Configuration de l'authentification SAP
7.5.4.2 Pour modifier la racine du dossier de contenu
1. Accédez à la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur le lien SAP.
3. Cliquez sur Options et saisissez le nom du dossier dans le champ Racine du dossier Contenu.
Le nom du dossier que vous saisissez ici correspond au dossier à partir duquel la plateforme de BI
doit commencer à dupliquer la structure des dossiers BW.
4. Cliquez sur Mettre à jour.
5. Dans le Workbench d'administration de contenu BW, développez Système Enterprise.
6. Développez Systèmes disponibles, puis cliquez deux fois sur le système auquel la plateforme de
BI se connecte.
7. Cliquez sur l'onglet Disposition, puis dans Dossier de base de contenu, saisissez le dossier que
vous voulez utiliser comme dossier SAP racine dans la plateforme de BI (par exemple, /SAP/2.0/)
.
7.5.5 Importation de rôles SAP
301
2011-05-06
Authentification
En important des rôles SAP dans la plateforme de BI, vous permettez aux membres correspondants
de se connecter au système avec leurs références de connexion SAP habituelles. De plus, la connexion
unique est activée, de sorte que les utilisateurs SAP peuvent être automatiquement connectés à la
plateforme de BI lorsqu'ils accèdent aux rapports à partir de l'interface utilisateur SAP ou d'un portail
SAP Enterprise Portal.
Remarque :
L'activation de la connexion unique repose bien souvent sur de nombreux préalables. Certains peuvent
concerner l'utilisation d'un pilote et d'une application compatibles avec cette fonction, ainsi que la
certitude que votre serveur et le serveur Web font partie du même domaine.
Pour chaque rôle importé, la plateforme de BI génère un groupe. Chaque groupe est nommé selon le
modèle suivant :IDSystème~NuméroClient@NomDuRôle . Vous pouvez afficher les nouveaux
groupes dans la zone de gestion "Utilisateurs et groupes" de la CMC. Vous pouvez également utiliser
ces groupes pour définir la sécurité des objets dans la plateforme de BI.
Tenez compte de trois catégories principales d'utilisateurs lors de la configuration de la plateforme de
BI pour une publication et lors de l'importation de rôles vers le système :
•
Administrateurs de la plateforme de BI
Les administrateurs Enterprise configurent le système pour publier du contenu à partir de SAP. Ils
importent les rôles appropriés, créent les dossiers nécessaires et affectent des droits à ces rôles et
dossiers dans la plateforme de BI.
•
Editeurs de contenu
Les éditeurs de contenu sont les utilisateurs autorisés à publier le contenu dans les rôles. L'objectif
de cette catégorie d'utilisateurs est de séparer les membres des rôles standard de ces utilisateurs
autorisés à publier des rapports.
•
Membres de rôle
Les membres de rôle sont des utilisateurs appartenant aux rôles “portant le contenu”. En d'autres
termes, ces utilisateurs appartiennent aux rôles vers lesquels les rapports sont publiés. Ils disposent
des droits de visualisation, de visualisation à la demande et de planification pour les rapports
publiés vers les rôles dont ils sont membres. Toutefois, les membres de rôle standard ne peuvent
ni publier de nouveaux contenus, ni publier des versions de contenu mises à jour.
Vous devez importer tous les rôles de publication de contenu ou ayant trait au contenu dans la plateforme
de BI avant d'effectuer la première publication.
Remarque :
Nous vous recommandons fortement de distinguer les activités des rôles. Par exemple, alors qu'il est
possible de réaliser une publication à partir du rôle d'un administrateur, il est préférable de publier
uniquement à partir de rôles d'éditeurs de contenu. En outre, la fonction des rôles de publication de
contenu consiste uniquement à définir les utilisateurs pouvant publier du contenu. Ainsi, les rôles de
publication de contenu ne doivent pas contenir de contenu ; les éditeurs de contenu doivent publier
vers des rôles portant le contenu qui sont accessibles aux membres de rôle standard.
Rubriques associées
• Fonctionnement des droits sur la plateforme de BI
302
2011-05-06
Authentification
• Gestion des paramètres de sécurité des objets dans la CMC
7.5.5.1 Pour importer des rôles SAP
1. Accédez à la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur le lien SAP.
3. Dans l'onglet Options, sélectionnez Visualiseur BI, Analyste BI, Utilisateurs simultanés ou
Utilisateurs nommés selon votre contrat de licence.
Notez que l'option que vous sélectionnez ici ne change ni le nombre, ni le type des licences utilisateur
que vous avez installées dans la plateforme de BI. Vous devez disposer des licences adéquates
sur votre système.
4. Cliquez sur Mettre à jour.
5. Dans l'onglet Importation de rôles, sélectionnez le système d'autorisation approprié dans la liste
Nom de système logique.
6. Dans la zone Rôles disponibles, sélectionnez le ou les rôles que vous souhaitez importer, puis
cliquez sur Ajouter.
7. Cliquez sur Mettre à jour.
7.5.5.2 Pour vérifier que les rôles et les utilisateurs ont été importés
correctement
1. Vérifiez que vous disposez du nom d'utilisateur et du mot de passe d'un utilisateur SAP appartenant
à l'un des rôles que vous venez de mapper à la plateforme de BI.
2. Pour la zone de lancement BI Java, accédez à http://serveurWeb:numéroport /BOE/BI.
Remplacez serveurWeb par le nom du serveur Web et numéroport par le numéro de port configuré
pour la plateforme de BI. Il vous faudra peut-être demander à votre administrateur le nom du serveur
Web, le numéro de port ou l'URL exacte à saisir.
3. Dans la liste Type d'authentification, sélectionnez SAP.
4. Saisissez le système SAP et le client système auxquels vous souhaitez vous connecter.
5. Saisissez le nom d'utilisateur et le mot de passe d'un utilisateur mappé.
6. Cliquez sur Connexion.
Vous devez être connecté à la Zone de lancement BI en tant qu'utilisateur sélectionné.
303
2011-05-06
Authentification
7.5.5.3 Mise à jour des rôles et des utilisateurs SAP
Une fois l'authentification SAP activée, il est nécessaire de planifier et d'exécuter des mises à jour
régulières sur les rôles mappés qui ont été importés dans la plateforme de BI. Cela garantira que les
informations des rôles SAP sont reflétées avec précision dans la plateforme de BI.
Il existe deux options pour l'exécution et la planification des mises à jour de rôles SAP :
•
•
Mettre à jour les rôles uniquement : cette option permet uniquement de mettre à jour les liens entre
les rôles actuellement mappés qui ont été importés dans la plateforme de BI. Nous vous
recommandons d'utiliser cette option si vous avez l'intention d'exécuter des mises à jour fréquentes
et que vous êtes préoccupé par l'utilisation des ressources système. Aucun nouveau compte
utilisateur ne sera créé si vous effectuez uniquement une mise à jour des rôles SAP.
Mettre à jour les rôles et les alias : cette option permet non seulement de mettre à jour les liens
entre les rôles, mais aussi de créer des comptes utilisateur dans la plateforme de BI pour les alias
utilisateur ajoutés à des rôles dans le système SAP.
Remarque :
Si vous n'avez pas spécifié de créer automatiquement des alias utilisateur pour les mises à jour lors
de l'activation de l'authentification SAP, aucun compte ne sera créé pour les nouveaux alias.
7.5.5.3.1 Planification de mises à jour pour les rôles SAP
Une fois les rôles mappés dans la plateforme de BI, vous devez indiquer comment le système doit
mettre à jour ces rôles.
1. Cliquez sur l'onglet Mise à jour de l'utilisateur.
2. Cliquez sur Planifier dans les sections "Mettre à jour les rôles uniquement" ou "Mettre à jour les
rôles et les alias".
Conseil :
Pour une exécution et une mise à jour immédiates, cliquez sur Mettre à jour maintenant.
Conseil :
Utilisez l'option "Mettre à jour les rôles uniquement" si vous souhaitez effectuer des mises à jour
fréquentes et que vous êtes préoccupé par les ressources système. Le système met plus de temps
à mettre à jour à la fois les rôles et les alias.
La boîte de dialogue "Périodicité" s'affiche.
3. Sélectionnez une option dans la liste déroulante "Exécuter l'objet" et indiquez toutes les informations
de planification demandées dans les champs correspondants.
Lorsque vous planifiez une mise à jour, vous pouvez choisir une des périodicités récapitulées dans
le tableau suivant :
304
2011-05-06
Authentification
Périodicité
Description
Toutes les heures
La mise à jour sera exécutée toutes les heures. Vous pouvez
spécifier l'heure à laquelle l'exécution démarrera, de même que
sa date de début et sa date de fin.
Tous les jours
La mise à jour sera exécutée tous les jours ou tous les N jours.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Toutes les semaines
La mise à jour sera exécutée toutes les semaines. Elle peut
être exécutée une ou plusieurs fois par semaine. Vous pouvez
préciser les jours et l'heure auxquels l'exécution aura lieu, ainsi
que sa date de début et sa date de fin.
Tous les mois
La mise à jour sera exécutée tous les mois ou tous les N mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Nième jour du mois
La mise à jour sera exécutée un jour spécifique du mois. Vous
pouvez préciser le jour du mois et l'heure auxquels l'exécution
aura lieu, ainsi que sa date de début et sa date de fin.
1er lundi du mois
La mise à jour sera exécutée le premier lundi de chaque mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Dernier jour du mois
La mise à jour sera exécutée le dernier jour de chaque mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Jour X de la Nième semaine du
mois
La mise à jour sera exécutée le jour indiqué de la semaine indiquée du mois. Vous pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que sa date de début et sa date de
fin.
Calendrier
La mise à jour sera exécutée aux dates spécifiées dans un
calendrier précédemment créé.
4. Cliquez sur Planifier une fois les informations de planification fournies.
La date de la prochaine mise à jour de rôles planifiée est affichée dans l'onglet Mise à jour de
l'utilisateur.
Remarque :
Vous pouvez annuler à tout moment la prochaine mise à jour planifiée en cliquant sur Annuler les
mises à jour planifiées dans les sections "Mettre à jour les rôles uniquement" ou "Mettre à jour les
rôles et les alias".
305
2011-05-06
Authentification
7.5.6 Configuration de la communication réseau sécurisée (SNC)
Cette section explique comment configurer la SNC dans le cadre du processus de configuration
d'authentification SAP à la plateforme de BI
Avant de configurer la sécurité entre les systèmes SAP et la plateforme de BI, assurez-vous que le SIA
est configuré pour démarrer et s'exécuter sous un compte configuré pour la SNC. Vous devez également
configurer votre système SAP pour sécuriser la plateforme de BI. Il est recommandé de suivre les
instructions reprises dans la section Configuration de la sécurité côté serveur SAP du chapitre
Configurations supplémentaires pour les environnements Enterprise Resource Planningde ce guide.
7.5.6.1 Présentation de la sécurité côté serveur
Cette section contient des procédures permettant de configurer la sécurité côté serveur entre les
serveurs d'applications Web SAP (versions 6.20 et ultérieures) et la plateforme de BI. Vous devez
configurer la sécurité côté serveur si vous utilisez la méthode d'éclatement de rapports multipassage
(pour les publications dans lesquelles la requête de rapport dépend du contexte de l'utilisateur).
La sécurité côté serveur nécessite un emprunt d'identité sans mot de passe. Pour pouvoir emprunter
l'identité d'un utilisateur SAP sans fournir de mot de passe, l'utilisateur doit être identifié auprès de SAP
à l'aide d'une méthode plus sécurisée qu'un simple nom d'utilisateur et mot de passe. (Un utilisateur
SAP ayant le profil d'autorisation SAP_ALL ne peut pas emprunter l'identité d'un autre utilisateur SAP
sans connaître son mot de passe.)
Activation de la sécurité côté serveur à l'aide de la bibliothèque crypto SAP gratuite
Pour activer la sécurité côté serveur pour la plateforme de BI à l'aide de la bibliothèque crypto SAP
gratuite, vous devez exécuter les serveurs correspondants avec des références de connexion qui sont
authentifiées à l'aide d'un fournisseur de communication réseau sécurisée (SNC) agréé. Ces références
de connexion sont configurées dans SAP de façon à autoriser l'emprunt d'identité sans mot de passe.
Pour la plateforme de BI, vous devez exécuter les serveurs impliqués dans l'éclatement de rapports,
tels que le Crystal Reports Job Server, avec ces références de connexion SNC.
Vous devez également disposer d'une bibliothèque de cryptage pour pouvoir configurer la sécurité côté
serveur. Une bibliothèque cryptographique SAP peut être téléchargée à partir du site Web SAP. Notez
que la bibliothèque cryptographique SAP peut uniquement être utilisée pour configurer la sécurité côté
serveur. Elle est disponible pour Windows et UNIX. Pour en savoir plus sur la bibliothèque
cryptographique, voir les notes SAP 711093, 597059 et 397175 sur le site Web de SAP.
Le serveur SAP et la plateforme de BI doivent se voir attribuer des certificats prouvant l'identité de
chacun auprès de l'autre. Chaque serveur a son propre certificat ainsi qu'une liste de certificats pour
les parties approuvées. Pour configurer la sécurité côté serveur entre SAP et la plateforme de BI, vous
devez créer un jeu de certificats protégé par mot de passe appelé environnement de sécurité personnelle
306
2011-05-06
Authentification
(Personal Security Environment, PSE). Ce document explique comment configurer et gérer les PSE
et comment les associer de façon sécurisée aux serveurs de traitement de la plateforme de BI.
Client/serveur SNC
Dans client SNC, un identificateur de nom SNC est mappé à un (ou plusieurs) noms d'utilisateur SAP
dans SU01. Lorsqu'une requête de connexion est envoyée, le nom SNC et le nom SAP sont transmis
au système SAP. Toutefois, aucun mot de passe n'est envoyé. Etant donné que le nom SNC est mappé
au nom SAP indiqué, la connexion est autorisée. Voici une chaîne de connexion côté client pour une
connexion à l'hôte d'applications direct :
ASHOST =myserver.mydomain SYSNR=37 CLIENT=066 LANG=EN USER=USER123
SNC_MODE=1 SNC_QOP=9 SNC_LIB="/usr/local/lib/libsapcrypto.so"
SNC_PARTNERNAME="p:CN=TheServer, OU=Dept., O=TheCompany, C=FR"
SNC_MYNAME="p:CN=TheUser, O=TheCompany, C=US"
L'utilisateur SAP USER123 doit être mappé à p:CN=Utilisateur, O=Société, C=US dans SU01
pour que cette tentative de connexion réussisse. Sur le serveur SNC, en revanche, il n'est pas nécessaire
de mapper explicitement l'identificateur de nom SNC avec le nom d'utilisateur SAP. Au lieu de cela, le
nom SNC est configuré au sein de la transaction SNC0 afin de pouvoir établir une connexion de type
identité pour “tout” utilisateur sans avoir à fournir le mot de passe de cet utilisateur. Par exemple :
ASHOST =myserver.mydomain SYSNR=37 CLIENT=066 LANG=EN SNC_MODE=1
SNC_QOP=9 SNC_LIB="/usr/local/lib/libsapcrypto.so"
SNC_PARTNERNAME="p:CN=TheServer, OU=Dept., O=TheCompany, C=FR"
SNC_MYNAME="p:CN=TheUser, O=TheCompany, C=US" EXTIDTYPE=UN EXTIDDATA=USER123
La connexion d'identité du serveur SNC ou connexion via ID externe propose beaucoup plus de
possibilités que la connexion client. Cette connexion permet d'accéder à n'importe quel compte utilisateur
SAP du système. Parmi les autres options de connexion ID externe, citons Logon Tickets et les certificats
client X.509.
Responsabilités serveur de la plateforme de BI
Certains serveurs de la plateforme de BI servent à l'intégration SAP en matière de connexion unique.
Le tableau suivant répertorie ces serveurs, ainsi que le type de SNC requis pour chaque domaine de
responsabilités.
307
Serveur
Type de SNC Domaines de responsabilités
Serveur d'applications Web
client
Liste de rôles de l'authentification SAP
serveur
Personnalisation et listes de sélection des paramètres
dynamiques de Crystal Reports
CMS
client
Listes de mots de passe, de tickets, de vérification des
appartenances du rôle et d'utilisateurs
Page Server
serveur
Affichage à la demande de Crystal Reports
2011-05-06
Authentification
Serveur
Type de SNC Domaines de responsabilités
Job Server
serveur
Planification de Crystal Reports
Web Intelligence Processing
Server
serveur
Affichage et planification des rapports Web Intelligence
et des invites de liste de valeurs
Service MDAS (Multi-Dimensio- serveur
nal Analysis Service)
Analyse
Remarque :
Le serveur d'applications Web et le CMS utilisent le SNC client et requièrent par conséquent un mappage
explicite du nom SNC au nom d'utilisateur SAP. Ceci est indiqué dans la transaction SU01 ou SM30
pour le tableau USRACL.
7.5.6.2 Configuration de SAP pour une sécurité côté serveur
La procédure suivante explique comment configurer SNC pour une utilisation avec la plateforme de
BI. Pour plus d'informations ou pour des instructions de dépannage, il est recommandé de consulter
la documentation SAP fournie avec votre serveur SAP.
7.5.6.2.1 Pour configurer SAP pour la sécurité côté serveur
1. A partir de SAP Marketplace, téléchargez la bibliothèque cryptographique SAP pour toutes les
plateformes concernées.
Remarque :
Pour plus d'informations sur la bibliothèque cryptographique, voir les notes SAP 711093, 597059
et 397175 sur le site Web de SAP.
2. Assurez-vous que vous disposez des références de connexion d'administrateur SAP pour SAP et
l'ordinateur exécutant SAP, ainsi que les références de connexion d'administrateur pour la plateforme
de BI et le ou les ordinateurs l'exécutant.
3. Sur l'ordinateur SAP, copiez la bibliothèque cryptographique SAP et l'outil SAPGENPSE dans le
répertoire <LECTEUR>:\usr\sap\<SID>\SYS\exe\run\ (sous Windows).
4. Localisez le fichier "ticket" qui a été installé avec la bibliothèque cryptographique SAP et copiez-le
dans le répertoire <LECTEUR>:\usr\sap\<SID>\<instance>\sec\ (sous Windows).
5. Créez une variable d'environnement appelée SECUDIR qui pointe vers le répertoire contenant le
fichier ticket.
Remarque :
Cette variable doit être accessible à l'utilisateur dont les références de connexion sont utilisées pour
exécuter le processus disp+work de SAP.
6. Dans l'interface utilisateur SAP, recherchez la transaction RZ10 et modifiez le profil d'instance en
mode maintenance étendue.
308
2011-05-06
Authentification
7. En mode d'édition de profil, faites pointer les variables de profil SAP vers la bibliothèque
cryptographique et donnez un nom distinctif (DN) au système SAP. Ces variables doivent suivre la
convention d'attribution de noms LDAP :
Balise
Signification
Description
CN
Nom usuel
Nom usuel du propriétaire du certificat.
OU
Unité organisationnelle EP pour Equipe produits, par exemple.
O
Organisation
Nom de l'organisation pour laquelle le certificat a été
émis.
C
Pays
Pays dans lequel se situe l'organisation.
Par exemple, pour R21 : p:CN=R21, OU=EP, O=BOBJ, C=CA
Remarque :
Notez que le préfixe p: correspond à la bibliothèque cryptographique SAP. Il est requis lorsqu'il est
fait référence au DN dans SAP, mais il n'est pas visible lors de l'examen des certificats dans STRUST
ou lors de l'utilisation de SAPGENPSE.
8. Entrez les valeurs de profil suivantes, en utilisant les valeurs correspondant à votre système SAP.
Variable de profil
Valeur
ssf/name
SAPSECULIB
ssf/ssfapi_lib
Chemin complet de la bibliothèque cryptographique SAP
sec/libsapsecu
Chemin complet de la bibliothèque cryptographique SAP
snc/gssapi_lib
Chemin complet de la bibliothèque cryptographique SAP
snc/identity/as
DN de votre système SAP
9. Redémarrez l'instance SAP.
10. Lorsque le système est de nouveau exécuté, connectez-vous, puis recherchez la transaction
STRUST, qui doit maintenant posséder des entrées supplémentaires pour SNC et SSL.
11. Cliquez avec le bouton droit de la souris sur le nœud SNC et cliquez sur Créer.
L'identité que vous avez spécifiée dans RZ10 doit à présent s'afficher.
12. Cliquez sur OK.
309
2011-05-06
Authentification
13. Pour attribuer un mot de passe au PSE de la SNC, cliquez sur l'icône représentant un verrou.
Remarque :
N'égarez pas ce mot de passe. STRUST vous demandera de l'indiquer chaque fois que vous affichez
ou modifiez le PSE de la SNC.
14. Enregistrez les modifications.
Remarque :
Si vous n'enregistrez pas les changements, le serveur d'applications ne redémarre pas lorsque vous
activez la SNC.
15. Retournez à la transaction RZ10 et ajoutez les paramètres restants du profil SNC.
Variable de profil
snc/accept_insecure_rfc
snc/accept_insecure_r3int_rfc
snc/accept_insecure_gui
snc/accept_insecure_cpic
snc/permit_insecure_start
snc/data_protection/min
snc/data_protection/max
snc/enable
Paramètre
1
1
1
1
1
1
3
1
Le niveau de protection minimal est défini sur authentification seulement (1) et le niveau maximal
est confidentiel (3). La valeur snc/data_protection/use définit que seule l'authentification doit être
utilisée dans ce cas, mais elle peut être définie sur (2) pour le niveau intégrité, (3) pour confidentiel
et (9) pour le maximum disponible. Les valeurs snc/accept_insecure_rfc, snc/accept_inse
cure_r3int_rfc, snc/accept_insecure_gui et snc/accept_insecure_cpic définies sur (1) indiquent que
les méthodes de communication précédentes (et potentiellement non sécurisées) sont toujours
permises.
16. Redémarrez votre système SAP.
Configurez ensuite la plateforme de BI pour une sécurité côté serveur.
310
2011-05-06
Authentification
7.5.6.3 Configuration de la plateforme de Business Intelligence pour une sécurité
côté serveur
Pour configurer la plateforme de BI pour une sécurité côté serveur, suivez la procédure ci-après. Notez
que ces étapes sont effectuées sous Windows ; cependant, étant donné que l'outil SAP est un outil de
ligne de commande, ces étapes sont similaires sous Unix.
1. Configurez l'environnement
2. Générez un PSE (Personal Security Environment)
3. Configurez les serveurs de la plateforme de BI
4. Configurez l'accès au PSE
5. Configurez les paramètres SNC d'authentification SAP
6. Configurez les groupes de serveurs dédiés SAP
Rubriques associées
• Pour configurer l'environnement
• Pour générer un PSE (environnement de sécurité personnelle)
• Pour configurer les serveurs de la plateforme de Business Intelligence
• Pour configurer l'accès au PSE
• Pour configurer les paramètres SNC d'authentification SAP
• Utilisation de groupes de serveurs
7.5.6.3.1 Pour configurer l'environnement
Avant de commencer, assurez-vous que :
•
•
La bibliothèque cryptographique SAP a été téléchargée et développée sur l'hôte exécutant les
serveurs de traitement de la plateforme de BI.
Les systèmes SAP appropriés ont été configurés pour utiliser la bibliothèque cryptographique SAP
comme fournisseur SNC.
Avant de pouvoir gérer le PSE, vous devez configurer la bibliothèque, l'outil et l'environnement dans
lequel les PSE sont stockés.
1. Copiez la bibliothèque cryptographique SAP (y compris l'outil de gestion PSE) dans un dossier de
l'ordinateur exécutant la plateforme de BI.
Par exemple : C:\Program Files\SAP\Crypto
2. Ajoutez le dossier à la variable d'environnement PATH.
3. Ajoutez une variable d'environnement système SNC_LIB pointant vers la bibliothèque
cryptographique.
Par exemple : C:\Program Files\SAP\Crypto\sapcrypto.dll
4. Créez un sous-dossier appelé sec.
311
2011-05-06
Authentification
Par exemple : C:\Program Files\SAP\Crypto\sec
5. Ajoutez une variable d'environnement système SECUDIR pointant vers le dossier sec.
6. Copiez le fichier ticket de la bibliothèque cryptographique SAP dans le dossier sec.
Rubriques associées
• Configuration de SAP pour une sécurité côté serveur
7.5.6.3.2 Pour générer un PSE (environnement de sécurité personnelle)
SAP accepte un serveur de la plateforme de BI comme entité sécurisée lorsque les serveurs de la
plateforme de BI correspondants ont un PSE associé à SAP. Cette “sécurité” entre SAP et les
composants de la plateforme de BI est établie par le partage de la version publique du certificat de
chacun. La première étape consiste à générer un PSE pour la plateforme de BI qui génère
automatiquement son propre certificat.
1. Ouvrez une invite de commande et exécutez sapgenpse.exe gen_pse -v -p BOE.pse depuis le
dossier de la bibliothèque cryptographique.
2. Choisissez un code PIN et un DN (nom distinctif) pour votre système de la plateforme de BI.
Par exemple, CN=MyBOE01, OU=EP, O=BOBJ, C=CA.
Vous disposez maintenant d'un PSE par défaut ayant son propre certificat.
3. Utilisez la commande suivante pour exporter le certificat dans le PSE :
sapgenpse.exe export_own_cert -v -p BOE.pse -o MyBOECert.crt
4. Dans l'interface utilisateur de SAP, allez à la transaction STRUST et ouvrez le PSE de la SNC.
Vous êtes alors invité à entrer le mot de passe que vous avez déjà attribué.
5. Importez le fichier MyBOECert.crt créé précédemment :
Les certificats de SAPGENPSE sont codés en Base64. N'oubliez pas de sélectionner Base64 lorsque
vous les importez :
6. Pour ajouter le certificat de la plateforme de BI à la liste de certificats PSE du serveur SAP, cliquez
sur le bouton Ajouter à la liste de certificats.
7. Pour ajouter le certificat SAP au PSE de la plateforme de BI, cliquez deux fois sur le certificat SAP.
8. Enregistrez les changements dans STRUST.
9. Cliquez sur le bouton Exporter et donnez un nom au certificat.
Par exemple, MonCertSAP.crt.
Remarque :
Le format doit rester Base64.
10. Allez à la transaction SNC0.
11. Ajoutez une nouvelle entrée, où :
• L'ID du système est arbitraire mais reflète votre système de la plateforme de BI.
• Le nom SNC doit correspondre au DN (ayant pour préfixe p:) que vous avez fourni lors de la
création de votre PSE de la plateforme de BI (à l'étape 2).
312
2011-05-06
Authentification
•
Les cases Entrée pour RFC activée et Entrée pour ID ext. activée sont cochées :
12. Pour ajouter le certificat exporté au PSE de la plateforme de BI, exécutez la commande suivante
dans l'invite de commande :
sapgenpse.exe maintain_pk -v -a MonCertSAP.crt -p BOE.pse
La bibliothèque cryptographique SAP est installée sur l'ordinateur de la plateforme de BI. Vous avez
créé un PSE qui sera utilisé par les serveurs de la plateforme de BI pour s'identifier auprès des serveurs
SAP. SAP et le PSE de la plateforme de BI ont échangé leurs certificats. SAP autorise les entités ayant
accès au PSE de la plateforme de BI à effectuer des appels RFC et un emprunt d'identité sans mot de
passe.
Rubriques associées
• Pour configurer les serveurs de la plateforme de Business Intelligence
7.5.6.3.3 Pour configurer les serveurs de la plateforme de Business Intelligence
Après avoir généré un PSE pour la plateforme de BI, vous devez configurer une structure de serveurs
appropriée pour le traitement SAP. La procédure suivante crée un nœud pour les serveurs de traitement
SAP, de façon à ce que vous puissiez définir les références de connexion du système d'exploitation
au niveau du nœud.
Remarque :
Dans cette version de la plateforme de BI, les serveurs ne sont plus configurés dans le CCM (Central
Configuration Manager). Un nouveau Server Intelligence Agent (SIA) doit être créé à la place.
1. Dans le CCM, créez un nœud pour les serveurs de traitement SAP.
Donnez au nœud un nom approprié, par exemple, ProcesseurSAP.
2. Dans le CCM, ajoutez les serveurs de traitement requis au nouveau nœud, puis démarrez les
nouveaux serveurs.
7.5.6.3.4 Pour configurer l'accès au PSE
Après avoir configuré les nœuds et les serveurs de la plateforme de BI, vous devez configurer l'accès
au PSE à l'aide de l'outil SAPGENPSE.
1. Exécutez la commande suivante à partir de l'invite de commande :
sapgenpse.exe seclogin -p SBOE.pse
Remarque :
Vous êtes invité à entrer le code PIN du PSE. Si vous exécutez l'outil sous les mêmes références
de connexion que les serveurs de traitement SAP de la plateforme de BI, vous n'avez pas besoin
de spécifier un nom d'utilisateur.
2. Pour vérifier que la liaison de connexion unique (SSO) est établie, affichez le contenu du PSE à
l'aide de la commande suivante :
sapgenpse.exe maintain_pk -l
313
2011-05-06
Authentification
Les résultats doivent se présenter comme suit :
C:\Documents and Settings\hareskoug\Desktop\sapcrypto.x86\ntintel>sapgenpse.exe
maintain_pk -l
maintain_pk for PSE "C:\Documents and Settings\hareskoug\My Documents\snc\sec\bobjsapproc.pse"
*** Object <PKList> is of the type <PKList_OID> ***
1. ------------------------------------------------------------Version:
0 (X.509v1-1988)
SubjectName:
CN=R21Again, OU=PG, O=BOBJ, C=CA
IssuerName:
CN=R21Again, OU=PG, O=BOBJ, C=CA
SerialNumber:
00
Validity - NotBefore:
Wed Nov 28 16:23:53 2007 (071129002353Z)
NotAfter:
Thu Dec 31 16:00:01 2037 (380101000001Z)
Public Key Fingerprint:
851C 225D 1789 8974 21DB 9E9B 2AE8 9E9E
SubjectKey:
Algorithm RSA (OID 1.2.840.113549.1.1.1), NULL
C:\Documents and Settings\hareskoug\Desktop\sapcrypto.x86\ntintel>
Vous ne devez pas être invité à entrer de nouveau le PIN du PSE une fois la commande seclogin
correctement exécutée.
Remarque :
Si vous rencontrez des problèmes pour accéder au PSE, utilisez le -O pour spécifier l'accès au PSE.
Par exemple, pour autoriser l'accès au PSE à un utilisateur spécifique dans un domaine spécifique,
saisissez :
sapgenpse seclogin -p SBOE.pse -O <domain\user>
7.5.6.3.5 Pour configurer les paramètres SNC d'authentification SAP
Lorsque vous avez configuré l'accès au PSE, vous devez configurer les paramètres d'authentification
SAP dans la CMC (Central Management Console).
1. Accédez à la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur le lien SAP.
Les paramètres des systèmes d'autorisation s'affichent.
3. Cliquez sur l'onglet Paramètres SNC de la page d'authentification SAP.
4. Sélectionnez le système d'autorisation approprié dans la liste Nom de système logique.
5. Sélectionnez Activer la communication réseau sécurisée (SNC) sous Paramètres de base.
6. Indiquez le chemin d'accès aux paramètres de la bibliothèque SNC dans le champ Chemin de la
bibliothèque SNC.
Remarque :
Cette étape est obligatoire même si la bibliothèque est déjà définie dans la variable d'environnement
SNC_LIB.
7. Sélectionnez un niveau de protection dans le champ Qualité de la protection.
Par exemple, sélectionnez Authentification.
Remarque :
Vérifiez que vous ne dépassez pas le niveau de protection configuré sur le système SAP. Le niveau
de protection est personnalisable et déterminé par les besoins de votre entreprise et les fonctions
de sa bibliothèque SNC.
314
2011-05-06
Authentification
8. Saisissez le nom SNC du système SAP sous Paramètres d'authentification mutuelle.
Le format du nom SNC dépend de la bibliothèque SNC. Si vous utilisez SAP Cryptographic Library,
la recommandation concernant le nom distinctif consiste à suivre les conventions d'attribution de
noms LDAP. Ce nom doit comporter le préfixe "p:".
9. Vérifiez que le nom SNC des références de connexion d'après lesquelles les serveurs de la plateforme
de BI s'exécutent figure dans le champ Nom SNC du système Enterprise.
Remarque :
Si plusieurs noms SNC sont configurés, ce champ doit rester vide.
10. Indiquez le DN du système SAP et de PSE de la plateforme de BI.
7.5.6.3.6 Utilisation de groupes de serveurs
Si la connexion aux serveurs de traitement (Crystal Reports ou Web Intelligence) n'a pas été effectuée
avec des références autorisant l'accès au PSE, vous devez créer un groupe de serveurs spécifique ne
contenant que ces serveurs ainsi que les serveurs requis de prise en charge. Pour obtenir des
informations et des descriptions supplémentaires relatives aux serveurs de la plateforme de BI, voir le
chapitre “Architecture”.
Il existe trois options pour la configuration des serveurs de traitement du contenu SAP :
1. Conservez un seul SIA, comprenant tous les serveurs de la plateforme de BI auxquels la connexion
a été effectuée avec des références ayant accès au PSE. Cette option est la plus simple et ne
nécessite pas la création de groupes de serveurs. Donnant accès au PSE à un grand nombre de
serveurs, cette option est également celle offrant le niveau de sécurité le plus faible.
2. Créez un deuxième SIA ayant accès au PSE et ajoutez-lui les serveurs de traitement Crystal Reports
ou Interactive. Supprimez les serveurs dupliqués du SIA d'origine. La création de groupes de serveurs
n'est pas nécessaire, mais le nombre de serveurs ayant accès au PSE est inférieur à celui de la
première option.
3. Créez un SIA destiné exclusivement à SAP et ayant accès au PSE. Ajoutez-lui les serveurs de
traitement Crystal Report ou Web Intelligence. Cette option prévoit que seul le contenu SAP doit
être exécuté sur ces serveurs et surtout que le contenu SAP ne doit être exécuté que sur ces
serveurs. Le contenu devant être dirigé vers certains serveurs, vous devrez créer des groupes de
serveurs pour le SIA.
Instructions sur l'utilisation d'un groupe de serveurs
Le groupe de serveurs doit faire référence au SIA utilisé exclusivement pour le traitement du contenu
SAP. Il doit en outre faire référence aux serveurs suivants :
• serveurs Adaptive Server
• serveurs Publication Server
• serveurs Destination Job Server
Tout le contenu SAP, tous les documents Web Intelligence et tous les rapports Crystal doivent être
associés le plus strictement possible au groupe de serveurs, c'est-à-dire qu'ils doivent être exécutés
sur des serveurs du groupe. Une fois cette association effectuée à niveau d'objet, le paramètre de
groupe de serveurs doit être propagé aux paramètres pour la planification directe et pour les publications.
315
2011-05-06
Authentification
Afin d'éviter le traitement de tout autre contenu (non SAP) sur les serveurs de traitement spécifiques
à SAP, vous devez créer un autre groupe de serveurs comprenant tous les serveurs sous le SIA
d'origine. Il est recommandé de configurer une association stricte entre ce contenu et le groupe de
serveurs non SAP.
7.5.6.4 Configuration de publications multipassage
Dépannage des publications multipassage
Si vous rencontrez des problèmes avec les publications multipassage, activez la fonction de traces
pour le pilote Crystal Reports (CR) ou Multidimensional Data Access (MDA) et recherchez la chaîne
de connexion utilisée pour chaque tâche ou destinataire. Ces chaînes de connexion ont l'aspect suivant :
SAP: Successfully logged on to SAP server.
Logon handle: 1. Logon string: CLIENT=800 LANG=en
ASHOST="vanrdw2k107.sap.crystald.net" SYSNR=00 SNC_MODE=1 SNC_QOP=1
SNC_LIB="C:\WINDOWS\System32\sapcrypto.dll"
SNC_PARTNERNAME="p:CN=R21Again, OU=PG, O=BOBJ, C=CA" EXTIDDATA=HENRIKRPT3 EXTIDTYPE=UN
La chaîne de connexion doit avoir la valeur EXTIDTYPE=UN (pour le nom d'utilisateur) appropriée et
EXTIDDATA doit être le nom d'utilisateur SAP du destinataire. Dans cet exemple, la tentative de
connexion a réussi.
7.5.6.5 Workflow d'intégration à la communication réseau sécurisée (SNC)
La plateforme de BI prend en charge les environnements qui implémentent la communication réseau
sécurisée (SNC) pour l'authentification et le cryptage des données entre les composants SAP. Si vous
avez déployé la bibliothèque cryptographique SAP (ou un autre produit de sécurité externe utilisant
l'interface SNC), vous devez configurer certaines valeurs supplémentaires pour intégrer efficacement
la plateforme de BI à votre environnement sécurisé.
Pour configurer la plateforme de BI de façon à utiliser votre communication réseau sécurisée, vous
devez exécuter les tâches suivantes :
1. Configurez les serveurs de la plateforme de BI de manière à ce qu'ils démarrent et s'exécutent sous
un compte utilisateur adéquat.
2. Configurez le système SAP de manière à ce qu'il sécurise le système de votre plateforme de BI.
3. Configurez les paramètres SNC dans le lien SNC de la CMC (Central Management Console).
4. Importez les utilisateurs et les rôles SAP dans la plateforme de BI.
Rubriques associées
• Importation de rôles SAP
316
2011-05-06
Authentification
• Configuration de SAP pour une sécurité côté serveur
• Configuration de la plateforme de Business Intelligence pour une sécurité côté serveur
7.5.6.6 Configuration des paramètres SNC dans la Central Management Console
Pour pouvoir configurer les paramètres SNC, vous devez ajouter un nouveau système d'autorisation
dans la plateforme de BI. De plus, vous devez copier le fichier de la bibliothèque SNC dans un répertoire
connu et créer une variable d'environnement RFC_LIB pointant sur ce fichier.
1. Cliquez sur l'onglet Paramètres SNC de la page d'authentification SAP.
2. Sélectionnez le système d'autorisation approprié dans la liste Nom de système logique.
3. Sélectionnez Activer la communication réseau sécurisée (SNC) sous Paramètres de base.
4. Indiquez le chemin d'accès aux paramètres de la bibliothèque SNC dans le champ Chemin de la
bibliothèque SNC.
Remarque :
Le serveur d'applications et le CMS doivent être sous le même type de système d'exploitation et
avoir le même chemin d'accès à la bibliothèque crypto.
5. Sélectionnez un niveau de protection dans le champ Qualité de la protection.
Par exemple, sélectionnez Authentification.
Remarque :
Le niveau de protection est personnalisable et déterminé par les besoins de votre entreprise et les
fonctions de sa bibliothèque SNC.
6. Saisissez le nom SNC du système SAP sous Paramètres d'authentification mutuelle.
Le format du nom SNC dépend de la bibliothèque SNC. Si vous utilisez SAP Cryptographic Library,
la recommandation concernant le nom distinctif consiste à suivre les conventions d'attribution de
noms LDAP. Ce nom doit comporter le préfixe "p:".
7. Vérifiez que le nom SNC des références de connexion d'après lesquelles les serveurs de la plateforme
de BI s'exécutent figure dans le champ Nom SNC du système Enterprise.
Remarque :
Dans les cas où plusieurs noms SNC sont configurés, ce champ doit rester vide.
8. Cliquez sur Mettre à jour.
9. Cliquez sur l'onglet Systèmes d'autorisation de la page d'authentification SAP.
10. Un champ Nom SNC apparaît maintenant sous le champ Langue.
11. Dans le champ facultatif Nom SNC, saisissez le nom SNC que vous avez configuré sur le serveur
SAP BW. Ce nom doit être celui qui a été utilisé pour configurer le système SAP afin qu'il sécurise
la plateforme de BI.
317
2011-05-06
Authentification
Rubriques associées
• Connexion aux systèmes d'autorisation de SAP
7.5.6.7 Pour associer l'utilisateur d'autorisation à un nom de SNC
1. Connectez-vous à votre système SAP BW, puis exécutez la transaction SU01.
L'écran "Maintenance des utilisateurs : Ecran initial" s'ouvre.
2. Dans le champ Utilisateur, saisissez le nom du compte SAP désigné comme utilisateur d'autorisation,
puis cliquez sur Modifier dans la barre d'outils.
L'écran Gérer utilisateur s'ouvre.
3. Cliquez sur l'onglet SNC.
4. Dans le champ Nom SNC, saisissez COMPTE UTILISATEUR SNC, comme à l'étape 4.
5. Cliquez sur Enregistrer.
7.5.6.8 Pour ajouter un ID système à la liste des contrôles d'accès à SNC
1. Connectez-vous à votre système SAP BW, puis exécutez la transaction SNC0.
L'écran de changement de vue "SNC : liste de contrôle d'accès (ACL) pour les systèmes :
présentation" s'ouvre.
2. Cliquez sur New Entries (Nouvelles entrées) dans la barre d'outils.
L'écran "Nouvelles entrées : Détails des entrées ajoutées" s'affiche.
3. Saisissez le nom de votre ordinateur de la plateforme de BI dans le champ ID système.
4. Saisissez p:<NOM UTILISATEUR SNC> dans le champ Nom d'utilisateur SNC, où NOM UTILI
SATEUR SNC représente le compte que vous avez utilisé lors de la configuration des serveurs de
la plateforme de BI.
Remarque :
Si votre fournisseur SNC est gssapi32.dll, le nom d'utilisateur SNC doit être saisi en majuscules.
Vous devez inclure le nom de domaine lors de la spécification du compte utilisateur. Par exemple :
domaine\nomutilisateur
5. Sélectionnez Entrée pour RFC activée et Entrée pour ID externe activée.
6. Désactivez toutes les autres options, puis cliquez sur Enregistrer.
318
2011-05-06
Authentification
7.5.7 Configuration de la connexion unique au système SAP
Pour activer la connexion unique au système SAP, vous devez créer un fichier de stockage de clés et
un certificat correspondant. Utilisez les lignes de commande du programme keytool pour générer le
fichier et le certificat. Le programme keytool est installé par défaut dans le répertoire sdk/bin de chaque
plateforme.
Le certificat doit être ajouté au système SAP ABAP BW et à la plateforme de BI à l'aide de la CMC.
Remarque :
Le plug-in d'authentification SAP doit être configuré pour pouvoir paramétrer la connexion unique à la
base de données SAP.
7.5.7.1 Génération du fichier de stockage de clés
Le programme PKCS12Tool permet de générer les fichiers de stockage de clés et les certificats requis
pour configurer la connexion unique à la base de données SAP. Le tableau suivant répertorie les
emplacements par défaut de PKCS12Tool.jar pour chaque plateforme prise en charge :
Plateforme
Emplacement par défaut
Windows
<REPINSTALL>\SAP BusinessObjects
Enterprise XI 4.0\java\lib
Unix
sap_bobj/enterprise_xi40/java/lib
1. Lancez une invite de commande et accédez au répertoire où se trouve le programme PKCS12Tool.
2. Pour générer le fichier de stockage de clés avec les paramètres par défaut, exécutez la commande
suivante :
java -jar PKCS12Tool.jar
Les fichiers cert.der et keystore.p12 sont générés dans le même répertoire. Les fichiers
contiennent les valeurs par défaut suivantes :
319
2011-05-06
Authentification
Paramètre
Par défaut
-keystore
keystore.p12
-alias
myalias
-storepass
123456
-dname
CN=CA
-validity
365
-cert
cert.der
Conseil :
Pour remplacer les valeurs par défaut, exécutez l'outil avec le paramètre -?. Le message suivant
s'affiche :
Usage: PKCS12Tool <options>
-keystore <filename(keystore.p12)>
-alias <key entry alias(myalias)>
-storepass <keystore password(123456)>
-dname <certificate subject DN(CN=CA)>
-validity <number of days(365)>
-cert <filename (cert.der)>
(No certificate is generated when importing a keystore)
-disablefips
-importkeystore <filename>
Vous pouvez utiliser les paramètres pour remplacer les valeurs par défaut.
7.5.7.2 Exportation du certificat de clé publique
Vous devez créer et exporter un certificat pour le fichier de stockage de clés.
1. Lancez une invite de commande et accédez au répertoire où se trouve le programme keytool
2. Pour exporter un certificat de clé pour le fichier de stockage de clés, utilisez la commande suivante :
keytool -exportcert -keystore <keystore> -storetype pkcs12 -file <filename>
-alias <alias>
Remplacez <fichier de stockage de clés> par le nom du fichier de stockage de clés.
Remplacez <nom de fichier> par le nom du certificat.
Remplacez <alias> par l'alias utilisé pour créer le fichier de stockage de clés.
3. Quand vous y êtes invité, saisissez le mot de passe que vous avez fourni pour le fichier de stockage
de clés.
Vous avez alors un fichier de stockage de clés et un certificat dans le répertoire où se trouve le
programme keytool.
320
2011-05-06
Authentification
7.5.7.3 Importation du fichier du certificat dans le système ABAP SAP cible
Il vous faut un fichier de stockage de clés et un certificat associé pour votre déploiement de la plateforme
de BI afin d'effectuer la tâche suivante.
Remarque :
Cette action ne peut s'effectuer que sur un système ABAP SAP.
1. Connectez-vous au système SAP ABAP BW à l'aide de l'interface utilisateur SAP.
Remarque :
Vous devez vous connecter en tant qu'utilisateur possédant des droits d'administrateur.
2. Exécutez STRUSTSSO2 dans l'interface utilisateur SAP.
Le système est prêt pour l'importation du fichier de certificat.
3. Accédez à l'onglet Certificat.
4. Assurez-vous que la case Utiliser l'option binaire est cochée.
5. Cliquez sur le bouton du chemin du fichier pour accéder à l'emplacement où se trouve le fichier du
certificat.
6. Cliquez sur la coche verte.
Le fichier de certificat est téléchargé.
7. Cliquez sur Ajouter à la liste de certificats.
Le certificat est affiché dans la liste de certificats.
8. Cliquez sur Ajouter à ACL et spécifiez un ID système et un client.
L'ID système doit être celui utilisé pour identifier le système de la plateforme de BI dans SAP BW.
Le certificat est ajouté à la liste de contrôle d'accès (ACL). Le client doit être spécifié comme suit :
“000”.
9. Enregistrez vos paramètres et quittez.
Les modifications sont enregistrées dans le système SAP.
7.5.7.4 Configuration de la connexion unique à la base de données SAP dans la
CMC
Pour appliquer la procédure suivante, vous devez accéder au plug-in de sécurité SAP à l'aide d'un
compte administrateur.
1. Accédez à la zone de gestion "Authentification" de la CMC.
2. Cliquez deux fois sur le lien SAP, puis cliquez sur l'onglet Options.
321
2011-05-06
Authentification
Si aucun certificat n'a été importé, le message suivant doit s'afficher dans la section "Service de
connexion unique SAP" :
Aucun fichier de stockage de clés n'a été téléchargé
3. Spécifiez l'ID système de votre système de la plateforme de BI dans le champ prévu.
Il doit être identique à la valeur utilisée pour importer le certificat dans le système ABAP SAP cible.
4. Cliquez sur le bouton Parcourir pour localiser le fichier de stockage de clés.
5. Fournissez les détails obligatoires suivants :
Champ
Informations requises
"Mot de passe du sto- Fournissez le mot de passe requis pour accéder au fichier de stockage de
ckage de clés"
clés. Ce mot de passe a été spécifié lors de la création du fichier de stockage de clés.
"Mot de passe de la
clé privée"
Fournissez le mot de passe requis pour accéder au certificat correspondant
au fichier de stockage de clés. Ce mot de passe a été spécifié lors de la
création du certificat du fichier de stockage de clés.
"Alias de clé privée"
Fournissez l'alias requis pour accéder au fichier de stockage de clés. Cet
alias a été spécifié lors de la création du fichier de stockage de clés.
6. Cliquez sur Mettre à jour pour soumettre vos paramètres.
Une fois que les paramètres ont bien été soumis, le message suivant s'affiche sous le champ ID
système :
Le fichier de stockage de clés a été téléchargé
7.5.7.5 Ajout du service de jetons de sécurité au serveur de traitement adaptatif
Dans un environnement en cluster, les services de jetons de sécurité sont ajoutés séparément à chaque
serveur de traitement adaptatif.
1. Accédez à la zone de gestion "Serveurs" de la CMC.
2. Cliquez deux fois sur Services principaux.
La liste des serveurs dépendant des "Services principaux" s'affiche.
3. Cliquez avec le bouton droit sur le serveur de traitement adaptatif et sélectionnez Arrêter.
Ne continuez pas tant que le statut du serveur n'est pas marqué comme "Arrêté".
4. Cliquez avec le bouton droit sur le serveur de traitement adaptatif et choisissez Sélectionner des
services.
La boîte de dialogue "Sélectionner des services" s'affiche.
5. Déplacez les services de jetons de sécurité de la liste de Services disponibles vers la liste "Services"
placée à droite.
Utilisez le bouton Ajouter à la sélection pour déplacer la sélection.
322
2011-05-06
Authentification
6. Cliquez sur OK.
7. Redémarrez le serveur de traitement adaptatif.
7.5.8 Configuration de la connexion unique pour SAP Crystal Reports et SAP
NetWeaver
Par défaut, la plateforme de BI est configurée pour permettre aux utilisateurs de SAP Crystal Reports
d'accéder aux données SAP à l'aide de la connexion unique.
7.5.8.1 Pour désactiver la connexion unique pour SAP NetWeaver et SAP Crystal
Reports
1. Dans la CMC (Central Management Console), cliquez sur Applications.
2. Cliquez deux fois sur Configuration de Crystal Reports.
3. Cliquez sur Options de connexion unique.
4. Sélectionnez l'un des deux pilotes suivants :
Pilote
Nom affiché
Pilote du magasin de données opérationnelles
crdb_ods
pilote Open SQL
crdb_opensql
Pilote InfoSet
crdb_infoset
pilote BW MDX Query
crdb_bwmdx
5. Cliquez sur Supprimer.
6. Cliquez sur Enregistrer et fermer.
7. Redémarrez SAP Crystal Reports.
7.5.8.2 Pour réactiver la connexion unique pour SAP NetWeaver et SAP Crystal
Reports
323
2011-05-06
Authentification
Pour réactiver la connexion unique pour SAP NetWeaver (ABAP) et SAP Crystal Reports, procédez
comme suit.
1. Dans la CMC (Central Management Console), cliquez sur Applications.
2. Cliquez deux fois sur Configuration de Crystal Reports.
3. Cliquez sur Options de connexion unique.
4. Sous "Utiliser le contexte de connexion unique pour se connecter à la base de données", saisissez :
crdb_ods
Pour activer le pilote ODS
crdb_opensql
Pour activer le pilote Open SQL
crdb_bwmdx
Pour activer le pilote SAP BW MDX Query
crdb_infoset
Pour activer le pilote InfoSet
5. Cliquez sur Ajouter.
6. Cliquez sur Enregistrer et fermer.
7. Redémarrez SAP Crystal Reports.
7.6 Authentification PeopleSoft
7.6.1 Présentation
Pour utiliser vos données PeopleSoft Enterprise avec la plateforme de BI, vous devez fournir au
programme les informations sur votre déploiement. Ces informations permettent à la plateforme de BI
d'authentifier les utilisateurs afin qu'ils puissent utiliser leurs références de connexion PeopleSoft pour
se connecter au programme.
7.6.2 Activation de l'authentification PeopleSoft Enterprise
Pour que les informations de PeopleSoft Enterprise puissent être utilisées par la plateforme de BI, la
plateforme de BI a besoin d'informations sur le mode d'authentification dans votre système PeopleSoft
Enterprise.
324
2011-05-06
Authentification
7.6.2.1 Pour activer l'authentification PeopleSoft Enterprise dans la plateforme
de BI
1. Connectez-vous en tant qu'administrateur à la Central Management Console.
2. Dans la zone Gérer, cliquez sur Authentification.
3. Cliquez deux fois sur PeopleSoft Enterprise.
La page "PeopleSoft Enterprise" s'affiche. Elle comporte quatre onglets : Options, Domaines,
Rôles et Mise à jour de l'utilisateur.
4. Dans l'onglet Options, cochez la case Activer l'authentification PeopleSoft Enterprise.
5. Effectuez les modifications appropriées dans les champs Nouvel alias, Options de mise à jour et
Options de nouvel utilisateur en fonction de votre déploiement de plateforme de BI. Cliquez sur
Mettre à jour pour enregistrer vos modifications avant de passer à l'onglet Systèmes.
6. Cliquez sur l'onglet Servers (Serveurs).
7. Dans la zone "Utilisateur système PeopleSoft Enterprise", saisissez un nom d'utilisateur et un mot
de passe de base de données qui seront utilisés par la plateforme de BI pour se connecter à votre
base de données PeopleSoft Enterprise.
8. Dans la zone "Domaine PeopleSoft Enterprise", saisissez le nom de domaine et l'adresse QAS
utilisés pour se connecter à votre environnement PeopleSoft Enterprise, puis cliquez sur Ajouter.
Remarque :
Si vous disposez de plusieurs domaines PeopleSoft, répétez cette étape pour chaque domaine
supplémentaire auquel vous souhaitez accéder. Le premier domaine que vous saisissez deviendra
le domaine par défaut.
9. Cliquez sur Mettre à jour pour enregistrer les modifications.
7.6.3 Mappage de rôles PeopleSoft à la plateforme de BI
La plateforme de BI crée automatiquement un groupe pour chaque rôle PeopleSoft que vous mappez.
De même, le programme crée des alias pour représenter les membres des rôles PeopleSoft mappés.
Vous pouvez créer un compte utilisateur pour chaque alias créé.
Cependant, si vous exécutez plusieurs systèmes et que vos utilisateurs possèdent des comptes sur
plusieurs systèmes, vous pouvez affecter chaque utilisateur à un alias avec le même nom avant de
créer les comptes sur la plateforme de BI.
Cela permet de réduire le nombre de comptes créés pour un même utilisateur sur la plateforme de BI.
Par exemple, si vous exécutez PeopleSoft HR 8.3 et PeopleSoft Financials 8.4, et que 30 de vos
utilisateurs ont accès aux deux systèmes, 30 comptes seulement sont créés pour ces utilisateurs. Si
325
2011-05-06
Authentification
vous choisissez de ne pas affecter chaque utilisateur à un alias avec le même nom, 60 comptes sont
créés pour les 30 utilisateurs sur la plateforme de BI.
Cependant, si vous exécutez plusieurs systèmes et que les noms d'utilisateurs identiques créent des
conflits, vous devez créer un compte de membre pour chaque alias créé.
Par exemple, si vous exécutez PeopleSoft HR 8.3 avec un compte utilisateur pour Russell Aquino (nom
d'utilisateur "raquino") et que vous exécutez PeopleSoft Financials 8.4 avec un compte utilisateur pour
Raoul Aquino (nom d'utilisateur "raquino"), vous devez créer un compte distinct pour l'alias de chaque
utilisateur. Sinon, les deux utilisateurs sont ajoutés au même compte de la plateforme de BI. Ils pourront
se connecter à la plateforme de BI avec leurs propres références de connexion PeopleSoft et auront
accès aux données des deux systèmes PeopleSoft.
7.6.3.1 Pour mapper un rôle PeopleSoft à la plateforme de BI
1. Connectez-vous en tant qu'administrateur à la Central Management Console.
2. Cliquez sur Authentification.
3. Cliquez deux fois sur PeopleSoft Enterprise.
4. Dans l'onglet Rôles, dans la zone Domaines PeopleSoft Enterprise, sélectionnez le domaine associé
au rôle à mapper à la plateforme de BI.
5. Utilisez l'une des options suivantes pour sélectionner les rôles que vous souhaitez mapper :
• Dans la zone Rôles PeopleSoft Enterprise, dans la zone Rechercher des rôles, saisissez le rôle
que vous souhaitez localiser et mapper à la plateforme de BI, puis cliquez sur >.
• Dans la liste "Rôles disponibles", sélectionnez le rôle à mapper à la plateforme de BI, puis cliquez
sur >.
Remarque :
•
•
Lorsque vous recherchez un utilisateur ou un rôle particulier, vous pouvez utiliser le caractère
générique %. Par exemple, pour rechercher tous les rôles commençant par "A", saisissez A%.
La recherche respecte également la casse.
Si vous voulez mapper un rôle d'un autre domaine, vous devez sélectionner le nouveau domaine
dans la liste des domaines disponibles pour mettre en correspondance un rôle d'un autre domaine.
6. Pour exécuter la synchronisation des groupes et des utilisateurs entre la plateforme de BI et
PeopleSoft, cochez la case Forcer la synchronisation utilisateur. Pour supprimer de la plateforme
de BI les groupes PeopleSoft déjà importés, ne cochez pas la case Forcer la synchronisation
utilisateur.
7. Dans la zone "Options de nouvel alias", sélectionnez l'une des options suivantes :
• Affecter chaque alias ajouté à un compte portant le même nom
Sélectionnez cette option si vous exécutez plusieurs systèmes PeopleSoft Enterprise avec des
utilisateurs possédant des comptes sur plusieurs systèmes (et si deux utilisateurs ne possèdent
pas des noms identiques sur les différents systèmes).
•
326
Créer un compte pour chaque alias ajouté
2011-05-06
Authentification
Sélectionnez cette option si vous exécutez un seul système PeopleSoft Enterprise, si la majorité
de vos utilisateurs possèdent des comptes sur un seul de vos systèmes ou si des noms
d'utilisateurs identiques créent des conflits sur deux de vos systèmes ou plus.
8. Dans la zone Options de mise à jour, sélectionnez l'une des options suivantes :
•
Les nouveaux alias seront ajoutés et les nouveaux utilisateurs seront créés
Sélectionnez cette option pour créer un alias pour chaque utilisateur mappé à la plateforme de
BI. De nouveaux comptes sont ajoutés pour les utilisateurs dépourvus de comptes de la plateforme
de BI ou pour tous les utilisateurs si vous avez sélectionné l'option Créer un nouveau compte
pour chaque alias ajouté.
•
Aucun nouvel alias ne sera ajouté et les nouveaux utilisateurs ne seront pas créés
Sélectionnez cette option si le rôle que vous souhaitez mapper contient plusieurs utilisateurs
dont un petit nombre utilisera la plateforme de BI. La plateforme ne crée pas automatiquement
d'alias ni de comptes pour les utilisateurs. A la place, elle crée des alias (et des comptes, au
besoin) uniquement pour les utilisateurs lorsqu'ils se connectent pour la première fois à la
plateforme de BI. Il s'agit de l'option par défaut.
9. Dans la zone Options de nouvel utilisateur, indiquez le nombre d'utilisateurs créés.
Si votre licence de plateforme SAP BusinessObjects de Business Intelligence est basée sur les
rôles utilisateur, sélectionnez l'une des options suivantes :
• Les nouveaux utilisateurs sont créés en tant que visualiseur BI
Les nouveaux comptes utilisateur sont configurés sous le rôle Visualiseur BI. L'accès aux
applications de la plateforme de BI pour tous les comptes ayant le rôle Visualiseur BI est défini
dans le contrat de licence. L'accès utilisateur est limité aux workflows d'application définis pour
le rôle Visualiseur BI. Les droits d'accès sont généralement limités à l'affichage des documents
Business Intelligence. Ce rôle convient généralement aux utilisateurs qui utilisent du contenu via
les applications de la plateforme de BI.
•
Les nouveaux utilisateurs sont créés en tant qu'analyste BI Les nouveaux comptes utilisateur
sont configurés sous le rôle Analyste BI. L'accès aux applications de la plateforme de BI pour
tous les comptes ayant le rôle Analyste BI est défini dans le contrat de licence. Les utilisateurs
peuvent accéder à tous les workflows d'application définis pour le rôle Analyste BI. Les droits
d'accès incluent l'affichage et la modification des documents Business Intelligence. Ce rôle
convient généralement aux utilisateurs qui créent et modifient le contenu pour les applications
de la plateforme de BI.
Si votre licence de plateforme SAP BusinessObjects de Business Intelligence n'est pas basée sur
les rôles utilisateur, sélectionnez l'une des options suivantes :
•
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs nommés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences Utilisateurs
nommés. Les licences Utilisateur nommé sont associées à des utilisateurs particuliers qui peuvent
accéder au système en saisissant un nom d'utilisateur et un mot de passe. Ainsi, les utilisateurs
nommés peuvent accéder au système, quel que soit le nombre de personnes connectées. Il faut
qu'une licence Utilisateurs nommés soit disponible pour chaque compte d'utilisateur créé à l'aide
de cette option.
•
327
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs simultanés
2011-05-06
Authentification
Les nouveaux comptes utilisateur sont configurés de manière à utiliser des licences d'utilisateurs
simultanés. Les licences d'accès simultanés spécifient le nombre d'utilisateurs pouvant se
connecter en même temps à la plateforme de BI. Cette licence est tout à fait adaptée dans la
mesure où elle peut accepter de nombreux utilisateurs. Par exemple, suivant la fréquence et la
durée des connexions des utilisateurs à la plateforme de BI, une licence pour 100 utilisateurs
simultanés peut prendre en charge 250, 500 ou 700 utilisateurs.
Les rôles que vous avez sélectionnés apparaissent maintenant sous forme de groupes sur la
plateforme de BI.
7.6.3.2 Remarques sur le remappage
Si vous ajoutez des utilisateurs à un rôle déjà mappé à la plateforme de BI, vous devrez remapper le
rôle pour ajouter les utilisateurs à la plateforme de BI. Lorsque vous remappez le rôle, l'option de
mappage des utilisateurs en tant qu'utilisateurs nommés ou simultanés affecte uniquement les nouveaux
utilisateurs que vous avez ajoutés au rôle.
Par exemple, vous mappez d'abord un rôle à la plateforme de BI en sélectionnant l'option "Les nouveaux
utilisateurs sont créés en tant qu'utilisateurs nommés". Ensuite, vous ajoutez des utilisateurs au même
rôle et remappez le rôle en sélectionnant l'option "Les nouveaux utilisateurs sont créés en tant
qu'utilisateurs simultanés".
Dans ce cas, seuls les nouveaux utilisateurs dans le rôle sont mappés à la plateforme de BI en tant
qu'utilisateurs simultanés ; les utilisateurs qui étaient déjà mappés demeurent des utilisateurs nommés.
La même condition s'applique si vous mappez d'abord les utilisateurs en tant qu'utilisateurs simultanés
et que vous modifiez ensuite les paramètres pour remapper les nouveaux utilisateurs en tant
qu'utilisateurs nommés.
7.6.3.3 Pour démapper un rôle
1. Connectez-vous en tant qu'administrateur à la Central Management Console.
2. Cliquez sur Authentification.
3. Cliquez sur PeopleSoft Enterprise.
4. Cliquez sur Rôles.
5. Sélectionnez le rôle à supprimer, puis cliquez sur <.
6. Cliquez sur Mettre à jour.
Les membres de ce rôle ne pourront plus accéder à la plateforme de BI, à moins de posséder
d'autres comptes ou alias.
328
2011-05-06
Authentification
Remarque :
Vous pouvez également supprimer des comptes individuels ou retirer des utilisateurs des rôles
avant de les mapper à la plateforme de BI afin d'empêcher certains utilisateurs de se connecter.
7.6.4 Planification de mises à jour utilisateur
Pour vous assurer que les modifications des données utilisateur de votre système ERP sont correctement
reflétées dans les données utilisateur de votre plateforme de BI, vous pouvez planifier des mises à jour
d'utilisateurs régulières. Ces mises à jour synchronisent automatiquement les utilisateurs d'ERP et de
la plateforme de BI selon les paramètres de mappage configurés dans la CMC (Central Management
Console).
Il existe deux options pour l'exécution et la planification des mises à jour de rôles importés :
•
•
Mettre à jour les rôles uniquement : cette option permet de mettre à jour uniquement les liens entre
les rôles actuellement mappés qui ont été importés dans la plateforme de BI. Utilisez cette option
si vous avez l'intention d'exécuter des mises à jour fréquentes et que vous êtes préoccupé par
l'utilisation des ressources système. Aucun nouveau compte utilisateur ne sera créé si vous effectuez
uniquement une mise à jour des rôles.
Mettre à jour les rôles et les alias : cette option permet non seulement de mettre à jour les liens
entre les rôles, mais aussi de créer des comptes utilisateur dans la plateforme de BI pour les
nouveaux alias utilisateur ajoutés au système ERP.
Remarque :
Si vous n'avez pas spécifié de créer automatiquement des alias utilisateur pour les mises à jour lors
de l'activation de l'authentification, aucun compte ne sera créé pour les nouveaux alias.
7.6.4.1 Pour planifier des mises à jour utilisateur
Après avoir mappé les rôles dans la plateforme de BI, vous devez indiquer comment le système doit
les mettre à jour.
1. Cliquez sur l'onglet Mise à jour de l'utilisateur.
2. Cliquez sur Planifier dans les sections "Mettre à jour les rôles uniquement" ou "Mettre à jour les
rôles et les alias".
Conseil :
Pour exécuter une mise à jour immédiate, cliquez sur Mettre à jour maintenant.
Conseil :
Utilisez l'option "Mettre à jour les rôles uniquement" si vous souhaitez effectuer des mises à jour
fréquentes et que vous êtes préoccupé par les ressources système. Le système met plus de temps
à mettre à jour à la fois les rôles et les alias.
329
2011-05-06
Authentification
La boîte de dialogue "Périodicité" s'affiche.
3. Sélectionnez une option dans la liste "Exécuter l'objet" et indiquez toutes les informations de
planification demandées.
Lorsque vous planifiez une mise à jour, vous pouvez choisir une des périodicités récapitulées dans
le tableau suivant :
Périodicité
Description
Toutes les heures
La mise à jour s'exécutera toutes les heures. Vous pouvez
spécifier l'heure à laquelle l'exécution démarrera, de même que
sa date de début et sa date de fin.
Tous les jours
La mise à jour s'exécutera tous les jours ou tous les N jours.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Toutes les semaines
La mise à jour s'exécutera toutes les semaines. Elle peut être
exécutée une ou plusieurs fois par semaine. Vous pouvez
préciser les jours et l'heure auxquels l'exécution doit avoir lieu,
ainsi qu'une date de début et une date de fin.
Tous les mois
La mise à jour s'exécutera tous les mois ou tous les N mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Nième jour du mois
La mise à jour sera exécutée un jour spécifique du mois. Vous
pouvez préciser le jour du mois et l'heure auxquels l'exécution
aura lieu, ainsi que sa date de début et sa date de fin.
1er lundi du mois
La mise à jour sera exécutée le premier lundi de chaque mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Dernier jour du mois
La mise à jour sera exécutée le dernier jour de chaque mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Jour X de la Nième semaine du
mois
La mise à jour sera exécutée le jour indiqué de la semaine indiquée du mois. Vous pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que sa date de début et sa date de
fin.
Calendrier
La mise à jour s'exécutera aux dates spécifiées dans un calendrier précédemment créé.
4. Cliquez sur Planifier une fois les informations de planification fournies.
La date de la prochaine mise à jour de rôles planifiée est affichée dans l'onglet Mise à jour de
l'utilisateur.
330
2011-05-06
Authentification
Remarque :
Vous pouvez annuler à tout moment la prochaine mise à jour planifiée en cliquant sur Annuler les
mises à jour planifiées dans les sections "Mettre à jour les rôles uniquement" ou "Mettre à jour les
rôles et les alias".
7.6.5 Utilisation de la passerelle de sécurité PeopleSoft
La fonction Passerelle de sécurité de la plateforme de BI permet d'importer les paramètres de sécurité
PeopleSoft EPM dans la plateforme de BI.
Cette fonction opère dans deux modes :
•
Mode Configuration
En mode Configuration, la passerelle de sécurité fournit une interface qui permet de créer un fichier
réponse. Ce fichier réponse régit le comportement de la passerelle de sécurité en mode Exécution.
•
Mode Exécution
Selon les paramètres que vous définissez dans le fichier réponse, la passerelle de sécurité importe
les paramètres de sécurité des tables de dimensions de PeopleSoft EPM dans les univers de la
plateforme de BI.
7.6.5.1 Importation des paramètres de sécurité
Pour importer les paramètres de sécurité, vous devez effectuer les tâches suivantes en respectant
l'ordre donné :
•
Définissez les objets qui seront gérés par la passerelle de sécurité.
•
Créez un fichier de réponse.
•
Exécutez la passerelle de sécurité.
Pour en savoir plus sur la gestion de la sécurité après avoir importé les paramètres, voir la section
Gestion des paramètres de sécurité.
7.6.5.1.1 Définition d'objets gérés
Avant d'exécuter la passerelle de sécurité, il est important de déterminer les objets gérés par l'application.
La passerelle de sécurité gère un ou plusieurs rôles PeopleSoft, un groupe Plateforme de BI et un ou
plusieurs univers.
•
331
Rôles PeopleSoft gérés
2011-05-06
Authentification
Il s'agit de rôles du système PeopleSoft. Les membres de ces rôles travaillent avec des données
PeopleSoft via PeopleSoft EPM. Vous devez choisir les rôles qui incluent les membres auxquels
vous souhaitez fournir des droits d'accès aux univers gérés dans la plateforme de BI ou pour lesquels
vous souhaitez mettre à jour ces droits.
Les droits d'accès définis pour les membres de ces rôles dépendent de leurs droits dans
PeopleSoft EPM. La passerelle de sécurité importe ces paramètres de sécurité dans la plateforme
de BI.
•
Groupe Plateforme de BI géré
Lorsque vous exécutez la passerelle de sécurité, le programme crée un utilisateur dans la plateforme
de BI pour chaque membre d'un rôle PeopleSoft géré.
Le groupe dans lequel les utilisateurs sont créés est le groupe Plateforme de BI géré. Les membres
de ce groupe sont les utilisateurs dont les droits d'accès aux univers gérés sont gérés par la passerelle
de sécurité. Les utilisateurs étant créés dans un seul groupe, vous pouvez configurer la passerelle
de sécurité de sorte qu'elle ne mette pas à jour les paramètres de sécurité de certains utilisateurs
en supprimant simplement des utilisateurs du groupe Plateforme de BI géré.
Avant d'exécuter la passerelle de sécurité, vous devez choisir dans la plateforme de BI le groupe
dans lequel les utilisateurs seront créés. Si vous spécifiez un groupe qui n'existe pas, la passerelle
de sécurité crée le groupe dans la plateforme de BI.
•
Univers gérés
Les univers gérés sont les univers dans lesquels la passerelle de sécurité importe les paramètres
de sécurité de PeopleSoft EPM. Vous devez choisir, dans les univers stockés dans votre système
de plateforme de BI, ceux qui seront gérés par la passerelle de sécurité. Les membres de rôles
PeopleSoft gérés qui sont également membres du groupe Plateforme de BI géré ne peuvent accéder
à aucune donnée via les univers auxquels ils n'ont pas accès depuis PeopleSoft EPM.
7.6.5.1.2 Pour créer un fichier de réponse
1. Accédez au dossier que vous avez indiqué durant l'installation de la passerelle de sécurité et exécutez
le fichier crpsepmsecuritybridge.bat (sous Windows) et crpsempsecuritybridge.sh
(sous Unix).
Remarque :
Sous Windows, cet emplacement est par défaut C:\Program Files\Business
Objects\BusinessObjects 12.0 Integration Kit for PeopleSoft\epm
La boîte de dialogue Passerelle de sécurité pour PeopleSoft EPM apparaît.
2. Sélectionnez Nouveau pour créer un fichier réponse, ou sélectionnez Ouvrir et cliquez sur Parcourir
pour spécifier le fichier réponse que vous souhaitez modifier. Sélectionnez la langue que vous
souhaitez pour le fichier.
3. Cliquez sur Suivant.
4. Indiquez les emplacements du SDK PeopleSoft EPM et du SDK Plateforme de BI.
332
2011-05-06
Authentification
Remarque :
•
•
Le SDK PeopleSoft EPM se trouve généralement sur le serveur PeopleSoft dans
<PS_HOME>/class/com.peoplesoft.epm.pf.jar.
Le SDK Plateforme de BI se trouve généralement dans C:\Program Files (x86)\SAP
BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\java\lib.
5. Cliquez sur Suivant.
La boîte de dialogue suivante vous invite à fournir des informations relatives à la connexion et au
pilote pour la base de données PeopleSoft.
6. Dans la liste de bases de données, sélectionnez le type de base de données approprié et renseignez
les champs suivants :
Champ
Description
Base de données
Le nom de la base de données PeopleSoft.
Hôte
Le nom du serveur qui héberge la base de données.
Numéro de port
Le numéro de port pour accéder au serveur.
Emplacement de classe
L'emplacement des fichiers de classe pour le
pilote de base de données.
Nom d'utilisateur
Votre nom d'utilisateur.
Mot de passe
Votre mot de passe.
7. Cliquez sur Suivant.
La boîte de dialogue suivante affiche la liste de toutes les classes que la passerelle de sécurité
utilisera pour l'exécution. Si nécessaire, vous pouvez ajouter des classes dans la liste ou en
supprimer.
8. Cliquez sur Suivant.
La boîte de dialogue suivante vous invite à fournir les informations de connexion à la plateforme de
BI.
9. Indiquez les informations appropriées pour les champs suivants :
333
2011-05-06
Authentification
Champ
Description
Serveur
Le nom du serveur sur lequel est situé le CMS
(Central Management Server).
Nom d'utilisateur
Votre nom d'utilisateur.
Mot de passe
Votre mot de passe.
Authentification
Votre type d'authentification.
10. Cliquez sur Suivant.
11. Choisissez un groupe de la plateforme de BI, puis cliquez sur Suivant.
Remarque :
•
•
Le groupe que vous spécifiez dans ce champ correspond à l'emplacement dans lequel la
passerelle de sécurité crée des utilisateurs pour les membres des rôles PeopleSoft gérés.
Si vous spécifiez un groupe qui n'existe pas encore, il sera créé par la passerelle de sécurité.
La boîte de dialogue suivante affiche la liste des rôles du système PeopleSoft.
12. Sélectionnez l'option Importé pour les rôles devant être gérés par la passerelle de sécurité et cliquez
sur Suivant.
Remarque :
La passerelle de sécurité crée un utilisateur dans le groupe Plateforme de BI géré (spécifié à l'étape
précédente) pour chaque membre des rôles que vous sélectionnez.
La boîte de dialogue suivante affiche la liste des univers dans la plateforme de BI.
13. Sélectionnez les univers dans lesquels la passerelle de sécurité doit importer les paramètres de
sécurité et cliquez sur Suivant.
14. Spécifiez un nom pour le fichier journal de la passerelle de sécurité, ainsi que son emplacement
d'enregistrement. Vous pouvez utiliser ce fichier journal pour vérifier si la passerelle de sécurité
importe correctement les paramètres de sécurité de PeopleSoft EPM.
15. Cliquez sur Suivant.
La boîte de dialogue suivante affiche un aperçu du fichier réponse que la passerelle de sécurité
utilisera en mode Exécution.
16. Cliquez sur Enregistrer, puis choisissez l'emplacement où vous souhaitez enregistrer le fichier
réponse.
17. Cliquez sur Suivant.
La création du fichier réponse de la passerelle de sécurité est à présent terminée.
334
2011-05-06
Authentification
18. Cliquez sur Quitter.
Remarque :
Le fichier réponse est un fichier de propriétés Java que vous pouvez également créer et/ou modifier
manuellement. Pour en savoir plus, voir la section “Fichier de réponse PeopleSoft”.
7.6.5.2 Application des paramètres de sécurité
Pour appliquer les paramètres de sécurité, exécutez le fichier crpsepmsecuritybridge.bat (sous
Windows) ou crpsempsecuritybridge.sh (sous Unix) et utilisez le fichier réponse que vous avez créé
en tant qu'argument. (Par exemple, tapez crpsepmsecuritybridge.bat (Windows) ou crpsemp
securitybridge.sh (unix) myresponsefile.properties.)
La passerelle de sécurité est en cours d'exécution. Elle crée des utilisateurs dans la Plateforme de BI
pour les membres des rôles PeopleSoft spécifiés dans le fichier réponse et importe les paramètres de
sécurité de PeopleSoft EPM dans les univers appropriés.
7.6.5.2.1 Remarques sur le mappage
Pendant l'exécution, la passerelle de sécurité crée un utilisateur dans la plateforme de BI pour chaque
membre d'un rôle PeopleSoft géré.
Les utilisateurs sont créés de telle sorte qu'ils n'aient qu'un alias d'authentification Entreprise et des
mots de passe aléatoires leur sont attribués par la plateforme de BI. Les utilisateurs ne peuvent donc
pas se connecter à la plateforme de BI tant que l'administrateur ne réattribue pas manuellement de
nouveaux mots de passe ou qu'il ne mappe pas les rôles à ceux de la plateforme de BI via le plug-in
de sécurité PeopleSoft afin de permettre aux utilisateurs de se connecter à l'aide de leurs références
de connexion PeopleSoft.
7.6.5.3 Gestion des paramètres de sécurité
Vous pouvez gérer les paramètres de sécurité que vous avez appliqués en modifiant les objets gérés
par la passerelle de sécurité.
7.6.5.3.1 Utilisateurs gérés
La passerelle de sécurité gère les utilisateurs en fonction des critères suivants :
335
•
Appartenance ou non de l'utilisateur à un rôle PeopleSoft géré.
•
Appartenance ou non de l'utilisateur au groupe Plateforme de BI géré.
2011-05-06
Authentification
Si vous souhaitez permettre à un utilisateur d'accéder aux données PeopleSoft par l'intermédiaire
d'univers dans la plateforme de BI, assurez-vous que l'utilisateur est un membre, à la fois, d'un rôle
PeopleSoft géré et du groupe Plateforme de BI géré.
•
Pour les membres de rôles PeopleSoft gérés n'ayant pas de comptes dans la plateforme de BI, la
passerelle de sécurité crée des comptes et leur attribue des mots de passe aléatoires. L'administrateur
doit décider s'il réaffecte ou non manuellement de nouveaux mots de passe ou s'il mappe les rôles
avec ceux de la plateforme de BI par l'intermédiaire du plug-in de sécurité PeopleSoft afin de
permettre aux utilisateurs de se connecter à la plateforme de BI.
•
Pour les membres de rôles PeopleSoft gérés qui sont également membres du groupe Plateforme
de BI géré, la passerelle de sécurité met à jour les paramètres de sécurité qui sont appliqués aux
utilisateurs afin qu'ils aient accès aux données appropriées à partir des univers gérés.
Si un membre d'un rôle PeopleSoft géré dispose d'un compte existant dans la plateforme de BI, mais
qu'il n'est pas membre du groupe Plateforme de Business Intelligence géré, la passerelle de sécurité
ne met pas à jour les paramètres de sécurité appliqués à cet utilisateur. En général, cette situation se
produit uniquement lorsque l'administrateur supprime manuellement des comptes utilisateur qui ont
été créés par la passerelle de sécurité à partir du groupe Plateforme de BI géré.
Remarque :
Cette méthode permet de mieux gérer la sécurité : en supprimant des utilisateurs du groupe Plateforme
de BI géré, vous pouvez configurer leurs paramètres de sécurité afin qu'ils soient différents de ceux
qu'ils utilisent dans PeopleSoft.
Inversement, si un membre du groupe Plateforme de BI géré n'est pas membre d'un rôle PeopleSoft
géré, la passerelle de sécurité ne lui permet pas d'accéder aux univers gérés. En général, cette situation
se produit uniquement lorsque les administrateurs PeopleSoft suppriment des utilisateurs ayant
précédemment été mappés à la plateforme de BI par la passerelle de sécurité à partir des rôles
PeopleSoft gérés.
Remarque :
Il s'agit là d'une autre méthode de gestion de la sécurité : en supprimant des utilisateurs des rôles
PeopleSoft gérés, vous faites en sorte que les utilisateurs n'aient pas accès aux données PeopleSoft.
7.6.5.3.2 Univers gérés
La passerelle de sécurité gère des univers via des ensembles de restrictions qui limitent les données
auxquelles les utilisateurs gérés peuvent accéder à partir des univers gérés.
Ces ensembles sont des groupes de restrictions (par exemple, restrictions relatives aux commandes
de requêtes, à la génération du SQL, etc.). La passerelle de sécurité applique et met à jour les restrictions
d'accès à la ligne et aux objets des univers gérés :
•
336
Les restrictions d'accès à la ligne sont appliquées aux tables de dimensions définies dans
PeopleSoft EPM. Ces restrictions sont spécifiques à l'utilisateur et peuvent être configurées de l'une
des façons suivantes :
•
L'utilisateur a accès à toutes les données.
•
L'utilisateur n'a accès à aucune donnée.
2011-05-06
Authentification
•
•
Les utilisateurs ont accès aux données en fonction de leurs droits au niveau de la ligne dans
PeopleSoft, lesquels sont exposés via les tables de jointure de sécurité (SJT, Security Join
Tables) définies dans PeopleSoft EPM.
Les restrictions Accès à l'objet sont appliquées aux objets de type indicateur en fonction des champs
auxquels ces indicateurs ont accès.
Si un indicateur accède à des champs définis comme métriques dans PeopleSoft, l'accès à l'indicateur
est alors autorisé/refusé selon que l'utilisateur peut ou ne peut pas accéder aux métriques référencées
dans PeopleSoft. Si un utilisateur ne peut accéder à aucune métrique, l'accès à l'indicateur est
refusé. Si l'utilisateur peut accéder à toutes les métriques, l'accès à l'indicateur est alors accordé.
En tant qu'administrateur, vous pouvez également restreindre les données auxquelles les utilisateurs
ont accès à partir du système PeopleSoft en limitant le nombre d'univers gérés par la passerelle de
sécurité.
7.6.5.4 Fichier de réponse PeopleSoft
La fonction Passerelle de sécurité de la plateforme de BI fonctionne selon les paramètres que vous
spécifiez dans un fichier réponse.
Généralement, vous générez le fichier réponse à l'aide de l'interface fournie par la passerelle de sécurité
en mode Configuration. Toutefois, le fichier étant un fichier de propriétés Java, vous pouvez également
le créer ou le modifier manuellement.
Cette annexe fournit des informations sur les paramètres que vous devez inclure dans le fichier réponse
si vous choisissez de le générer manuellement.
Remarque :
Lorsque vous créez le fichier, vous devez respecter les consignes relatives aux séquences
d'échappement du fichier de propriétés Java (par exemple, le signe ':' correspond à '\:')
7.6.5.4.1 Paramètres du fichier de réponse
Le tableau suivant décrit les paramètres inclus dans le fichier réponse :
337
2011-05-06
Authentification
Paramètre
Description
Le chemin de classes pour le chargement des fichiers .jar nécessaires. Lorsqu'il y a plusieurs
chemins de classes, ceux-ci doivent être séparés
par le signe ';' à la fois dans Windows et UNIX.
classpath
Les chemins de classes requis sont pour le fichier
com.peoplesoft.epm.pf.jar et les fichiers .jar du pilote JDBC (Java Database Connectivity).
338
db.driver.name
Le nom du pilote JDBC utilisé pour se connecter
à la base de données PeopleSoft (par exemple,
com.microsoft.jdbc.sqlserver.SQLServerDriver).
db.connect.str
La chaîne de connexion JDBC utilisée pour se
connecter à la base de données PeopleSoft (par
exemple, jdbc:microsoft:sqlserver://vanrdp
sft01:1433;DatabaseName=PRDMO).
db.user.name
Le nom d'utilisateur utilisé pour se connecter à la
base de données PeopleSoft.
db.password
Le mot de passe utilisé pour se connecter à la
base de données PeopleSoft.
db.password.encrypted
La valeur de ce paramètre permet de déterminer
si le mot de passe dans le fichier réponse est
chiffré. La valeur peut être définie sur True ou
False. (Si aucune valeur n'est spécifiée, le paramètre prend la valeur False par défaut.)
enterprise.cms.name
Le CMS (Crystal Management Server) dans lequel se trouvent les univers.
enterprise.user.name
Le nom d'utilisateur utilisé pour se connecter au
CMS.
enterprise.password
Le mot de passe utilisé pour se connecter au
CMS.
2011-05-06
Authentification
Paramètre
Description
enterprise.password.encrypted
La valeur de ce paramètre permet de déterminer
si le mot de passe dans le fichier réponse est
chiffré. La valeur peut être définie sur True ou
False. (Si aucune valeur n'est spécifiée, le paramètre prend la valeur False par défaut.)
enterprise.authMethod
La méthode d'authentification permettant de se
connecter au CMS.
enterprise.role
Le groupe Plateforme de BI géré. Pour en savoir
plus, voir Définition d'objets gérés.
enterprise.license
Contrôle le type de licence lors de l'importation
d'utilisateurs depuis PeopleSoft. 0 définit la licence Utilisateur nommé, 1 la licence Utilisateur
Simultané.
La liste de rôles PeopleSoft gérés. Pour en savoir
plus, voir Définition d'objets gérés.
n est un entier, et chaque entrée occupe une
propriété avec le préfixe peoplesoft.role.
peoplesoft.role.n
Remarque :
n est en base 1.
Vous pouvez utiliser le signe '*' pour signaler tous
les rôles PeopleSoft disponibles, étant entendu
que n correspond à 1, et qu'il s'agit de la seule
propriété ayant le préfixe peoplesoft.role dans le
fichier réponse.
339
2011-05-06
Authentification
Paramètre
Description
La liste des univers que la passerelle de sécurité
doit mettre à jour. Pour en savoir plus, voir Définition d'objets gérés.
n est un entier, et chaque entrée occupe une
propriété avec le préfixe mapped.universe.
mapped.universe.n
Remarque :
n est en base 1.
Vous pouvez utiliser le signe '*' pour signaler tous
les univers disponibles, étant entendu que n correspond à 1, et qu'il s'agit de la seule propriété
ayant le préfixe mapped.universe dans le fichier
réponse.
log4j.appender.file.File
Fichier journal enregistré par la passerelle de
sécurité.
Propriétés log4j par défaut requises pour que
log4j puisse fonctionner correctement :
log4j.rootLogger=INFO, file, stdout
log4j.appender.file=org.apache.log4j.RollingFile
Appender
log4j.appender.file.layout=org.apache.log4j.Pat
ternLayout
log4j.appender.file.MaxFileSize=5000KB
log4j.*
log4j.appender.file.MaxBackupIndex=100
log4j.appender.file.layout.ConversionPattern=%d
[ %-5] %c{1} - %m%n
log4j.appender.stdout=org.apache.log4j.Conso
leAppender
log4j.appender.stdout.layout=org.apache.log4j.Pat
ternLayout
log4j.appender.stdout.layout.ConversionPat
tern=%d [ %-5 ] %c{1} - %m%n
340
2011-05-06
Authentification
Paramètre
Description
peoplesoft classpath
Chemin de classes des fichiers .jar de l'API (Application Programming Interface) PeopleSoft EPM.
Ce paramètre est facultatif.
enterprise.classpath
Chemin de classes des fichiers .jar du SDK Plateforme de BI.
Ce paramètre est facultatif.
Type de la base de données PeopleSoft. Ce paramètre peut avoir l'une des valeurs suivantes :
Microsoft SQL Server 2000
Oracle Database 10.1
db.driver.type
DB2 UDB 8.2 Fixpack 7
Personnalisé
La valeur Personnalisé peut être utilisée pour
spécifier des bases de données dont le type ou
la version n'est pas reconnu.
Ce paramètre est facultatif.
sql.db.class.location
sql.db.host
sql.db.port
sql.db.database
Emplacement des fichiers .jar du pilote JDB
SQL Server, l'ordinateur hôte SQL Server, le port
SQL Server et le nom de base de données
SQL Server.
Ces paramètres peuvent être utilisés uniquement
si db.driver.type a pour valeur Microsoft
SQL Server 2000.
Ces paramètres sont facultatifs.
341
2011-05-06
Authentification
Paramètre
Description
oracle.db.class.location
Emplacement des fichiers .jar du pilote JDBC
Oracle, l'ordinateur hôte hébergeant la base de
données Oracle, le port utilisé pour la base de
données Oracle et la base de données Oracle
SID.
oracle.db.host
oracle.db.port
oracle.db.sid
Ces paramètres peuvent être utilisés uniquement
si db.driver.type a pour valeur Oracle Database 10.1.
Ces paramètres sont facultatifs.
db2.db.class.location
db2.db.host
db2.db.port
db2.db.sid
Emplacement des fichiers .jar du pilote JDBC
DB2, l'ordinateur hôte hébergeant la base de données DB2, le port utilisé pour la base de données DB2 et la base de données DB2 SID.
Ces paramètres peuvent être utilisés uniquement
si db.driver.type a pour valeur DB2 UDB 8.2 Fixpack 7
Ces paramètres sont facultatifs.
custom.db.class.location
custom.db.drivername
custom.db.connectStr
Emplacement, nom et chaîne de connexion du
pilote JDBC personnalisé.
Ces paramètres peuvent être utilisés uniquement
si db.driver.type a pour valeur Personnalisé.
Ces paramètres sont facultatifs.
7.7 Authentification JD Edwards
7.7.1 Présentation générale
342
2011-05-06
Authentification
Pour utiliser vos données JD Edwards avec la plateforme de BI, vous devez fournir au système les
informations concernant votre déploiement JD Edwards. Ces informations permettront à la plateforme
de BI d'authentifier les utilisateurs afin qu'ils puissent utiliser leurs références de connexion JD Edwards
EnterpriseOne pour se connecter à la plateforme de BI.
7.7.2 Activation de l'authentification JD Edwards EnterpriseOne
Pour que les informations de JD Edwards EnterpriseOne puissent être utilisées par la plateforme de
BI, Enterprise a besoin d'informations sur le mode d'authentification dans votre système JD Edwards
EnterpriseOne.
7.7.2.1 Pour activer l'authentification JD Edwards dans la plateforme de BI
1. Connectez-vous en tant qu'administrateur à la Central Management Console.
2. Dans la zone Gérer, cliquez sur Authentification.
3. Cliquez deux fois sur JD Edwards EnterpriseOne.
La page "JD Edwards EnterpriseOne" s'affiche. Elle comporte quatre onglets : Options, Serveurs,
Rôles et Mise à jour de l'utilisateur.
4. Dans l'onglet Options, cochez la case Activer l'authentification JD Edwards EnterpriseOne.
5. Effectuez les modifications appropriées dans les champs Nouvel alias, Options de mise à jour et
Options de nouvel utilisateur en fonction de votre déploiement de plateforme de BI. Cliquez sur
Mettre à jour pour enregistrer vos modifications avant de passer à l'onglet Systèmes.
6. Cliquez sur l'onglet Servers (Serveurs).
7. Dans la zone "Utilisateur système JD Edwards EnterpriseOne", saisissez un nom d'utilisateur et un
mot de passe qui seront utilisés par la plateforme de BI pour se connecter à votre base de données
JD Edwards EnterpriseOne.
8. Dans la zone "Domaine JD Edwards EnterpriseOne", saisissez le nom, l'hôte et le port utilisés pour
vous connecter à votre environnement JD Edwards EnterpriseOne, saisissez un nom pour
l'environnement et cliquez sur Ajouter.
9. Cliquez sur Mettre à jour pour enregistrer les modifications.
7.7.3 Mappage de rôles JD Edwards EnterpriseOne à la plateforme de BI
343
2011-05-06
Authentification
La plateforme de BI crée automatiquement un groupe pour chaque rôle JD Edwards EnterpriseOne
que vous mappez. De même, le système crée des alias pour représenter les membres des rôles JD
Edwards EnterpriseOne mappés.
Vous pouvez créer un compte utilisateur pour chaque alias créé.
Cependant, si vous exécutez plusieurs systèmes et que vos utilisateurs possèdent des comptes sur
plusieurs systèmes, vous pouvez affecter chaque utilisateur à un alias avec le même nom avant de
créer les comptes sur la plateforme de BI.
Cela permet de réduire le nombre de comptes créés pour un même utilisateur sur la plateforme de BI.
Par exemple, si vous exécutez à la fois un environnement de test et un environnement de production
JD Edwards EnterpriseOne, et si 30 de vos utilisateurs ont accès aux deux systèmes, 30 comptes
seulement sont créés pour ces utilisateurs. Si vous choisissez de ne pas affecter chaque utilisateur à
un alias avec le même nom, 60 comptes sont créés pour les 30 utilisateurs sur la plateforme de BI.
Cependant, si vous exécutez plusieurs systèmes et que les noms d'utilisateurs identiques créent des
conflits, vous devez créer un compte de membre pour chaque alias créé.
Par exemple, si vous exécutez votre environnement de test avec un compte utilisateur pour Russell
Aquino (nom d'utilisateur "raquino") et que vous exécutez votre environnement de production avec un
compte utilisateur pour Raoul Aquino (nom d'utilisateur "raquino"), vous devez créer un compte distinct
pour l'alias de chaque utilisateur. Sinon, les deux utilisateurs sont ajoutés au même compte de la
plateforme de BI. Ils ne pourront pas se connecter à la plateforme de BI avec leurs propres références
de connexion JD Edwards EnterpriseOne.
7.7.3.1 Pour mapper un rôle JD Edwards EnterpriseOne
1. Connectez-vous en tant qu'administrateur à la Central Management Console.
2. Dans la zone "Gérer", cliquez sur Authentification.
3. Cliquez deux fois sur JD Edwards EnterpriseOne.
4. Dans la zone Options de nouvel alias, sélectionnez l'une des options suivantes :
•
Affecter chaque alias ajouté à un compte portant le même nom
Sélectionnez cette option si vous exécutez plusieurs systèmes JD Edwards EnterpriseOne
Enterprise avec des utilisateurs possédant des comptes sur plusieurs systèmes (et si deux
utilisateurs ne possèdent pas des noms identiques sur les différents systèmes).
•
Créer un compte pour chaque alias ajouté
Sélectionnez cette option si vous exécutez un seul système JD Edwards EnterpriseOne Enterprise,
si la majorité de vos utilisateurs possèdent des comptes sur un seul de vos systèmes ou si des
noms d'utilisateurs identiques créent des conflits sur deux de vos systèmes ou plus.
5. Dans la zone Options de mise à jour, sélectionnez l'une des options suivantes :
•
344
Les nouveaux alias seront ajoutés et les nouveaux utilisateurs seront créés
2011-05-06
Authentification
Sélectionnez cette option pour créer un nouvel alias pour chaque utilisateur mappé à la plateforme
de BI. De nouveaux comptes sont ajoutés pour les utilisateurs dépourvus de compte plateforme
de BI ou pour tous les utilisateurs si vous avez sélectionné l'option Créer un nouveau compte
pour chaque alias ajouté.
•
Aucun nouvel alias ne sera ajouté et les nouveaux utilisateurs ne seront pas créés
Sélectionnez cette option si le rôle que vous souhaitez mapper contient plusieurs utilisateurs
dont un petit nombre utilisera la plateforme de BI. Le système ne crée pas automatiquement
d'alias ni de comptes pour les utilisateurs. Il crée plutôt des alias (et des comptes, si besoin)
uniquement pour les utilisateurs lorsqu'ils se connectent pour la première fois à la plateforme de
BI. Il s'agit de l'option par défaut.
6. Dans la zone Options de nouvel utilisateur, indiquez le nombre d'utilisateurs créés.
Si votre licence de plateforme SAP BusinessObjects de Business Intelligence est basée sur les
rôles utilisateur, sélectionnez l'une des options suivantes :
• Les nouveaux utilisateurs sont créés en tant que visualiseur BI
Les nouveaux comptes utilisateur sont configurés sous le rôle Visualiseur BI. L'accès aux
applications de la plateforme de BI pour tous les comptes ayant le rôle Visualiseur BI est défini
dans le contrat de licence. L'accès utilisateur est limité aux workflows d'application définis pour
le rôle Visualiseur BI. Les droits d'accès sont généralement limités à l'affichage des documents
Business Intelligence. Ce rôle convient généralement aux utilisateurs qui utilisent du contenu via
les applications de la plateforme de BI.
•
Les nouveaux utilisateurs sont créés en tant qu'analyste BI
Les nouveaux comptes utilisateur sont configurés sous le rôle Analyste BI. L'accès aux applications
de la plateforme de BI pour tous les comptes ayant le rôle Analyste BI est défini dans le contrat
de licence. Les utilisateurs peuvent accéder à tous les workflows d'application définis pour le
rôle Analyste BI. Les droits d'accès incluent l'affichage et la modification des documents Business
Intelligence. Ce rôle convient généralement aux utilisateurs qui créent et modifient le contenu
pour les applications de la plateforme de BI.
Si votre licence de plateforme SAP BusinessObjects de Business Intelligence n'est pas basée sur
les rôles utilisateur, sélectionnez l'une des options suivantes :
•
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs nommés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences Utilisateurs
nommés. Les licences Utilisateur nommé sont associées à des utilisateurs particuliers qui peuvent
accéder au système en saisissant un nom d'utilisateur et un mot de passe. Ainsi, les utilisateurs
nommés peuvent accéder au système, quel que soit le nombre de personnes connectées. Il faut
qu'une licence Utilisateurs nommés soit disponible pour chaque compte d'utilisateur créé à l'aide
de cette option.
•
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs simultanés
Les nouveaux comptes utilisateur sont configurés de manière à utiliser des licences d'utilisateurs
simultanés. Les licences d'accès simultanés spécifient le nombre d'utilisateurs pouvant se
connecter en même temps à la plateforme de BI. Cette licence est tout à fait adaptée dans la
mesure où elle peut accepter de nombreux utilisateurs. Par exemple, suivant la fréquence et la
345
2011-05-06
Authentification
durée des connexions des utilisateurs à la plateforme de BI, une licence pour 100 utilisateurs
simultanés peut prendre en charge 250, 500 ou 700 utilisateurs.
Les rôles que vous avez sélectionnés apparaissent maintenant sous forme de groupes dans la
plateforme de BI.
7. Cliquez sur l'onglet Rôles.
8. Dans la zone Sélectionnez un serveur, sélectionnez le serveur JD Edwards qui contient les rôles
à mapper.
9. Dans la zone "Rôles importés", sélectionnez les rôles que vous voulez mapper à la plateforme de
BI et cliquez sur >.
10. Cliquez sur Mettre à jour.
Les rôles seront mappés à la plateforme de BI.
7.7.3.2 Remarques sur le remappage
Si vous ajoutez des utilisateurs à un rôle déjà mappé à la plateforme de BI, vous devrez remapper le
rôle pour ajouter les utilisateurs à la plateforme de BI. Lorsque vous remappez le rôle, l'option de
mappage des utilisateurs en tant qu'utilisateurs nommés ou simultanés affecte uniquement les nouveaux
utilisateurs que vous avez ajoutés au rôle.
Par exemple, vous mappez d'abord un rôle à la plateforme de BI en sélectionnant l'option "Les nouveaux
utilisateurs sont créés en tant qu'utilisateurs nommés". Ensuite, vous ajoutez des utilisateurs au même
rôle et remappez le rôle en sélectionnant l'option "Les nouveaux utilisateurs sont créés en tant
qu'utilisateurs simultanés".
Dans ce cas, seuls les nouveaux utilisateurs dans le rôle sont mappés à la plateforme de BI en tant
qu'utilisateurs simultanés ; les utilisateurs qui étaient déjà mappés demeurent des utilisateurs nommés.
La même condition s'applique si vous mappez d'abord les utilisateurs en tant qu'utilisateurs simultanés
et que vous modifiez ensuite les paramètres pour remapper les nouveaux utilisateurs en tant
qu'utilisateurs nommés.
7.7.3.3 Pour démapper un rôle
1. Connectez-vous en tant qu'administrateur à la Central Management Console.
2. Dans la zone "Gérer", cliquez sur Authentification.
3. Cliquez sur l'onglet correspondant à JD Edwards EnterpriseOne.
4. Dans la zone "Rôles", sélectionnez le rôle que vous souhaitez supprimer, puis cliquez sur <.
5. Cliquez sur Mettre à jour.
346
2011-05-06
Authentification
Les membres de ce rôle ne pourront plus accéder à la plateforme de BI, à moins de posséder
d'autres comptes ou alias.
Remarque :
Vous pouvez également supprimer des comptes individuels ou retirer des utilisateurs des rôles
avant de les mapper à la plateforme de BI afin d'empêcher certains utilisateurs de se connecter.
7.7.4 Planification de mises à jour utilisateur
Pour vous assurer que les modifications des données utilisateur de votre système ERP sont correctement
reflétées dans les données utilisateur de votre plateforme de BI, vous pouvez planifier des mises à jour
d'utilisateurs régulières. Ces mises à jour synchronisent automatiquement les utilisateurs d'ERP et de
la plateforme de BI selon les paramètres de mappage configurés dans la CMC (Central Management
Console).
Il existe deux options pour l'exécution et la planification des mises à jour de rôles importés :
•
•
Mettre à jour les rôles uniquement : cette option permet de mettre à jour uniquement les liens entre
les rôles actuellement mappés qui ont été importés dans la plateforme de BI. Utilisez cette option
si vous avez l'intention d'exécuter des mises à jour fréquentes et que vous êtes préoccupé par
l'utilisation des ressources système. Aucun nouveau compte utilisateur ne sera créé si vous effectuez
uniquement une mise à jour des rôles.
Mettre à jour les rôles et les alias : cette option permet non seulement de mettre à jour les liens
entre les rôles, mais aussi de créer des comptes utilisateur dans la plateforme de BI pour les
nouveaux alias utilisateur ajoutés au système ERP.
Remarque :
Si vous n'avez pas spécifié de créer automatiquement des alias utilisateur pour les mises à jour lors
de l'activation de l'authentification, aucun compte ne sera créé pour les nouveaux alias.
7.7.4.1 Pour planifier des mises à jour utilisateur
Après avoir mappé les rôles dans la plateforme de BI, vous devez indiquer comment le système doit
les mettre à jour.
1. Cliquez sur l'onglet Mise à jour de l'utilisateur.
2. Cliquez sur Planifier dans les sections "Mettre à jour les rôles uniquement" ou "Mettre à jour les
rôles et les alias".
Conseil :
Pour exécuter une mise à jour immédiate, cliquez sur Mettre à jour maintenant.
347
2011-05-06
Authentification
Conseil :
Utilisez l'option "Mettre à jour les rôles uniquement" si vous souhaitez effectuer des mises à jour
fréquentes et que vous êtes préoccupé par les ressources système. Le système met plus de temps
à mettre à jour à la fois les rôles et les alias.
La boîte de dialogue "Périodicité" s'affiche.
3. Sélectionnez une option dans la liste "Exécuter l'objet" et indiquez toutes les informations de
planification demandées.
Lorsque vous planifiez une mise à jour, vous pouvez choisir une des périodicités récapitulées dans
le tableau suivant :
348
Périodicité
Description
Toutes les heures
La mise à jour s'exécutera toutes les heures. Vous pouvez
spécifier l'heure à laquelle l'exécution démarrera, de même que
sa date de début et sa date de fin.
Tous les jours
La mise à jour s'exécutera tous les jours ou tous les N jours.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Toutes les semaines
La mise à jour s'exécutera toutes les semaines. Elle peut être
exécutée une ou plusieurs fois par semaine. Vous pouvez
préciser les jours et l'heure auxquels l'exécution doit avoir lieu,
ainsi qu'une date de début et une date de fin.
Tous les mois
La mise à jour s'exécutera tous les mois ou tous les N mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Nième jour du mois
La mise à jour sera exécutée un jour spécifique du mois. Vous
pouvez préciser le jour du mois et l'heure auxquels l'exécution
aura lieu, ainsi que sa date de début et sa date de fin.
1er lundi du mois
La mise à jour sera exécutée le premier lundi de chaque mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Dernier jour du mois
La mise à jour sera exécutée le dernier jour de chaque mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Jour X de la Nième semaine du
mois
La mise à jour sera exécutée le jour indiqué de la semaine indiquée du mois. Vous pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que sa date de début et sa date de
fin.
Calendrier
La mise à jour s'exécutera aux dates spécifiées dans un calendrier précédemment créé.
2011-05-06
Authentification
4. Cliquez sur Planifier une fois les informations de planification fournies.
La date de la prochaine mise à jour de rôles planifiée est affichée dans l'onglet Mise à jour de
l'utilisateur.
Remarque :
Vous pouvez annuler à tout moment la prochaine mise à jour planifiée en cliquant sur Annuler les
mises à jour planifiées dans les sections "Mettre à jour les rôles uniquement" ou "Mettre à jour les
rôles et les alias".
7.8 Authentification Siebel
7.8.1 Activation de l'authentification Siebel
Pour que les informations de Siebel puissent être utilisées par la plateforme de BI, des informations
sont nécessaires sur le mode d'authentification dans votre système Siebel.
7.8.1.1 Pour activer l'authentification Siebel dans la plateforme de BI
1. Connectez-vous en tant qu'administrateur à la Central Management Console.
2. Dans la zone Gérer, cliquez sur Authentification.
3. Cliquez deux fois sur Siebel.
La page "Siebel" s'affiche. Elle contient quatre onglets : Options, Systèmes, Responsabilités et
Mise à jour de l'utilisateur.
4. Dans l'onglet Options, sélectionnez la case à cocher Activer l'authentification Siebel.
5. Effectuez les modifications appropriées dans les champs Nouvel alias, Options de mise à jour et
Options de nouvel utilisateur en fonction de votre déploiement de plateforme de BI. Cliquez sur
Mettre à jour pour enregistrer vos modifications avant de passer à l'onglet Systèmes.
6. Cliquez sur l'onglet Domaines.
7. Dans le champ Nom de domaine, saisissez le nom de domaine du système Siebel auquel vous
souhaitez vous connecter.
8. Sous Connexion, saisissez la chaîne de connexion de ce domaine.
9. Dans la zone Nom d'utilisateur, saisissez un nom d'utilisateur et un mot de passe de base de
données qui seront utilisés par la plateforme de BI pour se connecter à votre base de données
Siebel.
349
2011-05-06
Authentification
10. Dans la zone Mot de passe, saisissez le mot de passe de l'utilisateur sélectionné.
11. Cliquez sur Ajouter pour ajouter les informations système à la liste "Domaines actuels".
12. Cliquez sur Mettre à jour pour enregistrer les modifications.
7.8.2 Mappage de rôles à la plateforme de BI
La plateforme de BI crée automatiquement un groupe pour chaque rôle Siebel que vous mappez. De
même, le programme crée des alias pour représenter les membres des rôles Siebel mappés.
Vous pouvez créer un compte utilisateur pour chaque alias créé.
Cependant, si vous exécutez plusieurs systèmes et que vos utilisateurs possèdent des comptes sur
plusieurs systèmes, vous pouvez affecter chaque utilisateur à un alias avec le même nom avant de
créer les comptes sur la plateforme de BI.
Cela permet de réduire le nombre de comptes créés pour un même utilisateur dans le programme.
Par exemple, si vous exécutez à la fois un environnement de test et un environnement de production
Siebel eBusiness et que 30 de vos utilisateurs ont accès aux deux systèmes, 30 comptes seulement
sont créés pour ces utilisateurs. Si vous choisissez de ne pas affecter chaque utilisateur à un alias
avec le même nom, 60 comptes sont créés pour les 30 utilisateurs sur la plateforme de BI.
Cependant, si vous exécutez plusieurs systèmes et que les noms d'utilisateurs identiques créent des
conflits, vous devez créer un compte de membre pour chaque alias créé.
Par exemple, si vous exécutez votre environnement de test avec un compte utilisateur pour Russell
Aquino (nom d'utilisateur "raquino") et que vous exécutez votre environnement de production avec un
compte utilisateur pour Raoul Aquino (nom d'utilisateur "raquino"), vous devez créer un compte distinct
pour l'alias de chaque utilisateur. Sinon, les deux utilisateurs seront ajoutés au même compte et ne
pourront pas se connecter à la plateforme de BI avec leurs propres références de connexion Siebel
eBusiness.
7.8.2.1 Pour mapper un rôle Siebel à la plateforme de BI
1. Connectez-vous en tant qu'administrateur à la Central Management Console.
2. Cliquez sur Authentification.
3. Cliquez deux fois sur Siebel eBusiness.
4. Dans la zone Options de nouvel alias, sélectionnez l'une des options suivantes :
•
350
Affecter chaque alias ajouté à un compte portant le même nom
2011-05-06
Authentification
Sélectionnez cette option si vous exécutez plusieurs systèmes Siebel eBusiness avec des
utilisateurs possédant des comptes sur plusieurs systèmes (les utilisateurs ne possèdent pas
de nom identique sur les différents systèmes).
•
Créer un compte pour chaque alias ajouté
Sélectionnez cette option si vous exécutez un seul système Siebel eBusiness, si la plupart de
vos utilisateurs possèdent des comptes sur un seul de vos systèmes ou si les noms d'utilisateur
sont identiques pour différents utilisateurs sur au moins deux de vos systèmes.
5. Dans la zone Options de mise à jour, sélectionnez l'une des options suivantes :
•
Les nouveaux alias seront ajoutés et les nouveaux utilisateurs seront créés
Sélectionnez cette option pour créer un alias pour chaque utilisateur mappé à la plateforme de
BI. De nouveaux comptes sont ajoutés pour les utilisateurs dépourvus de compte plateforme de
BI ou pour tous les utilisateurs si vous avez sélectionné l'option Créer un nouveau compte pour
chaque alias ajouté.
•
Aucun nouvel alias ne sera ajouté et les nouveaux utilisateurs ne seront pas créés
Sélectionnez cette option si le rôle que vous souhaitez mapper contient plusieurs utilisateurs
dont un petit nombre utilisera la plateforme de BI. Le programme ne crée pas automatiquement
d'alias et de comptes pour les utilisateurs. A la place, elle crée des alias (et des comptes, au
besoin) uniquement pour les utilisateurs lorsqu'ils se connectent pour la première fois à la
plateforme de BI. Il s'agit de l'option par défaut.
6. Dans la zone Options de nouvel utilisateur, indiquez le nombre d'utilisateurs créés.
Si votre licence de plateforme de BI est basée sur les rôles utilisateur, sélectionnez l'une des options
suivantes :
• Les nouveaux utilisateurs sont créés en tant que visualiseur BI
Les nouveaux comptes utilisateur sont configurés sous le rôle Visualiseur BI. L'accès aux
applications de la plateforme de BI pour tous les comptes ayant le rôle Visualiseur BI est défini
dans le contrat de licence. L'accès utilisateur est limité aux workflows d'application définis pour
le rôle Visualiseur BI. Les droits d'accès sont généralement limités à l'affichage des documents
Business Intelligence. Ce rôle convient généralement aux utilisateurs qui utilisent du contenu via
les applications de la plateforme de BI.
•
Les nouveaux utilisateurs sont créés en tant qu'analyste BI
Les nouveaux comptes utilisateur sont configurés sous le rôle Analyste BI. L'accès aux applications
de la plateforme de BI pour tous les comptes ayant le rôle Analyste BI est défini dans le contrat
de licence. Les utilisateurs peuvent accéder à tous les workflows d'application définis pour le
rôle Analyste BI. Les droits d'accès incluent l'affichage et la modification des documents Business
Intelligence. Ce rôle convient généralement aux utilisateurs qui créent et modifient le contenu
pour les applications de la plateforme de BI.
Si votre licence de plateforme de BI n'est pas basée sur les rôles utilisateur, sélectionnez l'une des
options suivantes :
•
351
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs nommés
2011-05-06
Authentification
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences Utilisateurs
nommés. Les licences Utilisateur nommé sont associées à des utilisateurs particuliers qui peuvent
accéder au système en saisissant un nom d'utilisateur et un mot de passe. Ainsi, les utilisateurs
nommés peuvent accéder au système, quel que soit le nombre de personnes connectées. Il faut
qu'une licence Utilisateurs nommés soit disponible pour chaque compte d'utilisateur créé à l'aide
de cette option.
•
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs simultanés
Les nouveaux comptes utilisateur sont configurés de manière à utiliser des licences d'utilisateurs
simultanés. Les licences d'accès simultanés spécifient le nombre d'utilisateurs pouvant se
connecter en même temps à la plateforme de BI. Cette licence est tout à fait adaptée dans la
mesure où elle peut accepter de nombreux utilisateurs. Par exemple, suivant la fréquence et la
durée des connexions des utilisateurs à la plateforme de BI, une licence pour 100 utilisateurs
simultanés peut prendre en charge 250, 500 ou 700 utilisateurs.
7. Cliquez sur l'onglet Rôles.
8. Sélectionnez le domaine correspondant au serveur Siebel pour lequel vous souhaitez mapper des
rôles.
9. Sous "Rôles disponibles", sélectionnez les rôles que vous souhaitez mapper, puis cliquez sur >.
Remarque :
Si vous disposez d'un grand nombre de rôles, vous pouvez utiliser la zone Rechercher les rôles
commençant par : pour affiner votre recherche. Saisissez les premiers caractères des rôles en les
faisant suivre du caractère générique (%) et cliquez sur Rechercher.
10. Cliquez sur Mettre à jour.
Les rôles seront mappés à la plateforme de BI.
7.8.2.2 Remarques sur le remappage
Pour appliquer la synchronisation des groupes et des utilisateurs entre la plateforme de BI et Siebel,
activez la case Forcer la synchronisation utilisateur.
Remarque :
Pour pouvoir sélectionner Forcer la synchronisation utilisateur, il faut d'abord sélectionner Les
nouveaux alias seront ajoutés et les nouveaux utilisateurs seront créés.
Lorsque vous remappez le rôle, l'option de mappage des utilisateurs en tant qu'utilisateurs nommés
ou simultanés affecte uniquement les nouveaux utilisateurs que vous avez ajoutés au rôle.
Par exemple, vous mappez d'abord un rôle à la plateforme de BI en sélectionnant l'option "Les nouveaux
utilisateurs sont créés en tant qu'utilisateurs nommés". Ensuite, vous ajoutez des utilisateurs au même
rôle et remappez le rôle en sélectionnant l'option "Les nouveaux utilisateurs sont créés en tant
qu'utilisateurs simultanés".
352
2011-05-06
Authentification
Dans ce cas, seuls les nouveaux utilisateurs dans le rôle sont mappés à la plateforme de BI en tant
qu'utilisateurs simultanés ; les utilisateurs qui étaient déjà mappés demeurent des utilisateurs nommés.
La même condition s'applique si vous mappez d'abord les utilisateurs en tant qu'utilisateurs simultanés
et que vous modifiez ensuite les paramètres pour remapper les nouveaux utilisateurs en tant
qu'utilisateurs nommés.
7.8.2.3 Pour démapper un rôle
1. Connectez-vous en tant qu'administrateur à la Central Management Console.
2. Dans la zone "Gérer", cliquez sur Authentification.
3. Cliquez deux fois sur Siebel.
4. Dans l'onglet Domaines, sélectionnez le domaine Siebel correspondant aux rôles que vous souhaitez
démapper.
5. Dans l'onglet Rôles, sélectionnez le rôle que vous souhaitez supprimer, puis cliquez sur <.
6. Cliquez sur Mettre à jour.
Les membres de cette responsabilité ne pourront plus accéder à la plateforme de BI, à moins de
posséder d'autres comptes ou alias.
Remarque :
Vous pouvez également supprimer des comptes individuels ou retirer des utilisateurs des rôles
avant de les mapper à la plateforme de BI afin d'empêcher certains utilisateurs de se connecter.
7.8.3 Planification de mises à jour utilisateur
Pour vous assurer que les modifications des données utilisateur de votre système ERP sont correctement
reflétées dans les données utilisateur de votre plateforme de BI, vous pouvez planifier des mises à jour
d'utilisateurs régulières. Ces mises à jour synchronisent automatiquement les utilisateurs d'ERP et de
la plateforme de BI selon les paramètres de mappage configurés dans la CMC (Central Management
Console).
Il existe deux options pour l'exécution et la planification des mises à jour de rôles importés :
•
•
353
Mettre à jour les rôles uniquement : cette option permet de mettre à jour uniquement les liens entre
les rôles actuellement mappés qui ont été importés dans la plateforme de BI. Utilisez cette option
si vous avez l'intention d'exécuter des mises à jour fréquentes et que vous êtes préoccupé par
l'utilisation des ressources système. Aucun nouveau compte utilisateur ne sera créé si vous effectuez
uniquement une mise à jour des rôles.
Mettre à jour les rôles et les alias : cette option permet non seulement de mettre à jour les liens
entre les rôles, mais aussi de créer des comptes utilisateur dans la plateforme de BI pour les
nouveaux alias utilisateur ajoutés au système ERP.
2011-05-06
Authentification
Remarque :
Si vous n'avez pas spécifié de créer automatiquement des alias utilisateur pour les mises à jour lors
de l'activation de l'authentification, aucun compte ne sera créé pour les nouveaux alias.
7.8.3.1 Pour planifier des mises à jour utilisateur
Après avoir mappé les rôles dans la plateforme de BI, vous devez indiquer comment le système doit
les mettre à jour.
1. Cliquez sur l'onglet Mise à jour de l'utilisateur.
2. Cliquez sur Planifier dans les sections "Mettre à jour les rôles uniquement" ou "Mettre à jour les
rôles et les alias".
Conseil :
Pour exécuter une mise à jour immédiate, cliquez sur Mettre à jour maintenant.
Conseil :
Utilisez l'option "Mettre à jour les rôles uniquement" si vous souhaitez effectuer des mises à jour
fréquentes et que vous êtes préoccupé par les ressources système. Le système met plus de temps
à mettre à jour à la fois les rôles et les alias.
La boîte de dialogue "Périodicité" s'affiche.
3. Sélectionnez une option dans la liste "Exécuter l'objet" et indiquez toutes les informations de
planification demandées.
Lorsque vous planifiez une mise à jour, vous pouvez choisir une des périodicités récapitulées dans
le tableau suivant :
354
Périodicité
Description
Toutes les heures
La mise à jour s'exécutera toutes les heures. Vous pouvez
spécifier l'heure à laquelle l'exécution démarrera, de même que
sa date de début et sa date de fin.
Tous les jours
La mise à jour s'exécutera tous les jours ou tous les N jours.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Toutes les semaines
La mise à jour s'exécutera toutes les semaines. Elle peut être
exécutée une ou plusieurs fois par semaine. Vous pouvez
préciser les jours et l'heure auxquels l'exécution doit avoir lieu,
ainsi qu'une date de début et une date de fin.
Tous les mois
La mise à jour s'exécutera tous les mois ou tous les N mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
2011-05-06
Authentification
Périodicité
Description
Nième jour du mois
La mise à jour sera exécutée un jour spécifique du mois. Vous
pouvez préciser le jour du mois et l'heure auxquels l'exécution
aura lieu, ainsi que sa date de début et sa date de fin.
1er lundi du mois
La mise à jour sera exécutée le premier lundi de chaque mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Dernier jour du mois
La mise à jour sera exécutée le dernier jour de chaque mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Jour X de la Nième semaine du
mois
La mise à jour sera exécutée le jour indiqué de la semaine indiquée du mois. Vous pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que sa date de début et sa date de
fin.
Calendrier
La mise à jour s'exécutera aux dates spécifiées dans un calendrier précédemment créé.
4. Cliquez sur Planifier une fois les informations de planification fournies.
La date de la prochaine mise à jour de rôles planifiée est affichée dans l'onglet Mise à jour de
l'utilisateur.
Remarque :
Vous pouvez annuler à tout moment la prochaine mise à jour planifiée en cliquant sur Annuler les
mises à jour planifiées dans les sections "Mettre à jour les rôles uniquement" ou "Mettre à jour les
rôles et les alias".
7.9 Authentification Oracle EBS
7.9.1 Activation de l'authentification Oracle EBS
Pour que les informations d'Oracle EBS puissent être utilisées par la plateforme de BI, le système a
besoin d'informations sur le mode d'authentification dans votre système Oracle EBS.
355
2011-05-06
Authentification
7.9.1.1 Activation de l'authentification Oracle E-Business Suite
1. Connectez-vous en tant qu'administrateur à la Central Management Console.
2. Dans la zone Gérer, cliquez sur Authentification.
3. Cliquez sur Oracle EBS.
La page "Oracle EBS" s'affiche. Elle contient quatre onglets : Options, Systèmes, Responsabilités
et Mise à jour de l'utilisateur.
4. Dans l'onglet Options, activez la case L'authentification Oracle EBS est activée.
5. Effectuez les modifications appropriées dans les champs Nouvel alias, Options de mise à jour et
Options de nouvel utilisateur en fonction de votre déploiement de plateforme de BI. Cliquez sur
Mettre à jour pour enregistrer vos modifications avant de passer à l'onglet Systèmes.
6. Cliquez sur l'onglet Systèmes.
7. Dans la zone "Utilisateur système Oracle EBS", saisissez un nom d'utilisateur et un mot de passe
de base de données qui seront utilisés par la plateforme de BI pour se connecter à votre base de
données Oracle E-Business Suite.
8. Dans la zone "Services Oracle EBS", saisissez le nom du service utilisé par votre environnement
Oracle EBS et cliquez sur Ajouter.
9. Cliquez sur Mettre à jour pour enregistrer les modifications.
Vous devez maintenant mapper les rôles Oracle EBS dans le système.
Rubriques associées
• Pour mapper les rôles Oracle E-Business Suite
7.9.2 Mappage de rôles Oracle E-Business Suite à la plateforme de BI
La plateforme de BI crée automatiquement un groupe pour chaque rôle Oracle E-Business Suite (EBS)
que vous mappez. Le système crée également des alias pour représenter les membres des rôles Oracle
E-Business Suite mappés.
Vous pouvez créer un compte utilisateur pour chaque alias créé. Cependant, si vous exécutez plusieurs
systèmes et que vos utilisateurs possèdent des comptes sur plusieurs systèmes, vous pouvez affecter
chaque utilisateur à un alias avec le même nom avant de créer les comptes dans la plateforme de BI.
Cela permet de réduire le nombre de comptes créés pour un même utilisateur dans le système.
Par exemple, si vous exécutez à la fois un environnement de test et un environnement de production
EBS, et si 30 de vos utilisateurs ont accès aux deux systèmes, 30 comptes seulement sont créés pour
356
2011-05-06
Authentification
ces utilisateurs. Si vous choisissez de ne pas affecter chaque utilisateur à un alias avec le même nom,
60 comptes sont créés pour les 30 utilisateurs dans la plateforme de BI.
Cependant, si vous exécutez plusieurs systèmes et que les noms d'utilisateurs identiques créent des
conflits, vous devez créer un compte de membre pour chaque alias créé.
Par exemple, si vous exécutez votre environnement de test avec un compte utilisateur pour Russell
Aquino (nom d'utilisateur "raquino") et que vous exécutez votre environnement de production avec un
compte utilisateur pour Raoul Aquino (nom d'utilisateur "raquino"), vous devez créer un compte distinct
pour l'alias de chaque utilisateur. Autrement, les deux utilisateurs sont ajoutés au même compte de la
plateforme de BI. Ils pourront se connecter au système avec leurs propres références Oracle EBS et
auront accès aux données des deux environnements EBS.
7.9.2.1 Pour mapper les rôles Oracle E-Business Suite
1. Connectez-vous en tant qu'administrateur à la Central Management Console.
2. Dans la zone Gérer, cliquez sur Authentification.
3. Cliquez sur Oracle EBS.
La page "Oracle EBS" présentant l'onglet Options s'affiche.
4. Dans la zone "Options de nouvel alias", sélectionnez l'une des options suivantes :
• Affectez chaque alias Oracle EBS ajouté à un compte portant le même nom
Sélectionnez cette option si vous exécutez plusieurs systèmes Oracle E-Business Suite avec
des utilisateurs possédant des comptes sur plusieurs systèmes (et si deux utilisateurs ne
possèdent pas des noms identiques sur les différents systèmes).
•
Créer un nouveau compte pour chaque alias Oracle EBS ajouté
Sélectionnez cette option si vous exécutez un seul système Oracle E-Business Suite, si la majorité
de vos utilisateurs possèdent des comptes sur un seul de vos systèmes ou si des noms
d'utilisateurs identiques créent des conflits sur deux de vos systèmes ou plus.
5. Dans la zone "Options de mise à jour", sélectionnez l'une des options suivantes :
•
Les nouveaux alias seront ajoutés et les nouveaux utilisateurs seront créés
Sélectionnez cette option pour créer un nouvel alias pour chaque utilisateur mappé à la plateforme
de BI. De nouveaux comptes sont ajoutés pour les utilisateurs dépourvus de comptes pour la
plateforme de BI ou pour tous les utilisateurs si vous avez sélectionné l'option Créer un nouveau
compte pour chaque alias Oracle EBS ajouté.
•
Aucun nouvel alias ne sera ajouté et les nouveaux utilisateurs ne seront pas créés
Sélectionnez cette option si le rôle que vous souhaitez mapper contient de nombreux utilisateurs
dont un faible nombre utilisera la plateforme de BI. La plateforme ne crée pas automatiquement
d'alias ni de comptes pour les utilisateurs. Elle crée plutôt des alias (et des comptes, au besoin)
uniquement pour les utilisateurs lorsqu'ils se connectent pour la première fois à la plateforme de
BI. Il s'agit de l'option par défaut.
357
2011-05-06
Authentification
6. Dans "Options de nouvel utilisateur", indiquez le nombre d'utilisateurs créés, puis cliquez sur Mettre
à jour.
Si votre licence de plateforme SAP BusinessObjects de Business Intelligence est basée sur les
rôles utilisateur, sélectionnez l'une des options suivantes :
• Les nouveaux utilisateurs sont créés en tant que visualiseur BI
Les nouveaux comptes utilisateur sont configurés sous le rôle Visualiseur BI. L'accès aux
applications de la plateforme de BI pour tous les comptes ayant le rôle Visualiseur BI est défini
dans le contrat de licence. L'accès utilisateur est limité aux workflows d'application définis pour
le rôle Visualiseur BI. Les droits d'accès sont généralement limités à l'affichage des documents
Business Intelligence. Ce rôle convient généralement aux utilisateurs qui utilisent du contenu via
les applications de la plateforme de BI.
•
Les nouveaux utilisateurs sont créés en tant qu'analyste BI
Les nouveaux comptes utilisateur sont configurés sous le rôle Analyste BI. L'accès aux applications
de la plateforme de BI pour tous les comptes ayant le rôle Analyste BI est défini dans le contrat
de licence. Les utilisateurs peuvent accéder à tous les workflows d'application définis pour le
rôle Analyste BI. Les droits d'accès incluent l'affichage et la modification des documents Business
Intelligence. Ce rôle convient généralement aux utilisateurs qui créent et modifient le contenu
pour les applications de la plateforme de BI.
Si votre licence de plateforme SAP BusinessObjects de Business Intelligence n'est pas basée sur
les rôles utilisateur, sélectionnez l'une des options suivantes :
•
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs nommés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences Utilisateurs
nommés. Les licences Utilisateur nommé sont associées à des utilisateurs particuliers qui peuvent
accéder au système en saisissant un nom d'utilisateur et un mot de passe. Ainsi, les utilisateurs
nommés peuvent accéder au système, quel que soit le nombre de personnes connectées. Il faut
qu'une licence Utilisateurs nommés soit disponible pour chaque compte d'utilisateur créé à l'aide
de cette option.
•
Les nouveaux utilisateurs sont créés en tant qu'utilisateurs simultanés
Les nouveaux comptes utilisateur sont configurés de manière à utiliser des licences d'utilisateurs
simultanés. Les licences d'accès simultanés spécifient le nombre d'utilisateurs pouvant se
connecter en même temps à la plateforme de BI. Cette licence est tout à fait adaptée dans la
mesure où elle peut accepter de nombreux utilisateurs. Par exemple, suivant la fréquence et la
durée des connexions des utilisateurs à la plateforme, une licence pour 100 utilisateurs simultanés
peut prendre en charge 250, 500 ou 700 utilisateurs.
Les rôles que vous avez sélectionnés apparaissent maintenant sous forme de groupes dans la
plateforme de BI.
7. Cliquez sur l'onglet Responsabilités.
8. Sélectionnez l'option Forcer la synchronisation utilisateur pour synchroniser les informations sur
un compte utilisateur Oracle EBS lorsque vous cliquez sur Mettre à jour dans l'onglet
Responsabilités.
9. Dans la zone Services Oracle EBS actuels, sélectionnez le serveur Oracle EBS qui contient les
rôles à mapper.
358
2011-05-06
Authentification
10. Vous pouvez spécifier les filtres pour les utilisateurs Oracle EBS dans la zone "Rôles Oracle EBS
mappés".
a. Sélectionnez les applications que les utilisateurs peuvent utiliser dans le cadre de leur nouveau
rôle dans la liste Application.
b. Sélectionnez les applications Oracle, les fonctions, les rapports ainsi que les programmes
simultanés que les utilisateurs peuvent utiliser dans la liste Responsabilité.
c. Sélectionnez le groupe de sécurité auquel le nouveau rôle est affecté dans le groupe Sécurité
de la liste Groupe de sécurité.
d. A l'aide des boutons Ajouter et Supprimer figurant sous "Rôle actuel", vous pouvez modifier
les affectations du groupe de sécurité associées au rôle.
11. Cliquez sur Mettre à jour.
Les rôles seront mappés à la plateforme de BI.
Après avoir mappé les rôles dans la plateforme de BI, vous devez indiquer comment le système doit
les mettre à jour.
Rubriques associées
• Licences basées sur les rôles
7.9.2.1.1 Mise à jour des rôles et des utilisateurs Oracle EBS
Une fois l'authentification Oracle EBS activée, il est nécessaire de planifier et d'exécuter des mises à
jour régulières sur les rôles mappés qui ont été importés dans la plateforme de BI. Cela garantira que
les informations des rôles Oracle EBS mis à jour sont reflétées avec précision dans la plateforme de
BI.
Il existe deux options pour l'exécution et la planification des mises à jour de rôles Oracle EBS :
•
•
Mettre à jour les rôles uniquement : cette option permet uniquement de mettre à jour les liens entre
les rôles actuellement mappés qui ont été importés dans la plateforme de BI. Nous vous
recommandons d'utiliser cette option si vous avez l'intention d'exécuter des mises à jour fréquentes
et que vous êtes préoccupé par l'utilisation des ressources système. Aucun nouveau compte
utilisateur ne sera créé si vous effectuez uniquement une mise à jour des rôles Oracle EBS.
Mettre à jour les rôles et les alias : cette option permet non seulement de mettre à jour les liens
entre les rôles, mais aussi de créer des comptes utilisateur dans la plateforme de BI pour les alias
utilisateur ajoutés à des rôles dans le système Oracle EBS.
Remarque :
Si vous n'avez pas spécifié de créer automatiquement des alias utilisateur pour les mises à jour lors
de l'activation de l'authentification Oracle EBS, aucun compte ne sera créé pour les nouveaux alias.
7.9.2.1.2 Planification de mises à jour pour les rôles Oracle EBS
Après avoir mappé les rôles dans la plateforme de BI, vous devez indiquer comment le système doit
les mettre à jour.
1. Cliquez sur l'onglet Mise à jour de l'utilisateur.
359
2011-05-06
Authentification
2. Cliquez sur Planifier dans les sections "Mettre à jour les rôles uniquement" ou "Mettre à jour les
rôles et les alias".
Conseil :
Pour une exécution et une mise à jour immédiates, cliquez sur Mettre à jour maintenant.
Conseil :
Utilisez l'option "Mettre à jour les rôles uniquement" si vous souhaitez effectuer des mises à jour
fréquentes et que vous êtes préoccupé par les ressources système. Le système met plus de temps
à mettre à jour à la fois les rôles et les alias.
La boîte de dialogue "Périodicité" s'affiche.
3. Sélectionnez une option dans la liste déroulante "Exécuter l'objet" et indiquez toutes les informations
de planification demandées dans les champs correspondants.
Lorsque vous planifiez une mise à jour, vous pouvez choisir une des périodicités récapitulées dans
le tableau suivant :
360
Périodicité
Description
Toutes les heures
La mise à jour s'exécutera toutes les heures. Vous pouvez
spécifier l'heure à laquelle l'exécution démarrera, de même que
sa date de début et sa date de fin.
Tous les jours
La mise à jour s'exécutera tous les jours ou tous les N jours.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Toutes les semaines
La mise à jour s'exécutera toutes les semaines. Elle peut
s'exécuter une ou plusieurs fois par semaine. Vous pouvez
préciser les jours et l'heure auxquels l'exécution doit avoir lieu,
ainsi qu'une date de début et une date de fin.
Tous les mois
La mise à jour s'exécutera tous les mois ou tous les N mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Nième jour du mois
La mise à jour sera exécutée un jour spécifique du mois. Vous
pouvez préciser le jour du mois et l'heure auxquels l'exécution
aura lieu, ainsi que sa date de début et sa date de fin.
1er lundi du mois
La mise à jour sera exécutée le premier lundi de chaque mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
Dernier jour du mois
La mise à jour sera exécutée le dernier jour de chaque mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu,
de même que sa date de début et sa date de fin.
2011-05-06
Authentification
Périodicité
Description
Jour X de la Nième semaine du
mois
La mise à jour sera exécutée le jour indiqué de la semaine indiquée du mois. Vous pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que sa date de début et sa date de
fin.
Calendrier
La mise à jour s'exécutera aux dates spécifiées dans un calendrier précédemment créé.
4. Cliquez sur Planifier une fois les informations de planification fournies.
La date de la prochaine mise à jour de rôles planifiée est affichée dans l'onglet Mise à jour de
l'utilisateur.
Remarque :
Vous pouvez annuler à tout moment la prochaine mise à jour planifiée en cliquant sur Annuler les
mises à jour planifiées dans les sections "Mettre à jour les rôles uniquement" ou "Mettre à jour les
rôles et les alias".
7.9.3 Démappage de rôles
Afin d'empêcher certains utilisateurs de se connecter à la plateforme de BI, vous pouvez démapper
les rôles auxquels ils appartiennent.
7.9.3.1 Pour démapper un rôle
1. Connectez-vous en tant qu'administrateur à la Central Management Console.
2. Dans la zone Gérer, cliquez sur Authentification.
3. Cliquez deux fois sur le nom du système ERP pour lequel vous souhaitez démapper des rôles.
La page du système ERP affiche l'onglet Options.
4. Cliquez sur l'onglet Responsabilités ou Rôles.
5. Sélectionnez le rôle cible dans la zone Rôles importés et cliquez sur < ou sur Supprimer pour le
supprimer.
6. Cliquez sur Mettre à jour.
Les membres de ce rôle ne pourront plus accéder à la plateforme de BI, à moins de posséder
d'autres comptes ou alias.
361
2011-05-06
Authentification
Remarque :
Vous pouvez également supprimer des comptes individuels ou supprimer des utilisateurs des rôles
avant de les mapper à la plateforme de BI afin d'empêcher certains utilisateurs de se connecter.
7.9.4 Personnalisation des droits pour les groupes et utilisateurs Oracle EBS mappés
Lorsque vous mappez des rôles sur la plateforme de BI, vous pouvez définir des droits ou accorder
des autorisations aux groupes et utilisateurs créés.
7.9.4.1 Pour affecter des droits d'administration
Pour autoriser les utilisateurs à gérer la plateforme de BI, vous devez les désigner comme membres
du groupe de l'administrateur par défaut. Les membres de ce groupe reçoivent un contrôle total sur
tous les aspects du système, notamment les comptes, les serveurs, les dossiers, les objets, les
paramètres, etc.
1. Connectez-vous en tant qu'administrateur à la Central Management Console.
2. Dans la zone "Organiser", cliquez sur Utilisateurs.
3. Dans la colonne Nom, cliquez sur Administrateurs.
4. Cliquez sur Liste des groupes, puis sélectionnez Ajouter dans la liste Actions.
La page Utilisateurs/Groupes disponibles s'affiche.
5. Dans la zone Liste des utilisateurs ou Liste des groupes, sélectionnez le rôle mappé auquel vous
voulez affecter les droits d'administration.
6. Cliquez sur > pour faire du rôle un sous-groupe du groupe Administrateurs, puis cliquez sur OK.
Les membres de ce rôle possèdent désormais les droits d'administration sur la plateforme de BI.
Remarque :
Vous pouvez également créer un rôle dans Oracle EBS, ajouter les utilisateurs appropriés au rôle,
mapper le rôle à la plateforme de BI et faire du rôle mappé un sous-groupe du groupe de l'administrateur
par défaut pour accorder aux membres du rôle des droits d'administration.
7.9.4.2 Pour affecter des droits de publication
Si votre système inclut des utilisateurs désignés comme créateurs de contenu dans votre organisation,
vous pouvez leur accorder des autorisations pour publier des objets sur la plateforme de BI.
362
2011-05-06
Authentification
1. Connectez-vous en tant qu'administrateur à la Central Management Console.
2. Dans la zone "Organiser", cliquez sur Dossiers.
3. Accédez au dossier dans lequel vous souhaitez autoriser les utilisateurs à ajouter des objets.
4. Cliquez sur Gérer, Sécurité de niveau supérieur, puis sur Tous les dossiers.
5. Cliquez sur Ajouter des utilisateurs/groupes principaux.
La page Ajouter des utilisateurs/groupes principaux s'affiche.
6. Dans la liste Utilisateurs/Groupes disponibles, sélectionnez le groupe incluant les membres
auxquels vous souhaitez accorder des droits de publication.
7. Cliquez sur > pour permettre au groupe d'accéder au dossier, puis cliquez sur Ajouter et affecter
la sécurité.
La page Affecter la sécurité s'affiche.
8. Dans la liste Niveaux d'accès disponibles, sélectionnez le niveau d'accès voulu et cliquez sur >
pour affecter explicitement ce niveau d'accès.
9. Si les options Hériter du dossier parent et Hériter du groupe parent sont activées, désactivez-les,
puis cliquez sur Appliquer.
10. Cliquez sur OK.
Les membres du rôle ont maintenant l'autorisation d'ajouter des objets dans le dossier et tous ses
sous-dossiers. Pour supprimer les autorisations accordées, cliquez sur Supprimer l'accès.
7.9.5 Configuration de la connexion unique pour SAP Crystal Reports et Oracle EBS
Par défaut, la plateforme de BI est configurée pour permettre aux utilisateurs de SAP Crystal Reports
d'accéder aux données Oracle EBS à l'aide de la connexion unique.
7.9.5.1 Pour désactiver la connexion unique pour Oracle EBS et SAP Crystal
Reports
1. Dans la CMC (Central Management Console), cliquez sur Applications.
2. Cliquez deux fois sur Configuration de Crystal Reports.
3. Cliquez sur Options de connexion unique.
4. Sélectionnez crdb_oraapps.
5. Cliquez sur Supprimer.
6. Cliquez sur Enregistrer et fermer.
7. Redémarrez SAP Crystal Reports.
363
2011-05-06
Authentification
7.9.5.2 Pour réactiver la connexion unique pour Oracle EBS et SAP Crystal Reports
Pour réactiver la connexion unique pour Oracle EBS et SAP Crystal Reports, procédez comme suit.
1. Dans la CMC (Central Management Console), cliquez sur Applications.
2. Cliquez deux fois sur Configuration de Crystal Reports.
3. Cliquez sur Options de connexion unique.
4. Sous "Utiliser le contexte de connexion unique pour se connecter à la base de données", saisissez
crdb_oraapps.
5. Cliquez sur Ajouter.
6. Cliquez sur Enregistrer et fermer.
7. Redémarrez SAP Crystal Reports.
364
2011-05-06
Administration du serveur
Administration du serveur
8.1 Administration du serveur
8.1.1 Utilisation de la zone de gestion Serveurs de la CMC
La zone de gestion Serveurs de la CMC constitue votre principal outil pour les tâches de gestion des
serveurs. Elle fournit la liste de tous les serveurs de votre déploiement. Pour la plupart des tâches de
gestion et de configuration, vous devez sélectionner un serveur dans la liste et choisir une commande
dans le menu Gérer ou Action.
A propos de l'arborescence
L'arborescence de navigation dans la partie gauche de la zone de gestion Serveurs permet de visualiser
la liste des serveurs de différentes manières. Sélectionnez des éléments dans l'arborescence de
navigation pour modifier les informations affichées dans le volet "Détails".
365
Option de l'arborescence de navigation
Description
Liste des serveurs
Affiche la liste complète des serveurs du déploiement.
Liste des groupes de serveurs
Affiche une liste horizontale de tous les groupes
de serveurs disponibles dans le volet Détails.
Sélectionnez cette option si vous souhaitez configurer les paramètres ou la sécurité d'un groupe
de serveurs.
Groupes de serveurs
Répertorie les groupes de serveurs et les serveurs appartenant à chaque groupe. Lorsque
vous sélectionnez un groupe de serveurs, les
serveurs et groupes de serveurs correspondants
sont affichés dans le volet Détails d'une vue hiérarchique.
2011-05-06
Administration du serveur
Option de l'arborescence de navigation
Description
Noeuds
Affiche la liste des nœuds de votre déploiement.
Les nœuds sont configurés dans le CCM. Vous
pouvez sélectionner un nœud en cliquant dessus
pour visualiser ou gérer les serveurs qu'il contient.
Affiche la liste des types de service pouvant faire
partie de votre déploiement. Les catégories de
services sont divisées en services principaux de
la plateforme de BI et en services associés à des
composants SAP Business Objects spécifiques.
Les catégories de service comprennent :
Catégories de service
•
•
•
•
•
•
•
•
Services de connectivité
Services principaux
Services Crystal Reports
Services de fédération de données
Services de gestion du cycle de vie
Analysis Services
Services Web Intelligence
Services Dashboard Design
Sélectionnez une catégorie de service dans la liste de navigation pour visualiser ou gérer les
serveurs appartenant à cette catégorie.
Remarque :
Un serveur peut héberger des services appartenant à plusieurs catégories de services. Par conséquent, un serveur peut apparaître dans plusieurs catégories de services.
366
2011-05-06
Administration du serveur
Option de l'arborescence de navigation
Description
Affiche les serveurs en fonction de leur état actuel. Cet outil s'avère très utile pour vérifier quels
sont les serveurs en cours d'exécution ou arrêtés.
Si vous êtes confronté à un ralentissement des
performances système, vous pouvez utiliser la liste "Statut du serveur" pour déterminer rapidement si certains de vos serveurs présentent un état
anormal. Les états de serveur possibles sont les
suivants :
Statut du serveur
•
•
•
•
•
•
•
•
Arrêté
Démarrage en cours
Initialisation en cours
Exécution en cours
Arrêt en cours
A démarré avec des erreurs
Echec
Attente des ressources
A propos du volet Détails
Selon les options que vous avez sélectionnées dans l'arborescence, le volet "Détails" situé à droite de
la zone de gestion Serveurs affiche une liste des serveurs, groupes de serveurs, états, catégories ou
nœuds. Le tableau suivant décrit les informations répertoriées pour les serveurs dans le volet "Détails".
Remarque :
Pour les nœuds, groupes de serveurs, catégories et états, le volet "Détails" affiche généralement les
noms et les descriptions.
367
Colonne du volet Détails
Description
Nom du serveur ou Nom
Affiche le nom du serveur.
2011-05-06
Administration du serveur
Colonne du volet Détails
Description
Affiche le statut actuel du serveur. Vous pouvez
effectuer un tri par état de serveur à l'aide de la
liste "Statut du serveur" dans l'arborescence. Les
états de serveur possibles sont les suivants :
Etat
368
•
•
•
•
•
•
•
•
Arrêté
Démarrage en cours
Initialisation en cours
Exécution en cours
Arrêt en cours
A démarré avec des erreurs
Echec
Attente des ressources
Activé
Indique si le serveur est activé ou désactivé.
Périmé
Si le serveur est marqué comme Périmé, un redémarrage est nécessaire. Par exemple, si vous
modifiez certains paramètres du serveur dans
l'écran "Propriétés" du serveur, vous devrez peutêtre redémarrer le serveur pour prendre en compte les modifications.
Type
Affiche le type de serveur.
Nom d'hôte
Affiche le nom d'hôte du serveur.
Etat
Indique l'état général du serveur.
PID
Affiche le numéro d'identification unique du processus.
Description
Affiche une description du serveur. Vous pouvez
modifier cette description dans la page "Etat du
serveur" du serveur.
Date de modification
Affiche la date de la dernière modification du
serveur ou du dernier changement d'état du serveur. Cette colonne est très utile pour vérifier le
statut des serveurs récemment modifiés.
2011-05-06
Administration du serveur
Rubriques associées
• Gestion des groupes de serveurs
• Utilisation des nœuds
• Visualisation de l'état des serveurs
• Démarrage, arrêt et redémarrage d'un serveur
• Pour modifier les propriétés d'un serveur
8.1.2 Gestion des serveurs à l'aide de scripts sous Windows
Le fichier exécutable ccm.exe vous permet de démarrer, arrêter, redémarrer, activer et désactiver les
serveurs de votre déploiement Windows à partir de la ligne de commande.
Rubriques associées
• ccm.exe
8.1.3 Gestion des serveurs sous UNIX
Le fichier exécutable ccm.sh vous permet de démarrer, arrêter, redémarrer, activer et désactiver les
serveurs de votre déploiement Windows à partir de la ligne de commande.
Rubriques associées
• ccm.sh
8.1.4 Gestion des clés de licence
Cette section explique comment gérer les clés de licence pour votre déploiement de la plateforme de
BI.
Rubriques associées
• Pour afficher les informations de licence
• Pour ajouter une clé de licence
• Pour visualiser l'activité du compte actuel
369
2011-05-06
Administration du serveur
8.1.4.1 Pour afficher les informations de licence
La zone Clés de licence de la CMC identifie le nombre de licences basées sur des rôles (Visualiseur
BI et Analyste BI), d'accès simultanés, d'utilisateurs nommés et de processeurs associées à chaque
clé.
1. Accédez à la zone de gestion Clés de licence de la CMC.
2. Sélectionnez une clé de licence.
Les détails associés à la clé figurent dans la zone Informations sur la clé de licence. Pour acquérir
des clés de licence supplémentaires, contactez votre représentant commercial SAP.
Rubriques associées
• Gestion des clés de licence
• Pour ajouter une clé de licence
• Pour visualiser l'activité du compte actuel
8.1.4.2 Pour ajouter une clé de licence
Si vous effectuez une mise à niveau à partir d'une version d'essai du produit, vérifiez que vous supprimez
la clé Evaluation avant de procéder à l'ajout de nouvelles clés de licence ou de codes clé d'activation
de produit.
1. Accédez à la zone de gestion Clés de licence de la CMC.
2. Saisissez la clé dans le champ Ajouter une clé.
3. Cliquez sur Ajouter.
La clé est ajoutée à la liste.
Rubriques associées
• Pour afficher les informations de licence
• Pour visualiser l'activité du compte actuel
8.1.4.3 Pour visualiser l'activité du compte actuel
1. Accédez à la zone de gestion Paramètres de la CMC.
370
2011-05-06
Administration du serveur
2. Cliquez sur Afficher les métriques système globales.
Cette section affiche l'utilisation de la licence actuelle ainsi que des performances supplémentaires.
Rubriques associées
• Gestion des clés de licence
• Pour ajouter une clé de licence
• Pour afficher les informations de licence
8.1.5 Mesure des licences
Le BOLMT (BusinessObjects License Measurement Tool) est un utilitaire de ligne de commande Java
qui permet de recueillir et de stocker les données de licence de la plateforme de BI. Le document XML
de sortie, qui contient des mesures de déploiement de licences, est envoyé vers les services GLAS
(Global License Auditing Services) de SAP à des fins de consolidation dans le cadre de l'audit de
licences.
L'administrateur système installe et exécute le BOLMT pour chaque cluster de la plateforme de BI à
chaque fois qu'un audit de licences est demandé. BOLMT recueille les mesures d'utilisation des licences
basées sur les rôles, des licences Nommées et Utilisateur simultané.
L'administrateur peut indiquer un répertoire de sortie spécifique pour le document XML et configurer
le document de sortie de manière à ce qu'il ne contienne aucune information susceptible de permettre
d'identifier les utilisateurs système.
8.1.5.1 Exécution d'un audit de licences
Pour effectuer un audit de licences, vous devez disposer des droits d'administrateur et d'un accès au
répertoire contenant le fichier BOLMT.jar dans l'installation de la plateforme de BI.
1. Ouvrez une console de ligne de commande.
2. Accédez au répertoire contenant les exécutables Java de votre installation de la plateforme de BI
Par défaut, le fichier est installé dans le répertoire suivant :[REPINSTALL]\SAP BusinessObjects
Enterprise XI 4.0\java\lib
3. Exécutez le fichier BOLMT.jar.
La commande d'exécution est entrée au format suivant : -jar BOLMT.jar [options] <outputFile>
Le tableau ci-dessous résume les options disponibles :
371
2011-05-06
Administration du serveur
Option
Description
-c --cms
Spécifie l'identificateur de nom et le numéro de port utilisé pour le Central Management Server (CMS). Indiqué sous la forme nom du cms:numéro de
port. Par défaut, les paramètres du CMS pour l'hôte local sont utilisés si ce
paramètre n'est pas spécifié.
-p --password
Spécifie le mot de passe utilisé par le compte administrateur pour se connecter
au CMS.
-a--auth
Spécifie la méthode d'authentification utilisée pour établir la connexion entre
l'utilisateur et le CMS. La méthode par défaut est Entreprise spécifiée sous la
forme secEnterprise.
-s--sanitize
Spécifie que le document d'audit de sortie doit filtrer toute information personnelle susceptible de permettre d'identifier les utilisateurs.
Remarque :
La spécification du fichier de sortie constitue toujours le dernier argument de la ligne de commande.
Ce paramètre est facultatif. Si aucun argument n'est spécifié, la sortie standard de la console est
utilisée. Vous pouvez également acheminer la sortie vers le script en tant qu'argument de ligne de
commande.
Exemple :
C:\Program Files (x86)\SAP
Business Objects\SAP BusinessObjects Enterprise XI 4. 0\java\lib>"C:\Program Files
(x86)\SAP Business Objects\SAP BusinessObjects Enterprise XI 4.0\win64_x64\sapjvm\bin
\java.exe" -jar BOLMT.jar --cms=mycms:6400 -uAdministrator
-p=7juujg --auth=secEnterprise --sanitize audit.xml
8.1.6 Affichage et modification du statut d'un serveur
8.1.6.1 Visualisation de l'état des serveurs
Le statut d'un serveur correspond à son état de fonctionnement actuel : il peut être en cours d'exécution,
de démarrage ou d'arrêt, arrêté, en échec, en cours d'initialisation, démarré avec des erreurs ou en
attente de ressources. Pour pouvoir répondre à une requête de la plateforme SAP BusinessObjects
de Business Intelligence, le serveur doit être en cours d'exécution et activé. Bien qu'il s'exécute toujours
en tant que processus, un serveur désactivé ne peut accepter aucune requête des autres composants
de la plateforme SAP BusinessObjects de Business Intelligence. Un serveur arrêté n'est plus considéré
comme un processus en cours d'exécution.
372
2011-05-06
Administration du serveur
Cette section explique comment modifier l'état des serveurs à l'aide de la CMC.
Rubriques associées
• Pour visualiser le statut d'un serveur
• Démarrage, arrêt et redémarrage d'un serveur
• Activation et désactivation de serveurs
• Arrêt d'un Central Management Server
• Pour démarrer un serveur automatiquement
8.1.6.1.1 Pour visualiser le statut d'un serveur
1. Accédez à la zone de gestion "Serveurs" de la CMC.
Le volet "Détails" affiche les catégories de service de votre déploiement.
2. Pour afficher la liste des serveurs d'un groupe de serveurs, d'un nœud ou d'une catégorie de service,
cliquez sur l'élément concerné dans l'arborescence de navigation.
Le volet "Détails" affiche la liste des serveurs votre déploiement. La colonne Etat indique le statut
de chaque serveur de la liste.
3. Si vous souhaitez visualiser la liste de tous les serveurs affichant un statut donné, développez
l'option Statut du serveur dans l'arborescence de navigation et sélectionnez le statut de votre choix.
Une liste des serveurs ayant le statut sélectionné s'affiche dans le volet Détails.
Remarque :
Ceci peut s'avérer particulièrement utile lorsque vous devez visualiser rapidement une liste des
serveurs qui ne démarrent pas correctement ou se sont arrêtés de manière inattendue.
8.1.6.2 Démarrage, arrêt et redémarrage d'un serveur
Le démarrage, l'arrêt et le redémarrage des serveurs sont autant d'actions courantes que vous réalisez
lorsque vous configurez des serveurs ou les déconnectez. Par exemple, si vous souhaitez modifier le
nom d'un serveur, vous devez arrêter ce dernier au préalable. Une fois les modifications apportées, il
suffit de le redémarrer pour que les modifications soient prises en compte. Si vous modifiez les
paramètres de configuration d'un serveur, la CMC affiche un message d'invite lorsque vous devez
redémarrer le serveur.
La suite de cette section présente les cas où un changement de configuration nécessite l'arrêt ou le
redémarrage du serveur. Dans la mesure où ces tâches sont particulièrement fréquentes, vous trouverez
tout d'abord l'explication des concepts et des différences, puis les procédures générales à respecter.
373
2011-05-06
Administration du serveur
Action
Description
Arrêt d'un serveur
Vous pouvez être dans l'obligation d'arrêter les
serveurs plateforme SAP BusinessObjects de
Business Intelligence pour pouvoir modifier certaines propriétés et certains paramètres.
Démarrage d'un serveur
Si vous avez arrêté un serveur pour le configurer,
vous devez le redémarrer pour prendre les modifications en compte et vous assurer que le serveur
reprend le traitement des requêtes.
Redémarrage d'un serveur
Le redémarrage d'un serveur regroupe deux
étapes : son arrêt complet et son redémarrage.
Si vous devez redémarrer un serveur après avoir
modifié l'un de ses paramètres, vous y serez invité par la CMC.
Lancement automatique d'un serveur
Vous pouvez configurer les serveurs de sorte
qu'ils démarrent automatiquement lors du démarrage du Server Intelligence Agent.
Forcer l'arrêt
Arrête immédiatement le serveur (un serveur
s'arrête dès lors que toutes les activités de traitement en cours sont terminées). Ne forcez à se
terminer un serveur que lorsque l'arrêt du serveur
a échoué et que vous devez arrêter le serveur
immédiatement.
Conseil :
Lorsque vous arrêtez (ou redémarrez) un serveur, vous abandonnez le processus du serveur et, ce
faisant, arrêtez complètement ce dernier. Avant d'arrêter un serveur, il est recommandé de
• Désactiver le serveur pour qu'il puisse finir de traiter les travaux en cours, et
• S'assurer qu'il ne reste aucun événement d'audit dans la file. Pour visualiser le nombre d'événements
d'audit restant dans la file, accédez à l'écran "Métriques" du serveur et visualisez la métrique "Nombre
actuel d'événements d'audit en attente".
Rubriques associées
• Activation et désactivation de serveurs
374
2011-05-06
Administration du serveur
8.1.6.2.1 Pour démarrer, arrêter ou redémarrer des serveurs à l'aide de la CMC
1. Accédez à la zone de gestion "Serveurs" de la CMC.
Le volet "Détails" affiche les catégories de service de votre déploiement.
2. Pour afficher une liste des serveurs d'un groupe de serveurs, d'un nœud ou d'une catégorie de
service particuliers, sélectionnez cet élément dans le volet de navigation.
Le volet "Détails" affiche une liste de serveurs.
3. Si vous souhaitez visualiser la liste de tous les serveurs affichant un statut donné, développez
l'option Statut du serveur dans l'arborescence de navigation et sélectionnez le statut de votre choix.
Une liste de serveurs ayant le statut sélectionné s'affiche dans le volet "Détails".
Remarque :
Ceci peut s'avérer particulièrement utile lorsque vous devez visualiser rapidement une liste des
serveurs qui ne démarrent pas correctement ou se sont arrêtés de manière inattendue.
4. Cliquez avec le bouton droit de la souris sur le serveur dont vous souhaitez modifier le statut et,
selon l'action à effectuer, surDémarrer le serveur, Redémarrer le serveur, Arrêter le serveur ou
Forcer l'arrêt.
Rubriques associées
• Visualisation de l'état des serveurs
8.1.6.2.2 Pour démarrer, arrêter ou redémarrer un serveur Windows à l'aide du CCM
1. Dans le CCM, cliquez sur le bouton Gérer les serveurs de la barre d'outils.
2. Lorsque vous y êtes invité, connectez-vous à votre CMS avec un compte d'administrateur.
3. Dans la boîte de dialogue "Gérer les serveurs", sélectionnez le serveur que vous voulez démarrer,
arrêter ou redémarrer.
4. Cliquez sur Démarrer, Arrêter, Redémarrer ou Forcer l'arrêt.
5. Cliquez sur Fermer pour revenir au CCM.
8.1.6.2.3 Pour démarrer un serveur automatiquement
Par défaut, les serveurs de votre déploiement sont démarrés automatiquement au démarrage du Server
Intelligence Agent. La procédure suivante indique à quel niveau définir cette option.
1. Accédez à la zone de gestion Serveurs de la CMC.
2. Cliquez deux fois sur le serveur que vous souhaitez démarrer automatiquement.
L'écran "Propriétés" s'affiche.
3. Dans "Paramètres courants", cochez la case Démarrer automatiquement ce serveur au démarrage
du Server Intelligence Agent puis cliquez sur Enregistrer ou Enregistrer et fermer.
Remarque :
Si le paramètre de démarrage automatique est désélectionné pour tous les CMS du cluster, vous
devez utiliser le CCM pour redémarrer le système. Après avoir utilisé le CCM pour arrêter le SIA,
375
2011-05-06
Administration du serveur
cliquez avec le bouton droit sur le SIA et sélectionnez Propriétés. Sous l'onglet Démarrage, modifiez
le paramètre de démarrage automatique sur Oui, puis cliquez sur Enregistrer. Redémarrez le SIA.
8.1.6.3 Arrêt d'un Central Management Server
Si votre installation de la plateforme SAP BusinessObjects de Business Intelligence comporte plusieurs
Central Management Servers (CMS) actifs, vous pouvez fermer un seul CMS sans perdre de données,
ni affecter la fonctionnalité du système. Un autre CMS du nœud récupérera la charge du serveur arrêté.
La mise en cluster de plusieurs CMS permet d'effectuer la maintenance de chaque Central Management
Server à tour de rôle sans arrêter la plateforme SAP BusinessObjects de Business Intelligence.
Toutefois, si votre déploiement de la plateforme SAP BusinessObjects de Business Intelligence ne
comporte qu'un seul CMS, sa fermeture entraîne l'indisponibilité de la plateforme SAP BusinessObjects
de Business Intelligence pour les utilisateurs et interrompt le traitement des rapports et des programmes.
Pour éviter ce problème, le Server Intelligence Agent de chaque nœud vérifie qu'au moins un CMS
s'exécute en permanence. Vous pouvez arrêter un CMS en arrêtant son SIA, mais avant d'arrêter le
SIA, vous devez désactiver les serveurs de traitement via la CMC afin qu'ils terminent les travaux en
cours préalablement à la fermeture de la plateforme SAP BusinessObjects de Business Intelligence,
étant donné que tous les autres serveurs du nœud vont également être arrêtés.
Remarque :
Dans certaines situations, vous pouvez être amené à redémarrer le système à partir du CCM alors que
le CMS a été arrêté. Par exemple, si vous avez arrêté tous les CMS d'un nœud et que tous ces CMS
ne sont pas configurés pour démarrer automatiquement au démarrage du SIA, vous devez utiliser le
CCM pour redémarrer le système. Dans le CCM, cliquez avec le bouton droit sur le SIA et choisissez
Propriétés. Sous l'onglet Démarrage, modifiez le paramètre de démarrage automatique sur Oui, puis
cliquez sur Enregistrer. Redémarrez le SIA.
Si vous souhaitez configurer votre système de manière à pouvoir démarrer et arrêter le CMS dans le
cluster sans démarrer ou arrêter les autres serveurs, mettez le CMS sur un nœud séparé. Créez un
nœud et clonez le CMS sur ce nœud. Une fois le CMS sur son propre nœud, vous pouvez facilement
fermer ce nœud sans affecter les autres serveurs.
Rubriques associées
• Utilisation des nœuds
• Clonage des serveurs
• Mise en cluster de Central Management Servers
8.1.6.4 Activation et désactivation de serveurs
376
2011-05-06
Administration du serveur
Lorsque vous désactivez un serveur de la plateforme SAP BusinessObjects de Business Intelligence,
vous l'empêchez de recevoir de nouvelles requêtes de la plateforme SAP BusinessObjects de Business
Intelligence et d'y répondre, mais vous n'arrêtez pas véritablement le processus du serveur. Cela s'avère
utile lorsque vous souhaitez laisser un serveur terminer le traitement des requêtes en cours avant de
l'arrêter complètement.
Supposons, par exemple, que vous ayez à arrêter un Job Server avant de redémarrer l'ordinateur sur
laquelle il s'exécute. Vous voulez toutefois laisser le serveur mener à bien toutes les requêtes figurant
dans sa file d'attente. Vous commencez alors par désactiver le Job Server afin qu'il n'accepte plus
aucune autre requête. Accédez ensuite à la Central Management Console pour savoir à quel moment
le serveur termine les tâches en cours. (Dans la zone de gestion des "serveurs", cliquez avec le bouton
droit de la souris sur le serveur et sélectionnez "Métriques".) Puis, une fois le traitement des requêtes
en cours terminé, vous pouvez arrêter le serveur en toute sécurité.
Remarque :
•
•
Le CMS doit être en cours d'exécution pour que vous puissiez activer et/ou désactiver d'autres
serveurs.
Un CMS ne peut pas être activé ni désactivé.
8.1.6.4.1 Pour activer et désactiver des serveurs à l'aide de la CMC
1. Accédez à la zone de gestion "Serveurs" de la CMC.
2. Avec le bouton droit de la souris, cliquez sur le serveur dont vous souhaitez modifier le statut et,
selon l'action à effectuer, cliquez sur Activer le serveur ou Désactiver le serveur.
8.1.6.4.2 Pour activer ou désactiver un serveur Windows à l'aide du CCM
1. Dans le CCM, cliquez sur Gérer les serveurs.
2. Lorsque vous y êtes invité, connectez-vous à votre CMS à l'aide des références de connexion qui
vous confèrent des droits d'administration sur la plateforme de BI.
3. Dans la boîte de dialogue "Gérer les serveurs", sélectionnez le serveur que vous voulez activer ou
désactiver.
4. Cliquez sur Activer ou sur Désactiver.
5. Cliquez sur Fermer pour revenir au CCM.
8.1.7 Ajout, clonage ou suppression de serveurs
8.1.7.1 Ajout, clonage et suppression de serveurs
377
2011-05-06
Administration du serveur
Si vous souhaitez ajouter du matériel à la plateforme SAP BusinessObjects de Business Intelligence
en installant des composants serveur sur des machines supplémentaires, exécutez le programme
d'installation de la plateforme SAP BusinessObjects de Business Intelligence figurant dans votre produit.
Le programme d'installation vous permet de procéder à une installation personnalisée. Durant l'installation
personnalisée, spécifiez le CMS pour votre déploiement existant, puis sélectionnez les composants
que vous souhaitez installer sur l'ordinateur local. Pour des informations détaillées sur les options
d'installation personnalisée, voir le Guide d'installation de la plateforme SAP BusinessObjects de
Business Intelligence.
8.1.7.1.1 Ajout d'un serveur
Vous pouvez exécuter plusieurs instances du même serveur de plateforme de BI sur la même machine.
Pour ajouter un serveur :
1. Accédez à la zone de gestion "Serveurs" de la CMC.
2. Dans le menu Gérer, cliquez sur Nouveau > Nouveau serveur.
La boîte de dialogue "Créer un serveur" s'affiche.
3. Sélectionnez la Catégorie de service.
4. Sélectionnez le type de service dont vous avez besoin dans la liste Sélectionner le service, puis
cliquez sur Suivant.
5. Pour ajouter un service supplémentaire au serveur, sélectionnez le service dans la liste Services
supplémentaires disponibles, puis cliquez sur >.
Remarque :
Les services supplémentaires ne sont pas disponibles pour tous les types de serveur.
6. Après avoir ajouté les services supplémentaires souhaités, cliquez sur Suivant.
7. Si votre architecture de plateforme de BI est composée de plusieurs nœuds, sélectionnez celui où
vous voulez ajouter le nouveau serveur dans la liste Nœud.
8. Saisissez le nom du serveur dans zone Nom.
Chaque serveur du système doit disposer d'un nom unique. La convention de désignation par défaut
est <NOM_DE_NOEUD>.<type_serveur> (un numéro est ajouté s'il existe plusieurs serveurs du
même type sur la machine hôte).
9. Pour inclure une description du serveur, saisissez-en une dans la zone Description.
10. Si vous ajoutez un nouveau CMS (Central Management Server), spécifiez un numéro de port dans
le champ Port du serveur de noms.
11. Cliquez sur Créer.
Le nouveau serveur figure désormais dans la liste des serveurs, dans la zone Serveurs de la CMC,
mais il n'est ni démarré, ni activé.
12. Utilisez la CMC pour démarrer puis activer le nouveau serveur lorsque vous souhaitez qu'il commence
à répondre aux requêtes de la plateforme de BI.
Rubriques associées
• Services et serveurs
• Configuration des paramètres des serveurs
378
2011-05-06
Administration du serveur
• Configuration des numéros de port
• Visualisation de l'état des serveurs
8.1.7.1.2 Clonage des serveurs
Si vous voulez ajouter une instance de serveur à votre déploiement, vous pouvez cloner un serveur
existant. Le serveur cloné conserve les paramètres de configuration du serveur d'origine. Cette
fonctionnalité peut être particulièrement utile si vous développez votre déploiement et souhaitez créer
des instances de serveur utilisant presque tous les paramètres de configuration d'un serveur existant.
Le clonage simplifie également la procédure de déplacement des serveurs d'un nœud à l'autre. Si vous
souhaitez déplacer un CMS existant vers un autre nœud, vous pouvez le cloner sur le nouveau nœud.
Le CMS cloné apparaît sur le nouveau nœud et conserve tous les paramètres de configuration du CMS
d'origine.
Certains aspects sont toutefois à prendre en considération lorsque vous clonez des serveurs. Vous ne
souhaitez peut-être pas cloner tous les paramètres ; il est donc conseillé de toujours vérifier le serveur
cloné afin de s'assurer que sa configuration est appropriée à vos besoins. Par exemple, si vous clonez
un CMS sur le même ordinateur, veillez à modifier les paramètres de numéro de port qui ont été copiés
depuis le CMS d'origine sur le CMS cloné.
Remarque :
•
•
•
Avant de cloner des serveurs, assurez-vous que tous les ordinateurs de votre déploiement disposent
de la même version de la plateforme SAP BusinessObjects de Business Intelligence (et au besoin
des éventuelles mises à jour).
Il est possible de cloner des serveurs à partir de n'importe quel ordinateur. Toutefois, vous ne pouvez
cloner des serveurs que sur les ordinateurs où sont installées les données binaires requises pour
le serveur.
Lorsque vous clonez un serveur, le nouveau serveur n'utilise pas obligatoirement les mêmes
références de système d'exploitation. Le compte utilisateur est contrôlé par le Server Intelligence
Agent sous lequel le serveur est exécuté.
Utilisation des espaces réservés pour les paramètres de serveur
Les espaces réservés sont des variables de niveau de nœud utilisées par les serveurs exécutés sur
le nœud. Les espaces réservés sont répertoriés sur une page dédiée de la CMC (Central Management
Console). Lorsque vous cliquez deux fois sur un des noms répertoriés sous "Serveurs" dans la CMC,
un lien vers les “Espaces réservés” s'affiche dans le volet de navigation gauche. La page "Espaces
réservés" dresse la liste de tous les noms d'espace réservé disponibles et de leurs valeurs associées
pour le serveur sélectionné. Les espaces réservés contiennent des valeurs en lecture seule et leurs
noms commencent et finissent par le signe pour cent %.
Remarque :
Vous pouvez toujours remplacer un espace réservé par une chaîne spécifique dans la page "Propriétés
du serveur" de la CMC.
379
2011-05-06
Administration du serveur
Exemple :
Les espaces réservés sont utiles dans le cas de clonage de serveurs. Par exemple, SAP
BusinessObjects Enterprise est installé sur l'ordinateur à plusieurs lecteurs A, sous C:\Program
Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI 4.0. L'espace
réservé %DefaultAuditingDir% sera donc D:\Program Files (x86)\SAP
BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\Auditing\.
Imaginons également que SAP BusinessObjects Enterprise soit installé sur un autre ordinateur,
l'ordinateur B, ne comportant qu'un seul lecteur (pas de lecteur D), sous C:\Program Files
(x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI 4.0. Dans ce cas,
l'espace réservé %DefaultAuditingDir% sera donc C:\Program Files (x86)\SAP
BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\Auditing\
Si vous cloner l'Event Server de l'ordinateur A vers l'ordinateur B en utilisant des espaces réservés
pour le répertoire temporaire d'audit, les espaces réservés seront automatiquement résolus et
l'Event Server fonctionnera correctement. Si vous n'utilisez pas d'espaces réservés, l'Event Server
échouera à moins que vous ne remplaciez manuellement le paramètre du répertoire temporaire d'audit.
Pour cloner un serveur
1. Sur l'ordinateur sur lequel vous voulez ajouter le serveur cloné, accédez à la zone de gestion
"Serveurs" de la CMC.
2. Cliquez avec le bouton droit de la souris sur le serveur que vous souhaitez cloner et sélectionnez
Cloner un serveur.
La boîte de dialogue "Cloner un serveur" s'affiche.
3. Saisissez un nom pour le serveur (ou utilisez le nom par défaut) dans le champ Nom du nouveau
serveur.
4. Si vous clonez un CMS (Central Management Server), spécifiez un numéro de port dans le champ
Port du serveur de noms.
5. Dans la liste Cloner sur le noeud, choisissez le nœud sur lequel ajouter le serveur cloné, puis
cliquez sur OK.
Le nouveau serveur apparaît dans la zone de gestion des "serveurs" de la CMC.
Remarque :
Les paramètres relatifs au numéro de port sont également clonés. Bien souvent, notamment en cas
de clonage d'un CMS, vous devrez modifier le numéro de port pour éviter toute confusion entre le
serveur d'origine et son clone.
8.1.7.1.3 Suppression d'un serveur
1. Accédez à la zone de gestion "Serveurs" de la CMC.
2. Arrêtez le serveur que vous voulez supprimer.
3. Cliquez avec le bouton droit de la souris sur ce serveur, puis sélectionnez Supprimer.
4. Lorsque le système vous invite à confirmer votre choix, cliquez sur OK.
380
2011-05-06
Administration du serveur
8.1.8 Mise en cluster de Central Management Servers
8.1.8.1 Mise en cluster de Central Management Servers
Si vous disposez d'une mise en œuvre importante ou stratégique de la plateforme SAP BusinessObjects
de Business Intelligence, vous souhaiterez probablement exécuter plusieurs ordinateurs CMS ensemble
au sein d'un cluster. Un cluster est constitué d'au moins deux serveurs CMS travaillant ensemble sur
une base de données système du CMS. En cas de défaillance de l'un des ordinateurs du cluster, le
transfert se fait automatiquement vers un autre CMS afin d'assurer la prise en charge des requêtes
dans la plateforme SAP BusinessObjects de Business Intelligence. Cette prise en charge "haute
disponibilité" vous aide à vous assurer que les utilisateurs de la plateforme SAP BusinessObjects de
Business Intelligence peuvent accéder aux informations en cas de défaillance de l'équipement.
Cette section vous explique comment ajouter un nouveau membre de cluster de CMS à un système
de production pleinement fonctionnel. Lorsque vous ajoutez un CMS à un cluster existant, vous
demandez au nouveau CMS de se connecter à la base de données système actuelle du CMS et de
répartir la charge de traitement entre les serveurs CMS existants. Pour en savoir plus sur le CMS actuel,
accédez à la zone de gestion Serveurs de la CMC.
Avant de procéder à la mise en cluster d'ordinateurs CMS, vous devez vous assurer que chaque CMS
est installé sur un système qui présente la configuration requise (y compris les versions et les correctifs
requis) en termes de système d'exploitation, de serveur de bases de données, de mode d'accès aux
bases de données, de pilote de bases de données et de client de bases de données. Cette configuration
est indiquée dans le fichier platforms.txt fourni avec le produit.
Vous devez également respecter les exigences suivantes en matière de mise en cluster.
381
•
Pour des performances optimales, le serveur de base de données qui héberge la base de données
système doit être capable de traiter des requêtes simples très rapidement. Le CMS communique
fréquemment avec la base de données système et lui adresse de nombreuses requêtes simples.
Si le serveur de base de données est incapable de traiter rapidement ces requêtes, les performances
de la plateforme SAP BusinessObjects de Business Intelligence s'en trouveront fortement réduites.
•
Pour des performances optimales, exécutez chaque membre du cluster de CMS sur une machine
disposant de la même quantité de mémoire et du même type de processeur.
•
Configurez chaque ordinateur de manière identique :
•
Installez le même système d'exploitation, y compris les mêmes versions de Service Pack et de
correctifs.
•
Installez la même version de la plateforme SAP BusinessObjects de Business Intelligence
(correctifs compris, le cas échéant).
2011-05-06
Administration du serveur
•
Vérifiez que chaque CMS se connecte à la base de données système du CMS de la même
manière, c'est-à-dire à l'aide d'un pilote natif ou d'un pilote ODBC. Veillez à ce que les pilotes
soient identiques sur chaque ordinateur et à ce que leur version soit prise en charge.
•
Veillez à ce que chaque CMS utilise le même client de base de données pour se connecter à sa
base de données système et qu'il s'agit d'une version prise en charge.
•
Vérifiez que chaque CMS utilise le même compte utilisateur de base de données et le même
mot de passe pour se connecter à la base de données système. Ce compte doit posséder les
droits de création, suppression et mise à jour sur la base de données système.
•
Assurez-vous que les nœuds sur lesquels se trouve chaque CMS sont exécutés sous le même
compte de système d'exploitation. (Sous Windows, le compte par défaut est "LocalSystem".)
•
Vérifiez que la date et l'heure sont correctes sur chaque ordinateur (y compris les paramètres
relatifs à l'heure d'été).
•
Assurez-vous d'avoir installé les mêmes fichiers WAR sur tous les serveurs d'applications Web
du cluster. Pour en savoir plus sur le déploiement des fichiers WAR, voir le Guide d'installation
de la plateforme SAP BusinessObjects de Business Intelligence.
•
Assurez-vous que tous les CMS du cluster sont situés sur le même réseau local.
•
Si votre cluster comporte plus de huit serveurs CMS, vérifiez que la ligne de commande de chaque
CMS comprend l'option -oobthreads <numCMS>, <numCMS> correspondant au nombre de serveurs
CMS du cluster. Cette option garantit que le cluster peut gérer des charges importantes. Pour en
savoir plus sur la configuration des lignes de commande des serveurs, voir l'annexe Lignes de
commande des serveurs du Guide d'administration de la plateforme SAP BusinessObjects de
Business Intelligence.
•
Si vous souhaitez activer l'audit, chaque CMS doit être configuré de manière à utiliser la même base
de données d'audit et la même méthode de connexion à cette base de données. Les exigences
requises pour la base de données d'audit sont identiques à celles de la base de données système
en termes de serveurs, de clients, de modes d'accès, de pilotes et d'ID utilisateur.
Conseil :
Par défaut, le nom d'un cluster correspond au nom spécifique du premier CMS que vous installez.
Rubriques associées
• Modification du nom d'un cluster de CMS
8.1.8.1.1 Ajout d'un CMS à un cluster
Il existe plusieurs façons d'ajouter un nouveau membre à un cluster de CMS. Suivez la procédure
appropriée :
382
•
Vous pouvez installer un nouveau nœud avec un CMS sur un nouvel ordinateur.
•
Si vous possédez déjà un nœud avec des fichiers binaires de CMS, vous pouvez ajouter un nouveau
serveur CMS à partir de la CMC.
•
Si vous possédez déjà un nœud avec les fichiers binaires de CMS, vous pouvez également ajouter
un nouveau serveur CMS en clonant un serveur CMS existant.
2011-05-06
Administration du serveur
Remarque :
Réalisez une copie de sauvegarde de la base de données système du CMS et du contenu de vos Input
et Output File Repositories actuels avant d'y apporter des modifications. Si nécessaire, contactez
l'administrateur de votre base de données.
Rubriques associées
• Ajout d'un nœud à un cluster
• Ajout d'un serveur
• Clonage des serveurs
• Sauvegarde et restauration de votre système
8.1.8.1.2 Ajout d'un nœud à un cluster
Lorsque vous ajoutez un nœud, vous devez préciser si vous voulez créer un CMS ou ajouter le nœud
à un cluster sur un CMS existant.
Si vous souhaitez ajouter un nœud à un cluster sur un CMS existant, vous pouvez également utiliser
le programme d'installation. Exécutez le programme d'installation de la plateforme SAP BusinessObjects
de Business Intelligence sur la machine où vous souhaitez installer le nouveau membre du cluster de
CMS. Le programme d'installation vous permet de procéder à une installation personnalisée. Au cours
de l'installation personnalisée, indiquez le nom du CMS existant dont vous souhaitez développer le
système, puis sélectionnez les composants à installer sur l'ordinateur local. Dans ce cas, saisissez le
nom du CMS qui exécute le système existant, puis choisissez d'installer un nouveau CMS sur la machine
locale. Ensuite, fournissez au programme d'installation les informations dont il a besoin pour se connecter
à la base de données système du CMS actuel. Lorsque le programme d'installation installe le nouveau
CMS sur l'ordinateur local, il ajoute automatiquement le serveur au cluster existant.
Rubriques associées
• Utilisation des nœuds
8.1.8.1.3 Ajout de clusters aux fichiers de propriétés d'application Web
Si vous avez ajouté des CMS supplémentaires à votre déploiement et si vous utilisez un serveur
d'applications Java, vous devez modifier le fichier PlatformServices.properties dans le répertoire
\webapps\BOE\WEB-INF\config\custom de votre déploiement d'applications Web.
Pour définir des propriétés de cluster pour l'application Web BOE
1. Accédez au dossier personnalisé pour le fichier BOE.war sur l'ordinateur hébergeant les applications
Web.
Si vous utilisez le serveur d'applications Web Tomcat fourni avec l'installation de la plateforme SAP
BusinessObjects de Business Intelligence, vous pouvez directement accéder au répertoire suivant :
C:\Program Files (x86)\SAP BusinessObjects\Tomcat6\webapps\BOE\WEBINF\config\custom\
383
2011-05-06
Administration du serveur
Conseil :
Si vous utilisez un serveur d'applications Web ne permettant pas l'accès direct aux applications
Web déployées, vous pouvez utiliser le dossier suivant dans l'installation de votre produit pour
modifier le fichier BOE.war.
<REPINSTALL>\SAP BusinessObjects Business Intelligence platform 4.0\war
files\webapps\BOE\WEB-INF\config\custom\.
Vous devrez redéployer ultérieurement le fichier BOE.war modifié.
2. Créez un fichier.
Remarque :
Utilisez Notepad ou tout autre éditeur de texte.
3. Spécifiez les propriétés de cluster de la CMC
La propriété cms.cluster permet de spécifier tous les clusters du déploiement. Chaque nom de
cluster doit être précédé par le caractère @ et séparé par une virgule. Par exemple, cms.clus
ters=@samplecluster,@samplecluster2, @samplecluster3. Utilisez la propriété
cms.clusters.[nom du cluster] pour spécifier chaque CMS contenu dans le cluster. Par
exemple :
cms.clusters=@samplecluster,@samplecluster2, @samplecluster3
cms.clusters.samplecluster=cmsone:6400,cmstwo
cms.clusters.samplecluster2=cms3,cms4, cms5
cms.clusters.samplecluster3=aps05
Remarque :
Séparez les noms des CMS par une virgule. Le numéro de port est séparé du nom de CMS par le
signe deux-points. Le numéro de port est supposé être 6400, sauf indication contraire. Répétez la
procédure pour chaque cluster disponible.
4. Enregistrez le fichier sous le nom suivant .
PlatformServices.properties
5. Redémarrez le serveur d'applications.
Les nouvelles propriétés ne prennent effet que lorsque l'application Web BOE est redéployée sur
l'ordinateur exécutant le serveur d'applications Web. Utilisez WDeploy pour redéployer le fichier WAR
sur le serveur d'applications Web. Pour en savoir plus sur l'utilisation de WDeploy, voir le Guide de
déploiement d'applications Web de la plateforme SAP BusinessObjects de Business Intelligence.
8.1.8.1.4 Modification du nom d'un cluster de CMS
Cette procédure vous permet de modifier le nom d'un cluster déjà installé. Une fois le nom du cluster
de CMS modifié, le Server Intelligence Agent reconfigure automatiquement chaque serveur SAP
Business Objects afin qu'il soit enregistré auprès du cluster, plutôt qu'auprès d'un CMS donné.
Remarque :
Pour les administrateurs expérimentés de la plateforme SAP BusinessObjects de Business Intelligence,
notez que vous ne pouvez plus utiliser l'option -ns sur la ligne de commande du serveur pour configurer
le CMS avec lequel un serveur doit s'enregistrer. Cette procédure est désormais gérée automatiquement
par le SIA.
384
2011-05-06
Administration du serveur
Pour modifier le nom d'un cluster sous Windows
1. Utilisez le CCM pour arrêter le Server Intelligence Agent pour le nœud contenant le Central
Management Server membre du cluster dont vous voulez modifier le nom.
2. Cliquez avec le bouton droit sur le Server Intelligence Agent et choisissez Propriétés.
3. Dans la boîte de dialogue Propriétés, cliquez sur l'onglet Configuration.
4. Cochez la case Changer nom de cluster en.
5. Saisissez le nouveau nom du cluster.
6. Cliquez sur OK, puis redémarrez le Server Intelligence Agent.
Le nom du cluster de CMS a changé. Tous les autres membres de cluster de CMS sont
dynamiquement informés du nouveau nom de cluster (cependant cela peut prendre quelques minutes
avant que vos modifications n'arrivent aux membres du cluster).
7. Accédez à la zone de gestion Serveurs de la CMC et vérifiez que tous vos serveurs restent activés.
Si nécessaire, activez les serveurs qui ont éventuellement été désactivés à la suite de vos
modifications.
Pour modifier le nom d'un cluster sous UNIX
Utilisez le script cmsdbsetup.sh. Pour plus d'informations, voir le chapitre Outils Unix du Guide
d'administration de la plateforme SAP BusinessObjects de Business Intelligence.
8.1.9 Gestion des groupes de serveurs
Les groupes de serveurs vous permettent d'organiser vos serveurs de la plateforme SAP
BusinessObjects de Business Intelligence afin d'en faciliter la gestion. En d'autres termes, lorsque vous
gérez un groupe de serveurs, vous n'avez besoin d'afficher qu'un sous-ensemble de tous les serveurs
de votre système. Plus important encore, les groupes de serveurs constituent un outil puissant pour
personnaliser la plateforme SAP BusinessObjects de Business Intelligence afin d'optimiser votre système
pour des utilisateurs dispersés ou pour des objets de différents types.
Si vous groupez vos serveurs par région, vous pouvez facilement configurer des paramètres de traitement
par défaut, des planifications périodiques et planifier des destinations appropriées pour les utilisateurs
travaillant dans un bureau régional particulier. Vous pouvez associer un objet à un groupe de serveurs
unique afin qu'il soit toujours traité par les mêmes serveurs. Vous pouvez également associer des
objets planifiés à un groupe de serveurs particulier, afin de garantir que les objets planifiés soient
envoyés sur les imprimantes correctes, les serveurs de fichiers corrects, etc. Ainsi, les groupes de
serveurs se révèlent particulièrement utiles pour la maintenance des systèmes qui couvrent plusieurs
emplacements et plusieurs fuseaux horaires.
Si vous regroupez les serveurs par type, vous pouvez configurer les objets de manière à ce qu'ils soient
traités par des serveurs optimisés pour ces objets. Par exemple, les serveurs de traitement doivent
communiquer fréquemment avec la base de données contenant les données des rapports publiés. Le
385
2011-05-06
Administration du serveur
fait de placer les serveurs de traitement près du serveur de base de données auquel ils doivent accéder
améliore les performances du système et réduit au minimum le trafic réseau. Par conséquent, si de
nombreux rapports doivent être exécutés par rapport à une base de données DB2, vous pouvez créer
un groupe de serveurs de traitement qui traitent les rapports uniquement par rapport au serveur de
base de données DB2. Si, ensuite, vous configurez les rapports appropriés de manière à
systématiquement utiliser ce groupe de serveurs de traitement pour les visualiser, vous améliorez les
performances du système lors de la visualisation.
Après la création des groupes de serveurs, configurez les objets pour qu'ils utilisent des groupes de
serveurs spécifiques pour la planification ou la visualisation et la modification de rapports. Utilisez
l'arborescence de navigation de la zone de gestion Serveurs de la CMC pour visualiser les groupes de
serveurs. L'option Liste des groupes de serveurs affiche la liste des groupes de serveurs dans le volet
Détails. L'option Groupes de serveurs permet de visualiser les serveurs appartenant au groupe.
8.1.9.1 Création d'un groupe de serveurs
Pour créer un groupe de serveurs, vous devez spécifier le nom et la description du groupe, puis ajouter
des serveurs à ce groupe.
8.1.9.1.1 Pour créer un groupe de serveurs
1. Accédez à la zone de gestion "Serveurs" de la CMC.
2. Choisissez Gérer > Nouveau > Créer des groupes de serveurs.
La boîte de dialogue "Créer des groupes de serveurs" s'affiche.
3. Dans le champ Nom, saisissez un nom pour le nouveau groupe de serveurs.
4. Si vous souhaitez ajouter des informations concernant le groupe de serveurs, saisissez-les dans le
champ Description.
5. Cliquez sur OK.
6. Dans la zone de gestion "Serveurs ", cliquez sur Groupes de serveurs dans l'arborescence de
navigation et sélectionnez le nouveau groupe de serveurs.
7. Choisissez Ajouter des membres à partir du menu Actions.
8. Sélectionnez les serveurs que vous souhaitez ajouter à ce groupe, puis cliquez sur la flèche >.
Conseil :
Utilisez la combinaison CTRL + +clic pour sélectionner plusieurs serveurs.
9. Cliquez sur OK.
La zone de gestion "Serveurs" s'affiche de nouveau et répertorie maintenant tous les serveurs que
vous avez ajoutés au groupe. Vous pouvez à présent modifier le statut, afficher les performances
des serveurs et modifier les propriétés des serveurs du groupe.
Rubriques associées
• Visualisation de l'état des serveurs
386
2011-05-06
Administration du serveur
8.1.9.2 Utilisation des sous-groupes de serveurs
Les sous-groupes de serveurs vous permettent de mieux organiser vos serveurs. Un sous-groupe est
simplement un groupe de serveurs qui fait partie d'un autre groupe de serveurs.
Par exemple, si vous groupez des serveurs par région et par pays, chaque groupe régional devient un
sous-groupe d'un groupe national. Pour organiser des serveurs de cette façon, créez tout d'abord un
groupe pour chaque région et ajoutez les serveurs appropriés à chaque groupe régional. Puis créez
un groupe pour chaque pays et ajoutez chaque groupe régional au groupe national correspondant.
Il existe deux façons de configurer les sous-groupes : vous pouvez modifier les sous-groupes d'un
serveur ou rendre un groupe de serveurs membre d'un autre. Le résultat est le même, choisissez donc
la méthode qui s'avère la plus pratique.
8.1.9.2.1 Pour ajouter des sous-groupes à un groupe de serveurs
1. Accédez à la zone de gestion "Serveurs" de la CMC.
2. Cliquez sur Groupes de serveurs dans l'arborescence de navigation et sélectionnez le groupe de
serveurs auquel vous souhaitez ajouter des sous-groupes.
Ce groupe est le groupe parent.
3. Choisissez Ajouter des membres à partir du menu Actions.
4. Cliquez sur Groupes de serveurs dans l'arborescence de navigation, sélectionnez les groupes de
serveurs que vous souhaitez ajouter à ce groupe, puis cliquez sur la flèche >.
Conseil :
Utilisez la combinaison CTRL + +clic pour sélectionner plusieurs groupes de serveurs.
5. Cliquez sur OK.
La zone de gestion "Serveurs" s'affiche de nouveau et répertorie maintenant tous les groupes de
serveurs que vous avez ajoutés au groupe parent.
8.1.9.2.2 Pour qu'un groupe de serveurs soit membre d'un autre groupe
1. Accédez à la zone de gestion "Serveurs" de la CMC.
2. Cliquez sur le groupe que vous souhaitez ajouter à un autre groupe.
3. Choisissez Ajouter à un groupe de serveurs dans le menu Actions.
4. Dans la liste Groupes de serveurs disponibles, sélectionnez les autres groupes auxquels vous
souhaitez ajouter le groupe, puis cliquez sur la flèche >.
Conseil :
Utilisez la combinaison CTRL + + clic pour sélectionner plusieurs groupes de serveurs.
5. Cliquez sur OK.
387
2011-05-06
Administration du serveur
8.1.9.3 Modification de l'appartenance d'un serveur à un groupe
Vous pouvez modifier l'appartenance d'un serveur à un groupe en ajoutant ou en supprimant le serveur
d'un groupe ou sous-groupe préalablement créé sur le système.
Par exemple, supposons que vous ayez créé des groupes de serveurs pour un certain nombre de
régions. Vous pouvez souhaiter utiliser un seul et même CMS (Central Management Server) pour
plusieurs régions. Au lieu d'ajouter le CMS individuellement à chaque groupe de serveurs régional,
vous pouvez cliquer sur le lien Membre de du serveur pour l'ajouter aux trois régions en même temps.
8.1.9.3.1 Pour modifier l'appartenance d'un serveur à un groupe
1. Accédez à la zone de gestion "Serveurs" de la CMC.
2. Cliquez avec le bouton droit de la souris sur le serveur dont vous souhaitez modifier les informations
d'appartenance et sélectionnez Groupes de serveurs existants.
Dans le panneau Détails, la liste Groupes de serveurs disponibles affiche les groupes auxquels
vous pouvez ajouter le serveur. La liste Membre des groupes de serveurs affiche tous les groupes
de serveurs auquel le serveur appartient actuellement.
3. Pour modifier les groupes auxquels le serveur appartient, utilisez les flèches pour déplacer les
groupes de serveurs entre les listes, puis cliquez sur OK.
8.1.9.4 Accès utilisateur aux serveurs et groupes de serveurs
Vous pouvez utiliser des droits pour accorder à des personnes l'accès à des serveurs et à des groupes
de serveurs, afin qu'elles puissent réaliser des tâches telles que le démarrage et l'arrêt des serveurs.
Si la configuration et la sécurité de votre système l'exigent, vous pouvez limiter la gestion des serveurs
à l'administrateur de la plateforme SAP BusinessObjects de Business Intelligence. Toutefois, vous
pouvez être amené à accorder l'accès à d'autres personnes qui utilisent ces serveurs. De nombreuses
organisations disposent d'un groupe de professionnels de l'informatique qui se consacre à la gestion
des serveurs. Si votre équipe chargée de la gestion des serveurs doit régulièrement réaliser des tâches
de maintenance de serveur qui l'amènent à arrêter et à démarrer les serveurs, vous devez lui accorder
des droits sur les serveurs. Vous pouvez également souhaiter déléguer des tâches d'administration de
serveur de la plateforme SAP BusinessObjects de Business Intelligence à d'autres personnes. Vous
pouvez aussi souhaiter que différents groupes au sein de votre organisation contrôlent leur propre
gestion des serveurs.
8.1.9.4.1 Pour accorder l'accès à un serveur ou groupe de serveurs
1. Accédez à la zone de gestion "Serveurs" de la CMC.
388
2011-05-06
Administration du serveur
2. Cliquez avec le bouton droit de la souris sur le serveur ou groupe de serveurs auquel vous souhaitez
accorder l'accès et sélectionnez Sécurité de l'utilisateur.
3. Cliquez sur Ajouter des utilisateurs/groupes principaux pour ajouter les utilisateurs ou les groupes
auxquels vous voulez accorder l'accès au serveur ou groupe de serveurs sélectionné.
La boîte de dialogue "Ajouter des utilisateurs/groupes principaux" s'affiche.
4. Sélectionnez l'utilisateur ou le groupe auquel vous voulez accorder l'accès au serveur ou groupe
de serveurs spécifié, puis cliquez sur >.
5. Cliquez sur Ajouter et affecter la sécurité.
6. Dans l'écran "Affecter la sécurité", sélectionnez les paramètres de sécurité que vous souhaitez
affecter à l'utilisateur ou au groupe puis cliquez sur OK.
Pour en savoir plus sur l'affectation des droits, voir la section Définition des droits.
8.1.9.4.2 Droits d'accès aux objets du Report Application Server
Pour autoriser les utilisateurs à créer ou modifier des rapports sur le Web via le RAS (Report Application
Server), vous devez posséder des licences RAS Report Modification disponibles sur votre système.
Vous devez également accorder aux utilisateurs un minimum de droits d'accès aux objets. Lorsque
vous accordez aux utilisateurs ces droits pour un objet rapport, ils peuvent sélectionner le rapport
comme source de données d'un nouveau rapport ou modifier le rapport directement.
•
Visualiser les objets (ou “Afficher les instances du document”, le cas échéant)
•
Modifier les objets
•
Actualiser les données du rapport
•
Exporter les données du rapport
Les utilisateurs doivent également avoir les droits permettant d'ajouter des objets à au moins un dossier
avant de pouvoir enregistrer les nouveaux rapports dans la plateforme SAP BusinessObjects de Business
Intelligence.
Pour que les utilisateurs conservent la possibilité d'effectuer des tâches supplémentaires (telles que
copier, planifier, imprimer des rapports, etc.), il est recommandé de commencer par attribuer le niveau
d'accès approprié et de mettre à jour vos modifications. Modifiez ensuite le niveau d'accès en
sélectionnant Avancés et ajoutez tous les droits non encore accordés. Par exemple, si les utilisateurs
détiennent déjà les droits Visualiser à la demande pour un rapport, vous pouvez les autoriser à modifier
le rapport en sélectionnant le niveau d'accès Avancés et en leur octroyant les droits Modifier les objets.
Lorsque les utilisateurs visualisent les rapports via le visualiseur DHTML avancé et le RAS, le niveau
d'accès Visualiser est suffisant pour afficher le rapport, mais Visualiser à la demande est nécessaire
pour utiliser les fonctions de recherche avancée. Le droit supplémentaire Modifier les objets n'est pas
obligatoire.
8.1.10 Evaluation des performances du système
389
2011-05-06
Administration du serveur
8.1.10.1 Surveillance des serveurs de la plateforme SAP BusinessObjects de
Business Intelligence
L'application de surveillance offre la possibilité de capturer les métriques historiques et d'exécution des
serveurs de la plateforme SAP BusinessObjects de Business Intelligence pour le reporting et la
notification. L'application aide les administrateurs système à identifier si les serveurs fonctionnent
normalement et si les temps de réponse sont ceux escomptés.
Rubriques associées
• A propos de la surveillance
8.1.10.2 Analyse des performances du serveur
La CMC (Central Management Console) permet de visualiser les métriques des serveurs de votre
système. Ces performances fournissent des informations générales sur chaque machine ainsi que des
détails propres au type de serveur. La CMC vous permet aussi d'afficher les performances d'un système
et d'obtenir des informations sur la version du produit, le CMS et les activités en cours du système.
Remarque :
Vous pouvez visualiser uniquement les métriques des serveurs en cours d'exécution.
8.1.10.2.1 Affichage des métriques de serveur
1. Accédez à la zone de gestion "Serveurs" de la CMC.
2. Cliquez avec le bouton droit de la souris sur le serveur dont vous voulez afficher les métriques et
sélectionnez Métriques.
L'onglet "Métriques" affiche la liste des métriques du serveur.
Rubriques associées
• Pour modifier les propriétés d'un serveur
• A propos de l'annexe Métriques du serveur
8.1.10.3 Affichage des performances du système
390
2011-05-06
Administration du serveur
La zone de gestion "Paramètres" de la CMC affiche les métriques du système et vous offre des
informations générales sur votre installation de la plateforme SAP BusinessObjects de Business
Intelligence. La section "Propriétés" communique la version du produit et le numéro d'édition. Elle
contient également la source de données, le nom de la base de données et le nom d'utilisateur de la
base de données du CMS. Dans la section "Afficher les métriques système globales", vous trouverez
des informations sur l'activité du compte actuel ainsi que des statistiques sur les travaux en cours et
déjà traités. La section "Cluster" affiche le nom du CMS auquel vous êtes connecté, le nom du cluster
de CMS et les noms des autres membres du cluster.
8.1.10.3.1 Pour afficher les performances du système
1. Accédez à la zone de gestion "Paramètres" de la CMC.
2. Cliquez sur les flèches pour développer et visualiser les paramètres des sections "Propriétés",
"Afficher les métriques système globales" et "Cluster".
8.1.10.4 Journalisation des activités du serveur
La plateforme SAP BusinessObjects de Business Intelligence vous permet d'enregistrer, dans un
journal, des informations spécifiques en rapport avec les activités Web de la plateforme SAP
BusinessObjects de Business Intelligence.
•
De plus, chacun des serveurs de la plateforme SAP BusinessObjects de Business Intelligence est
conçu de manière à enregistrer les messages dans le journal système standard de votre système
d'exploitation.
•
Sous Windows, la plateforme SAP BusinessObjects de Business Intelligence se connecte au
service du journal d'événements. Vous pouvez consulter les résultats à l'aide de l'observateur
d'événements (dans le journal des applications).
•
Sous UNIX, la plateforme SAP BusinessObjects de Business Intelligence consigne les informations
dans le démon syslog sous forme d'application utilisateur. Chaque serveur ajoute son nom et
son PID au début des messages qu'il journalise.
Chaque serveur enregistre aussi des messages d'assertion dans le répertoire des journaux de
l'installation du produit. Les informations programme consignées dans ces fichiers ne s'adressent
généralement qu'au personnel du support technique de SAP Business Objects et facilitent les tâches
de débogage. L'emplacement de ces fichiers journaux dépend de votre système d'exploitation :
•
Sous Windows, le répertoire de journalisation par défaut est <REPINSTALL>\SAP
BusinessObjects Enterprise XI 4.0\Logging
•
Sous UNIX, le répertoire de journalisation par défaut est le répertoire REPINSTALL/sap_bobj/log
ging de votre installation.
N'oubliez pas que ces fichiers journaux sont nettoyés automatiquement et que le volume de données
journalisées par serveur ne dépasse jamais 1 Mo.
391
2011-05-06
Administration du serveur
Remarque :
Pour que la journalisation fonctionne sur les ordinateurs UNIX hébergeant les serveurs de la plateforme
SAP BusinessObjects de Business Intelligence, vous devez définir et configurer la journalisation système
de sorte que tous les messages journalisés dans la structure “utilisateur” du niveau “info” ou supérieur
soient enregistrés. Vous devez également configurer SYSLOGD pour accepter la connexion à distance.
Les procédures de configuration varient d'un système à l'autre. Consultez la documentation de votre
système d'exploitation pour obtenir des instructions spécifiques.
8.1.10.5 Configuration des serveurs dans la CMC pour optimiser les performances
de Publishing
Généralement, vous pouvez effectuez les opérations suivantes pour optimiser les performances du
serveur pour Publishing :
•
•
Dans la zone "Serveurs" de la CMC, désactivez les serveurs non requis. Par exemple, si vous
exécutez une seule publication de rapport Crystal, vous pouvez désactiver les serveurs
Desktop Intelligence et Web Intelligence. Cependant, vérifiez d'abord que les serveurs à désactiver
ne sont pas utilisés par d'autres utilisateurs du système.
Pour les Job Servers utilisés dans Publishing, assurez-vous que Nombre maximal de travaux
simultanés est défini sur cinq par UC. Pour ce faire, dans la zone "Serveurs", sélectionnez le Job
Server et cliquez sur Gérer > Propriétés.
Prévoyez de modifier le niveau de détail enregistré par l'Adaptive Processing Server.
Remarque :
L'augmentation du niveau de détail dans les fichiers journaux peut affecter les performances du serveur.
Le paramètre par défaut (recommandé) pour le niveau de détail dans les fichiers journaux est ERROR.
Cependant, vous (ou votre publicateur) souhaiterez peut-être augmenter le niveau de détail dans les
fichiers journaux Adaptive Processing Server pour un suivi plus efficace de la progression des travaux
de publication. Pour ce faire, dans la zone "Serveurs", sélectionnez l'Adaptive Processing Server et
cliquez sur Gérer > Propriétés. Dans la liste "Niveau de journalisation", sélectionnez INFO. INFO
fournit davantage de détails tels que :
•
•
•
La publication a été livrée avec succès à un destinataire.
Un lot de destinataires a été traité avec succès.
Les extensions de publication de post-traitement ont été initialisées.
Configurez l'Adaptive Processing Server de façon à traiter davantage de travaux.
Les recommandations suivantes peuvent améliorer les performances de l'Adaptive Processing Server :
•
•
392
Si plusieurs publications sont exécutées simultanément, créez plusieurs instances de l'Adaptive
Processing Server. Il est généralement recommandé d'avoir une instance d'Adaptive Processing
Server pour trois publications simultanées.
Augmentez la taille du segment pour l'Adaptive Processing Server. Pour ce faire, cliquez sur Gérer
> Propriétés, et ajoutez l'élément suivant au paramètre de ligne de commande : -Xmx1024M.
2011-05-06
Administration du serveur
•
Exécutez les services de publication et de publication de post-traitement sur différentes instances
de l'Adaptive Processing Server.
Si votre publicateur souhaite activer l'audit et le nettoyage, configurez l'audit pour le CMS
afin d'enregistrer tous les détails.
Pour les publications à volume élevé, il est recommandé au publicateur d'activer le nettoyage afin de
supprimer les fichiers inutiles générés par le travail de publication et de conserver l'espace du serveur.
Pour ce faire, lors du processus de conception de la publication, le publicateur doit désélectionner
l'emplacement Enterprise par défaut défini pour la destination.
Si l'audit a été activé pour Publishing, vous devez configurer le CMS de façon à prendre en charge ce
scénario afin d'enregistrer quand même les détails des fichiers supprimés. Dans la zone "Serveurs",
sélectionnez le CMS et cliquez sur Gérer > Propriétés. Dans la boîte de dialogue qui s'affiche, cliquez
sur Evénements d'audit dans la liste de navigation. Assurez-vous que L'audit est activé et Objet
supprimé sont sélectionnés.
Vérifiez que les paramètres de courrier électronique sont correctement configurés pour
Destination Job Server.
Les publications destinées à être envoyées par courrier électronique peuvent échouer si le courrier
électronique n'a pas été correctement configuré en tant que destination pour Destination Job Server.
Dans la zone "Serveurs" de la CMC, cliquez deux fois sur Destination Job Server. Dans la zone de
dialogue "Propriétés", cliquez sur Destination dans la liste de navigation pour vérifier les points suivants :
•
•
•
Courrier électronique a été ajouté en tant que destination.
Les valeurs des champs Nom de domaine, Hôte et Port sont correctes.
%SI_EMAIL_ADDRESS% est inscrit dans le champ A.
Augmentez le nombre de travaux simultanés pouvant être traités par le Destination Job
Server.
Si les publications doivent être effectuées à l'emplacement de la plateforme de BI par défaut ou sur
une destination de disque non géré et que vous utilisez des disques à bandes pour l'Output FRS, il est
recommandé de définir le nombre maximal de travaux simultanés sur le nombre de disques multiplié
par cinq.
Si le publicateur utilise des sources de destinataires dynamiques des rapports Crystal,
vérifiez que le Report Application Server (RAS) est correctement configuré.
Il doit être configuré pour lire un nombre d'enregistrements de base de données au moins équivalent
au nombre de destinataires de la source de destinataires dynamiques. Par exemple, pour traiter une
source de destinataires dynamiques comprenant des données pour 100 000 destinataires, le RAS doit
être défini pour lire plus de 100 000 enregistrements de base de données.
Pour activer ce paramètre, sélectionnez le RAS dans la zone "Serveurs" de la CMC et accédez à Gérer
> Propriétés. Vérifiez que le nombre saisi dans le champ Nombre d'enregistrements de la base de
données devant être lus lors de la prévisualisation ou de l'actualisation d'un rapport est correct.
Sinon, saisissez un autre nombre.
Résolution des erreurs de type “Mémoire insuffisante”.
Si le publicateur reçoit un message d'erreur du type suivant java.lang.OutOfMemoryError :
impossible de créer un nouveau thread natif lors de l'exécution d'une publication
393
2011-05-06
Administration du serveur
volumineuse, c'est que l'Adaptive Processing Server et le service de publication ont une mémoire de
pile insuffisante pour gérer le nombre de threads Publishing générés. Cette erreur peut se produire si
la mémoire de pile est désignée comme espace de segment Java.
Vous pouvez définir une limite de thread pour l'Adaptive Processing Server. Dans la zone "Serveurs"
de la CMC, sélectionnez le serveur Adaptive Processing Server et accédez à Gérer > Propriétés.
Dans le champ Paramètres de ligne de commande, entrez le paramètre suivant :
-Dcom.businessobjects.publisher.threadpool.size=nombre_maximal_de_threads
Remplacez nombre_maximal_de_threads par le chiffre de votre choix.
Si le publicateur reçoit un message d'erreur du type suivant java.lang.OutOfMemoryError:
espace de tas Java lors de l'exécution d'une publication volumineuse, c'est que l'espace de tas
de l'Adaptive Processing Server est insuffisant. Dans la zone "Serveurs" de la CMC, sélectionnez le
serveur Adaptive Processing Server et accédez à Gérer > Propriétés. Dans le champ Paramètres de
ligne de commande, remplacez le nombre du paramètre -Xmx256m par un nombre plus grand (par
exemple -Xmx1024m).
Remarque :
Dans certains cas, vous devrez peut-être créer davantage d'instances de l'Adaptive Processing Server
pour résoudre les erreurs de type “Mémoire insuffisante”.
8.1.11 Configuration des paramètres des serveurs
Cette section comprend des informations techniques et des procédures expliquant comment modifier
les paramètres des serveurs de la plateforme SAP BusinessObjects de Business Intelligence.
La plupart des paramètres étudiés dans cette section permettent d'intégrer plus aisément la plateforme
SAP BusinessObjects de Business Intelligence à vos configurations matérielles, logicielles et réseau
actuelles. Le choix des paramètres dépend donc essentiellement de vos propres besoins.
Vous pouvez modifier de deux manières les paramètres du serveur via la Central Management Console
(CMC).
• Dans l'écran "Propriétés" du serveur.
• Dans l'écran "Modifier les services communs" du serveur.
Il est important de noter que toutes les modifications ne sont pas immédiatement prises en compte. Si
un paramètre ne peut pas être modifié immédiatement, les écrans "Propriétés" et "Modifier les services
communs" affichent à la fois le paramètre actuel (en rouge) et le paramètre souhaité. Lorsque vous
revenez à la zone de gestion Serveurs, le serveur sera marqué Périmé. Lorsque vous redémarrerez
le serveur, ce dernier utilisera les paramètres souhaités et l'indicateur Périmé sera supprimé du serveur.
Remarque :
Cette section n'indique pas comment configurer votre serveur d'applications Web afin de déployer des
applications de la plateforme SAP BusinessObjects de Business Intelligence. Cette tâche est
394
2011-05-06
Administration du serveur
généralement effectuée lors de l'installation du produit. Pour en savoir plus, voir le Guide d'installation
de la plateforme SAP BusinessObjects de Business Intelligence.
Rubriques associées
• Configuration des numéros de port
• Pour modifier les propriétés d'un serveur
• Recréation de la base de données système du CMS
• Sélection d'une base de données CMS (nouvelle ou existante)
8.1.11.1 Pour modifier les propriétés d'un serveur
1. Accédez à la zone de gestion "Serveurs" de la CMC.
2. Cliquez deux fois sur le serveur dont vous souhaitez modifier les paramètres.
L'écran "Propriétés" s'affiche.
3. Apportez les modifications requises, puis cliquez sur Enregistrer ou Enregistrer et fermer.
Remarque :
Toutes les modifications ne sont pas immédiatement prises en compte. Si un paramètre ne peut
pas être modifié immédiatement, la boîte de dialogue Propriétés affiche à la fois le paramètre actuel
(en rouge) et le paramètre souhaité. Lorsque vous revenez à la zone de gestion Serveurs, le serveur
sera marqué Périmé. Lorsque vous redémarrerez le serveur, ce dernier utilisera les paramètres
souhaités de la boîte de dialogue Propriétés et l'indicateur Périmé sera supprimé du serveur.
8.1.11.2 Pour appliquer les paramètres de service à plusieurs serveurs
Pour appliquer la même configuration à des services hébergés sur plusieurs serveurs,
1. Accédez à la zone de gestion "Serveurs" de la CMC.
2. Cliquez avec le bouton droit sur les serveurs hébergeant les services dont vous souhaitez modifier
les paramètres et sélectionnez Modifier les services communs.
La boîte de dialogue "Modifier les services communs" affiche les services hébergés sur tous les
serveurs sélectionnés et disposant de paramètres que vous pouvez modifier.
3. Si la boîte de dialogue "Modifier les services communs" répertorie plusieurs services, sélectionnez
le service à modifier et cliquez sur Continuer.
4. Effectuez les modifications voulues et cliquez sur OK.
395
2011-05-06
Administration du serveur
Remarque :
Vous être redirigé vers la zone de gestion "Serveurs" de la CMC. Si les serveurs requièrent un
redémarrage, ils portent la mention Périmé. Lorsque vous redémarrerez les serveurs, ils utiliseront les
paramètres souhaités et l'indicateur Périmé sera supprimé des serveurs.
8.1.11.3 Utilisation des modèles de configuration
Les modèles de configuration vous permettent de configurer facilement plusieurs instances des serveurs.
Les modèles de configuration stockent une liste de paramètres pour chaque type de service que vous
pouvez utiliser pour configurer des instances de serveur supplémentaires. Par exemple, si vous avez
une douzaine de serveurs de traitement Web Intelligence que vous souhaitez configurer de manière
identique, vous n'avez besoin de configurer les paramètres que pour un seul serveur. Vous pouvez
ensuite utiliser le service configuré pour définir le modèle de configuration pour les serveurs de traitement
Web Intelligence et appliquer ensuite le modèle aux 11 autres instances du service.
Chaque type de service de la plateforme SAP BusinessObjects de Business Intelligence possède son
propre modèle de configuration. Par exemple, il existe un modèle de configuration pour le type de
service de traitement Web Intelligence, un pour le type de service de publication, etc. Le modèle de
configuration est défini dans les propriétés du serveur de la CMC (Central Management Console).
Lorsqu'un serveur utilise un modèle de configuration, les paramètres existants de ce serveur sont
remplacés par les valeurs du modèle. Si, par la suite,