[转]使用 LDAP 组或角色限制访问,包含部分单点登录SSO说明
http://www-01.ibm.com/support/knowledgecenter/api/content/SSEP7J_10.2.2/com.ibm.swg.ba.cognos.crn_arch.10.2.2.doc/c_restrict_access_using_ldap_groups_or_roles.html#Restrict_Access_Using_LDAP_Groups_or_Roles?locale=zh
使用 LDAP 組或角色限制訪問
LDAP 目錄中并非所有用戶必須使用 IBM? Cognos? BI。僅授予指定用戶對 IBM Cognos Connection 的訪問權(quán)限。可通過在目錄服務(wù)器中創(chuàng)建 IBM Cognos BI 特定的組或角色,將所需的用戶添加到其成員資格,并授予組或角色對 IBM Cognos Connection 的訪問權(quán)限,進(jìn)行此操作。替代方法基于使用 LDAP 組織單元 (OU)。
您是否必須創(chuàng)建組或角色取決于認(rèn)證提供程序。如果您使用 Oracle 目錄服務(wù)器,那么必須創(chuàng)建角色,因?yàn)榇颂峁┏绦驅(qū)⒔巧蓡T資格用作其用戶帳戶信息的一部分。如果您使用 Active Directory,那么必須創(chuàng)建組,因?yàn)榇颂峁┏绦驅(qū)⒔M成員資格用作其用戶帳戶信息的一部分。
使用角色
使用 Oracle 目錄服務(wù)器來為此技術(shù)創(chuàng)建角色。有關(guān)創(chuàng)建此類型角色的更多信息,請參閱 Oracle 目錄服務(wù)器文檔。
確保在 IBM Cognos Configuration 的安全、認(rèn)證類別中正確定義了以下參數(shù)。
- 用戶查找
將用戶查找字符串配置為包含將用于對?${userID}?變量進(jìn)行認(rèn)證的屬性。此變量采用在登錄時(shí)輸入的用戶名,并將該變量替換為值,然后將搜索字符串傳遞到目錄服務(wù)器。角色的專有名稱 (DN) 也必須包括在字符串中。
以下為查找字符串的示例:
(&(uid=${userID})(nsrole=cn=Cognos,ou=people,dc=cognos,dc=com))
在此示例中,組織單元 (ou) 中的 IBM Cognos BI 角色的所有成員(已命名人員)具有 IBM Cognos Connection 的訪問權(quán)限。
- 是否使用外部身份?
如果已啟用單點(diǎn)登錄,請將值設(shè)置為?True。
- 外部身份映射
如果是否使用外部身份?設(shè)置為?True,請指定此屬性。
構(gòu)造字符串來在 LDAP 目錄服務(wù)器中查找用戶。在登錄時(shí),此字符串中的環(huán)境變量?${environment("REMOTE_USER")}?會替換為用戶名。
在以下示例中,Web 瀏覽器會設(shè)置環(huán)境變量?REMOTE_USER,其匹配用戶的?uid?屬性:
(&(uid=${environment("REMOTE_USER")})(nsrole=cn=Cognos,ou=people,dc=cognos,dc=com))在某些情況下,REMOTE_USER?變量(通常是 DOMAIN\username 格式)不能匹配任何用戶?uid?屬性。要解決此問題,將?replace?函數(shù)包括在字符串中,如以下示例中所示:
(&(uid=${replace(${environment("REMOTE_USER")},"ABC\\","")})(nsrole=cn=Cognos,ou=people,dc=cognos,dc=com))
如果包括?replace?函數(shù),那么域名(在此示例中為 ABC)會替換為空字符串,且僅用戶名會傳遞到目錄服務(wù)器。
域名在此上下文中區(qū)分大小寫。
創(chuàng)建角色之后,使用 IBM Cognos Configuration 配置它,以訪問 IBM Cognos Connection。角色還可以添加到 Cognos 名稱空間。
使用組
使用 Active Directory 來為此技術(shù)創(chuàng)建組。此技術(shù)涉及對用戶查找字符串的修改。由于 Active Directory 不具有此屬性,因此無法使用它。而是使用相關(guān)聯(lián)的 LDAP 提供程序。
確保在 IBM Cognos Configuration 的安全、認(rèn)證類別中正確指定了以下參數(shù)。
- 用戶查找
將查找字符串配置為包含將用于對?${userID}?變量進(jìn)行認(rèn)證的屬性。此變量采用在登錄時(shí)輸入的用戶名,并將該變量替換為值,然后將搜索字符串傳遞到目錄服務(wù)器。組的專有名稱 (DN) 也必須包括在字符串中。
以下為查找字符串的示例: (&(sAMAccountName=${userID})(memberOf=cn=ReportNet,ou=Groups,dc=cognos,dc=com)) - 是否使用外部身份?
如果已啟用單點(diǎn)登錄,請將值設(shè)置為?True。
- 外部身份映射
如果是否使用外部身份?設(shè)置為?True,請指定此屬性。
構(gòu)造字符串來在 LDAP 目錄服務(wù)器中查找用戶。在登錄時(shí),此字符串中的環(huán)境變量?${environment("REMOTE_USER")}?會由用戶名替換,然后字符串會傳遞到目錄服務(wù)器。
在以下示例中,Web 瀏覽器會設(shè)置環(huán)境變量?REMOTE_USER,其匹配用戶的?uid?屬性。從瀏覽器會話讀取環(huán)境變量,而不是將硬編碼的sAMAccountName?值替換為?${userID}。 (&(sAMAccountName=${environment("REMOTE_USER")})(memberOf=cn=Cognos,cn=Groups,dc=cognos,dc=com))
創(chuàng)建組之后,使用 IBM Cognos Configuration 配置它,以訪問 IBM Cognos Connection。組還可以添加到 Cognos 名稱空間。
轉(zhuǎn)載于:https://www.cnblogs.com/yoyogis/p/4944396.html
總結(jié)
以上是生活随笔為你收集整理的[转]使用 LDAP 组或角色限制访问,包含部分单点登录SSO说明的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 梦到来姨妈了很多血是什么意思
- 下一篇: 2.UiSelector API 详细介