用戶安全管理

用戶安全管理

AccessManager

AccessManager

Cognos在Impromptu6.0和PowerPlay6.6這一代的產(chǎn)品

中增加了AccessManager這個統(tǒng)一管理用戶安全性的工

具。過去版本上所配的類似工具Authenticator就被現(xiàn)在

的AccessManager所取代。

Cognos要實(shí)現(xiàn)安全管理，勢必要保存用戶的安全認(rèn)證數(shù)

據(jù)?？梢杂袃煞N保存用戶認(rèn)證數(shù)據(jù)的形式：

(1)Directoryservers

(2)LocalAuthenticationExportFile(.lae)

2

兩種保存用戶認(rèn)證數(shù)據(jù)的形式

?第⑴種是Cognos借用NetscapeDirectoryServer來保

存安全認(rèn)證數(shù)據(jù)。DirectoryServer遵從LDAP協(xié)議，它

并不是Cognos產(chǎn)品，Cognos也只利用了它的很小的

一部分，這一部分相當(dāng)于安全信息的載體，好象是一個

存放安全認(rèn)證數(shù)據(jù)的數(shù)據(jù)庫。因此，在使用Access

Manager之前要先安裝DirectoryServer并進(jìn)行適當(dāng)配

置。

?第⑵種是Cognos把用戶認(rèn)證數(shù)據(jù)保存在一個本地的Jae

文件中。

3

用戶和用戶類

?安全認(rèn)證數(shù)據(jù)中包含了一些用戶類和用戶，一個用

戶可以屬于某個或某幾個用戶類。這里，用戶類和

用戶可以是多對多的關(guān)系，即一個用戶類下可以包

含多個用戶，一個用戶也可以屬于多個用戶類。

?我們可以增加一些新的用戶和用戶類，并決定它們

之間的歸屬關(guān)系。

?每個用戶有自己的口令。

?在每個用戶類上可以設(shè)權(quán)限，屬于一個用戶類的用

戶都遵循這個用戶類所設(shè)的權(quán)限。

進(jìn)入AccessManager后

?進(jìn)入"AccessManager-Administration”后，出現(xiàn)

AccessManager的界面。在左邊窗格中可以看到以

文件夾形式出現(xiàn)的兩種認(rèn)證數(shù)據(jù)的形式：

GDefault.csa-AccessManager-Administration-!□1x|

FileEditViewActionToolsHelp

倒Q|*1般僮Ix|哥|闌ma|?

AuthenticationInformation2object(s)

Manager-AdministrationNameType

因DirectoryServers__|DirectoryServersFolder

E.」LocalAuthenticationExportFiles__|LocalAuthenticationExp(Folder

ForHelp,pressFl

5

Connection和LAE文件

?在DirectoryServers項(xiàng)的F一層是一個或多個Connection（連接）

的名字，包括主機(jī)名和端口號。

華eyot2.csa-AccessM-1□!x|

?在LocalAuthentication

FileEditViewActionToolsHelpExportFile項(xiàng)的下一層

闔口X|電I回x［倒闔立是一個或多個.lae文件的

名字。

AuthenticationInformation

AccessManager-Administration

S-_JDirectoryServers

?由eyot:389<---------------------Connection

El-_|LocalAuthenticationExportFiles

國…電authen------------------------Jae文件

__|AuthenticationFiles

6

Connection

?如果使用directoryservers這種認(rèn)證數(shù)據(jù)的形式，就需

要建立Connection（連接）。

?在兒臺服務(wù)器上都可以安裝DirectoryServer,在不同的

服務(wù)器上可能都存放有用戶安全數(shù)據(jù)。要使用哪一臺服

務(wù)器上的用戶安全數(shù)據(jù)，就要先生里這臺服務(wù)器，與它

連接，這就是Connection。初次運(yùn)行AccessManager要

首先在directoryservers項(xiàng)下建Connection。至少要有

一個Connection。Connection的名字一般選用機(jī)器名和

端口號。

?建立了一個Connection,也就是要使用放在它對應(yīng)的服

務(wù)器上的DirectoryServer的用戶安全數(shù)據(jù)。

uowuuoow^

建立Connection(續(xù))

laiDirectoryServer^STATEINFOraSG,Properties2SJ

untimeCredentials|TicketService|

Directoryserverconnection

Host：

|STATEINFO

機(jī)器名Eort/SSLFort：Timeout：

|389|oAccessManager-Administration兇

gase(DN)：

Thed.ectoryserver.respond.

|dc=cognos

機(jī)器名Example-o=<org>,c=<country>篇定

后綴

「EnableSSL

廠RwqjiirwSSLfor*11,.Conner

確定|取消|應(yīng)用@)|幫助|

9

建立Connection(續(xù))

Pig?DirectoryServer*STATEINFO:389*Properties

兇如果管理員口令不是

GeneralCredentiaL^^fieketServiceadmin1234,要在此

-Directory(serverconnection-頁給出。

|STATEINFOAdministratorAccess兇

Port/SSLFortSTATEINFO:389

(389~~

RuntimeAdministratordistinguishedname(DN):

gasedistinguishedn

|dc=cognos|cn=DirectofyManager

Example-o=<org>e=

?RuntimeAdministratorpassword-

rEnableSSLjxxxxxxxxx

I*"RequireSSLfnr

admin1234

LogOnCancel

建立Connection(續(xù))

1!)DirectoryServer'STATEINFOrSSS'Properties兇

GeneralRuntimeCredentialsITicketServiceI

Ii

Runtimebindcredentials

RuntimeAdministratordistinguishedname(DN)：

|cn=DirectoryManagerAccessManager-Administration兇

RuntimeAdministratoraasswor

Thecredentialsarevalid.

匚通定二m

?確定?取消?應(yīng)用陽?幫助?

*

新建一個.LAE文件

?在LocalAuthenticationExportFile項(xiàng)的下一層是一個或多個

.lae文件的名字。

選中LocalAuthentication

ExportFile項(xiàng)，點(diǎn)鼠標(biāo)右

鍵，或從Action菜單下點(diǎn)

“Add.LAEFile‘°

AuthenticationInformation要指定.lae文件的名字和

存放路徑。

S-AccessManager-Administration

團(tuán)—_|DirectoryServers

田-七^LocalAuthenticationExportFiles

_IAuthenticationFiles

Addsalocalduthenticatiijnexportfile

Namespace

?用戶安全控制設(shè)定可有多種方案，多種方案都

可以保存在DirectoryServer上,或保存在?lae

文件中。一種方案稱為一個Namespace。每個

namespace有自己的名字。

?在一個Connection的下一層，或在一個?lae文

件的下一層又可以設(shè)一個或多個Namespace。

directoryservers初始化后自動建的第一個

Namespace的名字一般叫作"default"0

13

建立——個新的Namespace

徐eyotZ.csa-AccessMan..1□1x|用右鍵點(diǎn)擊

FileEditViewfictionToolsHelpdirectoryserversT

曲口|乂陶|劇x|倒闌曷的一個Connection

AuthenticationInformation名，或點(diǎn)擊Local

E!AccessManager-AdministrationAuthentication

日，_|DirectoryServers

ExportFile下的一個

國G5eyot:389

H_|LocalAuthenticationExportFiles.lae文件名，在彈出

authei的菜單中選

AddNamespace...AddNamespace即

Importfrom.AUTFile...可建立一個新的

Remove

SetasDefaultNamespaceo

?AddsanamespacetothProperties

14

建好的Namespace(s)

?eyotZ.csa-AccessManage-!□1x|

FileEditViewActionToolsHelp

闔3|電］「|x［倒闌aj

AuthenticationInformation

史sW^anaGgr二可加口玲匕gtion

S-i__］DirectoryServers

B曲eyot:389<----------------------Connection

由一@default<------------------------Namespace

S-1_|LocalAuthenticationExportFiles

B墻authen<-------------------------Jae文件

E--ON51■<------------------------------Namespace

i__|AuthenticationFiles

初始用戶類和用戶

?在運(yùn)行"Con行g(shù)ureaDirectoryServer”做用戶

信息初始化時，或在文件名下建立一個新的

Namespace時，會自動設(shè)定一個初始的用戶類

“RootUserClass”和一個密碼為空的初始用戶

Administrator。Administrator是屬于"Root

UserClass”的。

?在namespace下可以繼續(xù)增加用戶類和用戶并決

定它們的歸屬關(guān)系。

?在DirectoryServers下，初始用戶類“RootUser

Class”和初始用戶Administrator就保存在

"defaultn這個namespace中。

16

增加新用戶

於eyotZ.csa-AccessManager-,3兇

FileEditViewActionToolsHelp

闔口|8|船|囿倒闖厘|j

nldenti￡ication

AuthenticationInformation

Name：

B凄AccessManager-Administration

E_JDirectoryServers

description：

El_JLocalAuthenticationExportFiles

日電authen

N51

國,0User;

日RootExpand這里的用戶名是在

__|Applic

AddFolder,,,AccessManager中

IData

AddUser...顯示的名字。

__|AuthenticationFil

AddsausertothenamespaceProperties

為用戶設(shè)置口令

這里的UserID是用戶

登錄時使用的名字。

雙擊用戶名，展

開它的屬性表，在

UserSignons標(biāo)簽頁

下可為用戶指定或修

改口令。

18

增加新用戶類

舉eyot2.csa-AccessManager-i-!□!xl%UserClass*<NewUser

FileEditViewActionToolsHelp^Gener^^|Permissions

逐電感倒莉

QIxiI>\imjrIdentiEication

AuthenticationInformationName；

FlLg)AccessManager-Administration

E]_|DirectoryServersDescription：

Ei_|LocalAuthenticationExportFiles

日-mauthen

B-□N51

國_JUsers

is

_]Ap(Expand

|Dal?

AddUserClass...

_|Authentication?

|Add$auserclasstothenarrProperties

19

列出用戶類和用戶

定義用戶類的操作權(quán)限

進(jìn)入用戶類

屬性表定義

這個用戶不

可以增加刪

除用戶類和

用戶，不可

以改變用戶

歸屬，不可

以改其他用

戶的口令。

22

AccessManager的各個層次

DirectoryServersLocalAuthentication

ExportFile(.lae)

ConnectionsJae文件

Namespaces

UsersUserClasses

23

把設(shè)定保存到.csa文件中

在File菜單下選SaveAs

可以把在AccessManager中

的設(shè)定保存到一個了多個.csa

文件中。

聲明哪個Namespace生效

AdministratorAccess兇

?defaulLcsa-AccessManager-stateinfo:389

FileEditViewActionToolsHelpRuntimeAdministratordistinguishedname(DN):

cn=DirectoryManager

百dIg電eIxI囪,

—RuntimeAdministratorpassword:

AuthenticationInformation

admin1234

[^AccessManager-Administration

EiIDirectoryServersLogOnCancel

El由stateinfo:389

Defaull

Expand

EQNS1AuthenticationInformation

由QNS2

LogOff[^AccessManager-Administration

Ei_]LocalAuthentic

SetasDefaultB-DirectoryServers

Importfrom,LAEFile...state日info由:38_9_1______

E即。rtt。,LAEFile...EQDefault

DeleteEQNS1

S-日|NS2

Properties田_]LocalAuthenticationExpor

25

在Transformer中應(yīng)用用戶安全認(rèn)證信息

在Transformer中選File菜單下的ModelProperties命

令，在彈出的Model對話框轉(zhuǎn)到Authentication標(biāo)簽頁，選

擇AccessManager的Namespace名。

Namespace

在Transformer中力口入U(xiǎn)serClasses窗格

按如上操作可在

Transformer中力口

入U(xiǎn)serClasses窗格

27

把用戶信息加到Cube上

28

針對用戶類在選定維度上設(shè)View

-1□1x|在Transformer中點(diǎn)開嗜，展開Categories

Clasj^)

Dimension'窗口，在左側(cè)窗格選UserClass標(biāo)簽頁，

RootUserClass

忸日期在這里可以針對每個用戶類去設(shè)置它們

金產(chǎn)品在各個維度的類別上的訪問權(quán)限（設(shè)不同

修地區(qū)

金客戶的View）。

國利潤?quán)]

日KC1-*=，

且日期

熱產(chǎn)品

熱帽V-11

眼客戶_

厘利潤:

OmitDimension

自-gCreator

Reset'ViewFromParent

厘日期

UseCustomView品

電產(chǎn)品

熱地區(qū)UpdateAccessManagerInformation國客戶

國客戶一

目利潤范圍

事利潤