參考：
http://www-01.ibm.com/support/knowledgecenter/api/content/SSEP7J_10.2.2/com.ibm.swg.ba.cognos.crn_arch.10.2.2.doc/c_restrict_access_using_ldap_groups_or_roles.html#Restrict_Access_Using_LDAP_Groups_or_Roles?locale=zh

使用 LDAP 組或角色限制訪問

LDAP 目錄中并非所有用戶必須使用 IBM? Cognos? BI。僅授予指定用戶對 IBM Cognos Connection 的訪問權限?？赏ㄟ^在目錄服務器中創(chuàng)建 IBM Cognos BI 特定的組或角色，將所需的用戶添加到其成員資格，并授予組或角色對 IBM Cognos Connection 的訪問權限，進行此操作。

替代方法基于使用 LDAP 組織單元 (OU)。

您是否必須創(chuàng)建組或角色取決于認證提供程序。如果您使用 Oracle 目錄服務器，那么必須創(chuàng)建角色，因為此提供程序將角色成員資格用作其用戶帳戶信息的一部分。如果您使用 Active Directory，那么必須創(chuàng)建組，因為此提供程序將組成員資格用作其用戶帳戶信息的一部分。

使用角色

使用 Oracle 目錄服務器來為此技術創(chuàng)建角色。有關創(chuàng)建此類型角色的更多信息，請參閱 Oracle 目錄服務器文檔。

確保在 IBM Cognos Configuration 的安全、認證類別中正確定義了以下參數(shù)。

• 用戶查找

  將用戶查找字符串配置為包含將用于對?${userID}?變量進行認證的屬性。此變量采用在登錄時輸入的用戶名，并將該變量替換為值，然后將搜索字符串傳遞到目錄服務器。角色的專有名稱 (DN) 也必須包括在字符串中。

  以下為查找字符串的示例：

  (&(uid=${userID})(nsrole=cn=Cognos,ou=people,dc=cognos,dc=com))

  在此示例中，組織單元 (ou) 中的 IBM Cognos BI 角色的所有成員（已命名人員）具有 IBM Cognos Connection 的訪問權限。

• 是否使用外部身份？

  如果已啟用單點登錄，請將值設置為?True。

• 外部身份映射

  如果是否使用外部身份？設置為?True，請指定此屬性。

  構造字符串來在 LDAP 目錄服務器中查找用戶。在登錄時，此字符串中的環(huán)境變量?${environment("REMOTE_USER")}?會替換為用戶名。

  在以下示例中，Web 瀏覽器會設置環(huán)境變量?REMOTE_USER，其匹配用戶的?uid?屬性：

  (&(uid=${environment("REMOTE_USER")})(nsrole=cn=Cognos,ou=people,dc=cognos,dc=com))

  在某些情況下，REMOTE_USER?變量（通常是 DOMAIN\username 格式）不能匹配任何用戶?uid?屬性。要解決此問題，將?replace?函數(shù)包括在字符串中，如以下示例中所示：

  (&(uid=${replace(${environment("REMOTE_USER")},"ABC\\","")})(nsrole=cn=Cognos,ou=people,dc=cognos,dc=com))

  如果包括?replace?函數(shù)，那么域名（在此示例中為 ABC）會替換為空字符串，且僅用戶名會傳遞到目錄服務器。

  域名在此上下文中區(qū)分大小寫。

創(chuàng)建角色之后，使用 IBM Cognos Configuration 配置它，以訪問 IBM Cognos Connection。角色還可以添加到 Cognos 名稱空間。

使用組

使用 Active Directory 來為此技術創(chuàng)建組。此技術涉及對用戶查找字符串的修改。由于 Active Directory 不具有此屬性，因此無法使用它。而是使用相關聯(lián)的 LDAP 提供程序。

確保在 IBM Cognos Configuration 的安全、認證類別中正確指定了以下參數(shù)。

• 用戶查找

  將查找字符串配置為包含將用于對?${userID}?變量進行認證的屬性。此變量采用在登錄時輸入的用戶名，并將該變量替換為值，然后將搜索字符串傳遞到目錄服務器。組的專有名稱 (DN) 也必須包括在字符串中。

  以下為查找字符串的示例： (&(sAMAccountName=${userID})(memberOf=cn=ReportNet,ou=Groups,dc=cognos,dc=com))
• 是否使用外部身份？

  如果已啟用單點登錄，請將值設置為?True。

• 外部身份映射

  如果是否使用外部身份？設置為?True，請指定此屬性。

  構造字符串來在 LDAP 目錄服務器中查找用戶。在登錄時，此字符串中的環(huán)境變量?${environment("REMOTE_USER")}?會由用戶名替換，然后字符串會傳遞到目錄服務器。

  在以下示例中，Web 瀏覽器會設置環(huán)境變量?REMOTE_USER，其匹配用戶的?uid?屬性。從瀏覽器會話讀取環(huán)境變量，而不是將硬編碼的sAMAccountName?值替換為?${userID}。 (&(sAMAccountName=${environment("REMOTE_USER")})(memberOf=cn=Cognos,cn=Groups,dc=cognos,dc=com))

創(chuàng)建組之后，使用 IBM Cognos Configuration 配置它，以訪問 IBM Cognos Connection。組還可以添加到 Cognos 名稱空間。

轉載于:https://www.cnblogs.com/yoyogis/p/4944396.html

總結

以上是生活随笔為你收集整理的［转］使用 LDAP 组或角色限制访问，包含部分单点登录SSO说明的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。