Autorizzazione Esterna

Quando si configura WebFOCUS per autorizzazione esterna, si usano i fornitori di sicurezza configurati su WebFOCUS Reporting Server (WFRS), per eseguire la query di una origine esterna per informazioni sugli utenti, quando eseguono l'accesso. Le informazioni sono in grado di includere indirizzi email, descrizioni e appartenenze gruppi esterne. Il Reporting Server quindi restituisce queste informazioni a WebFOCUS, dove si usano per creare o aggiornare gli account utente e per definire autorizzazioni utente. Il fornitore di sicurezza inoltre restituisce altre informazioni esterne sugli utenti e gruppi a WebFOCUS, in supporto ale funzioni amministrative, come l'ottenimento di un elenco di tutti i gruppi esterni, o l'elenco di utenti che appartengono ad un gruppo esterno.

Nota: Alcune organizzazioni gestiscono dati di autorizzaizone a livello esterno, in attributi o ruoli profilo utenti LDAP, piuttosto che usando gruppi LDAP. Anche WebFOCUS supporta questo approccio.

AUTOADD

WebFOCUS offre l'opzione di aggiungere automaticamente utenti pre-autenticati e autenticati a livello esterno a WebFOCUS, se gli account utente esistono nell'origine esterna, ma non in WebFOCUS. Gli utenti aggiunti automaticamente possono effettuare l'accesso a WebFOCUS correttamente. Gli utenti che esistono nell'origine esterna, non esistono in WebFOCUS e non sono aggiunti automaticamente, non sono autorizzati ad effettuare l'accesso a WebFOCUS.

Nel centro di sicurezza, gli account WebFOCUS, che sono stati creati automaticamente durante l'accesso, hanno uo stato di AUTOADD, invece di ACTIVE.

Per ulteriori informazioni su come specificare quali utenti sono stati aggiunti automaticamente, consultare Impostazioni protezione.

Fornitori sicurezza

WebFOCUS Reporting Server supporta multipli fornitori di sicurezza simultanei. C'è sempre un fornitore di sicurezza principale e ci sono uno o più fornitori di sicurezza secondari. Si consiglia che gli utenti nel contenitore WebFOCUS siano autorizzati tramite il fornitore primario.

Si consiglia, inoltre, di configurare PTH come secondo fornitore di sicurezza sul Reporting Server. Questa azione assicura che gli amministratori saranno in grado di accedere alla console web del Reporting Server, anche se l'origine esterna, configurata con il fornitore di sicurezza principale, non è disponibile.

Inoltre, quando si specifica un account di servizio con i privilegi Amministratore Server per WebFOCUS, si consiglia di usare un account non situato nell'origine esterna per il fornitore di sicurezza principale. Le normative di gestione di solito richiedono che le parole d'ordine nell'origine esterna vengano cambiate spesso e mai memorizzate in file di configurazione, non consentendo l'uso di una parola d'ordine senza scadenza per un account di servizio che appartiene al fornitore di sicurezza principale. Per evitare questa situazione, è possibile specificare un account PTH con il ruolo Amministratore Server, la quale parola d'ordine è senza scadenza.

I seguenti limiti si applicano quando si configura una autenticazione esterna con autorizzazione esterna:

Una installazione WebFOCUS è in grado di supportare solo un singolo nodo Reporting Server per autenticazione esterna, autorizzazione esterna, o entrambe.
Lo stesso fornitore di sicurezza del Reporting Server, di solito, si usa sia per l'autenticazione che per l'autorizzazione di qualsiasi dato utente. È possibile modificare questo elemento tramite l'uso dell'impostazione IBI_WFRS_Group_Provider, che configura un fornitore di autorizzazione sostitutivo da usare indipendentemente dal fornitore di autenticazione.
Per usare multipli fornitori di sicurezza del Reporting Server per l'autorizzazione, prefissare l'ID utente WebFOCUS con il secondo fornitore di sicurezza per qualsiasi individuo a esso associato. Per esempio, se il Reporting Server ha due fornitori LDAP, un fornitore principale chiamato LDAP1 e un secondo fornitore chiamato LDAP2, gli account LDAP1\user1 and LDAP2\user devono essere creati in WebFOCUS rispettivamente come user1 e LDAP2\user2.

Per ulteriori informazioni sulla configurazione dei fornitori di sicurezza di WebFOCUS Reporting Server, consultare il manuale Gestione del server per UNIX, Windows, OpenVMS, IBM i e z/OS.

Inizio pagina

Riferimento: Elenco di chiamate Fornitore di Sicurezza

WebFOCUS recupera informazioni di sicurezza dal Reporting Server, eseguendo le seguenti richieste.

Richiesta WebFOCUS (illustrata in event.log)	Messaggio Server Corrispondente (illustrato in edaprint.log)	Definizione
authConnect	autenticare utente	Autentica utenti quando si configura WebFOCUS per autenticazione esterna.
getGroupsForUser(userid)	get groups by user,id=userid	Recupera informazioni di autrizzazione esterna per utenti quando eseguono l'accesso a WebFOCUS. Inoltre genera prospetti di appartenenza a gruppi per utenti nel centro di sicurezza.
getUsersForGroup (authorizationData)	ottenere utenti per gruppo, id=authorizationData	Elenca gli utenti WebFOCUS che appartengono ad un gruppo WebFOCUS mappato.
getGroups()	ottenere tutti i gruppi, provider=providerName	Elenca tutte le informazioni di autorizzazione esterne, quando un amministratore fa clic su Ricerca nella finestra di dialogo Modifica Gruppo.

Configurazione di Autorizzazione Esterna

In questa sezione:

Come:

configurare WebFOCUS per autorizzazione esterna

La configurazione di autorizzazione esterna richiede un account amminitratore WebFOCUS, un account separato con accesso superuser a WebFOCUS e una connesione protetta tra WebFOCUS Client e WebFOCUS Reporting Server. Poiché questi elementi sono inoltre richiesti per la pre-autenticazione e l'autenticazione esterna, si dovrebbe essere immediatamente pronti a configurare l'autorizzazione esterna. Per ulteriori informazioni su qualsiasi passaggio da dover ripetere, consultare Prerequisiti per la pre-autenticazione o autenticazione esterna.

Nota: L'ID utente amministratore WebFOCUS non necessita di uscire dall'origine di autorizzazione eserna, se l'account risulta essere un membro del gruppo Amministratori WebFOCUS non mappato.

Dopo aver soddisfatto questi prerequisiti, l'impostazione dell'autorizzazione esterna consiste nei seguenti passaggi:

Configurare un fornitore o fornitori di sicurezza nel WebFOCUS Reporting Server per l'origine esterna che si userà per l'autorizzazione. Il fornitore di sicurezza potrebbe essere LDAP, Active Directory, o un fornitore personalizzato, come un fornitore che consente l'accesso agli utenti a un sistema di gestione database relazionale (RDBMS) o a un servizio web.
Configurare WebFOCUS per usare WebFOCUS Reporting Server per autrizzazione esterna.
Riavviare l'applicazione web di WebFOCUS.
Mappare i gruppi WebFOCUS ai dati di autorizzazione esterna.

Inizio pagina

Configurazione di un fornitore di sicurezza su WebFOCUS Reporting Server

È necessario configurare un fornitore o fornitori di sicurezza su WebFOCUS Reporting Server per l'origine esterna che si userà per l'autorizzazione. Il fornitore di sicurezza potrebbe essere LDAP, Active Directory, o un fornitore personalizzato, come un fornitore che consente l'accesso agli utenti a un sistema di gestione database relazionale (RDBMS) o a un servizio web.

Inizio pagina

Configurazione un fornitore di sicurezza LDAP o Active Directory sul WebFOCUS Reporting Server

Per autorizzare gli utenti in base ai gruppi, ruoli, o valori attributi profilo utente, recuperati da una directory LDAP o Microsoft Active Directory, si configura un fornitore di sicurezza LDAP in WebFOCUS Reporting Server. Il Reporting Server quindi recupera informazioni su utenti, gruppi, ruoli, o attributi profilo utenti dalla directory degli utenti esterni e la passa a WebFOCUS Client. È inoltre possibile usare questo fornitore di sicurezza LDAP per autenticare le credenziali utente per WebFOCUS Client.

Di solito, le directory LDAP e AD mantengono informazioni di appartenenza al gruppo, rese disponibili da altre applicazioni per autorizzare utenti. Tuttavia, alcune organizzazioni fanno riferimento su altre informazioni memorizzate nella directory, come ruoli o attributi profilo utente, popolando l'attributo con le necessarie informazioni di autorizzazione. Questi attributi potrebbero essere a valore singolo o multiplo e no devono avere nessuna relazione ad altri oggetti nella directory esterna. WebFOCUS supporta ognuno di questi metodi di autorizzazione.

Nota: A seconda del venditore e versione, la directory LDAP potrebbe richiedere un plug-in di appartenenza al gruppo per supportare il set completo delle funzioni di autorizzazione esterna in WebFOCUS. Acive Directory supporta l'appartenenza al gruppo a livello nativo. Per ulteriori informazioni, consttare il proprio amministratore LDAP.

Inizio pagina

Riferimento: Considerazioni speciali quando si usano gli attributi profilo utente per l'autorizzazione

È possibile configurare il fornitore LDAP per recuperare dati di autorizzazione da un attributo profilo utente e ripassarlo a WebFOCUS per l'autorizzazione, come illustrato nella seguente immagine.

Autorizzazione per attributo personalizzato LDAP

Poiché non c'è oggetto directory corrispondente per l'attributo personalizzato, come invece è presente nei gruppi LDAP, si applicano i seguenti limiti:

Il centro di sicurezza WebFOCUS non mostrerà quali utenti appartengono ai gruppi WebFOCUS, mappati con attributi personalizzati.
Nel centro di sicurezza, il pulsante Ricerca nella finestra di dialogo Modifica Gruppo non consente di ricercare i valori attributi personalizzati. Tuttavia, è possibile immettere manualmente i valori attributi.

Inizio pagina

Procedura: Come configurare un fornitore di sicurezza LDAP su WebFOCUS Reporting Server

Per dettagli completi sulla configurazione dei fornitori di sicurezza di WebFOCUS Reporting Server, consultare il manuale Gestione del server per UNIX, Windows, OpenVMS, IBM i e z/OS.

Eseguire l'accesso alla console web del Reporting server come amministratore server.
Nella scheda di controllo dell'accesso, creare un nuovo fornitore LDAP. Specificare i valori per LDAP_PROVIDER, ldap_host, and ldap_port.
- Per Active Directory, il parametro di sicurezza consigliato è Esplicito. Se si seleziona questo elemento, specificare un account di servizio con una parola d'ordine senza scadenza nel campo ldap_credentials, come illustrato nella seguente immagine.
- Per la maggior parte delle directory LDAP, impostare il parametri di sicurezza in Anonimi.
Fare clic su Avanti.

Il Reporting Server si connette alla directory utente specificata e ne determina il suo venitore e numero di versione. Quindi, si riempiono i valori predefiniti appropriati per le proprietà Configurazione Ricerca Utente, come illustrato nella seguente immagine.

I valori predefiniti sono di solito corretti quando si usano i gruppi LDAP o Active Directory per l'autorizzazione, ma si potrebbe voler revisionare le impostazioni con il proprio amministratore LDAP o AD.
Configurare le proprietà Configurazione Ricerca Gruppo per il proprio fornitore Active Directory o LDAP.

Queste proprietà sono ripopolate con valori predefiniti appropriati per la propria directory, come illustrato nella seguente immagine.

Nota: A seconda della propria versione del Reporting Server, i campi ldap_group_base and ldap_group_scope potrebbero non essere automaticamente popolati. In via generale, è possibile usare gli stessi valori per queste proprietà, come usate per ldap_user_base e ldap_user_scope nel passaggio 3, ma si potrebbe volersi consultare con il proprio amministratore directory.
Cambiare i valori predefiniti, se necessario, e fare clic su Verifica.
Si visualizza la finestra di dialogo Verifica Sicurezza LDAP.
Immettere l'ID e parola d'ordine utente di qualsiasi account nella directory esterna, quindi fare clic su Continua.

Se le credenziali sono autorizzate correttamente, il Reporting Server visualizza l'elenco di gruppi LDAP o AD trovati per l'utente. Se si sta usando un attributo personalizzato, il Reporting Server visualizza i valori di attributo per questo utente.

Nota: La verifica di solito finisce massimo in un secondo. Se i risultati sono lenti ad apparire, controllare con i proprio amministratori di rete e directory, per assicurarsi che le impostazioni di configurazione di connessione, utente e gruppi siano ottimali per il proprio ambiente.
Fare clic su Salva per salvare il fornitore verificato, quindi fare clic su Cambia Fornitore.
Selezionare il nuovo fornitore LDAP o AD dall'elenco Fornitori Sicurezza Princiapli, quindi selezionare un secondo fornitore di sicurezza.
Si consiglia PTH come fornitore secondario. Per ulteriori informazioni sull'uso di PTH come fornitore secondario, consultare Fornitori sicurezza.
Fare clic su Avanti.

Si visualizza il pannello Modifica Fornitore.
Specificare l'account che si userà come amministratore del Reporting Server per eseguire una connessione protetta.
1. Nel campo ID Amministratore Server, immettere il nome dell'account LDAP o AD esterno che si desidera usare come amministratore del Reporting Server.
2. Fare clic su Applica e Riavvia server.
  L'account specificato di sopra verrà automaticamente registrato nel ruolo Amministratore di WebFOCUS Reporting Server.
Eseguire l'accesso alla console web del Reporting Server con l'account specificato nel passaggio 10. Lasciare l'elenco a discesa dei fornitori impostato sul proprio fornitore LDAP o AD principale.
Nota: In certi casi, il browser web non riesce a riconnettersi automaticamente al Reporting Server, dopo averne cambiato il fornitore. Se il browser web visualizza il messaggio Riavvio Workspace per più di 30 secondi, chiudere e riaprire il browser web. Si dovrebbe ora essere in grado di accedere alla console web.
Sulla pagina Controllo Accesso, fare clic sul pulsante Impostazioni nel nastro. Cambiare trust_ext in y, quindi fare clic su Applica e Riavvia il Server.
Nota: Questa azione consente agli utenti di WebFOCUS di eseguire connessioni protette al server, senza che il server esegui la query all'origine esterna per le credenziali utente. Si dovrebbero adottare delle precauzioni per assicurarsi che le installazioni non autorizzate di WebFOCUS non siano in grado di eseguire connessioni protette al proprio Reporting Server, che potrebbe includere la configurazione di firewall di rete o l'uso delle funzioni IP_RESTRICT del Reporting Server.

Il proprio browser web si riconnette automaticamente con il Reporting Server. Questa azione potrebbe richiedere fino a un minuto.
Registrare un account Reporting Server nel ruolo Amministratore Server per uso come l'account di servizio WFRS in WebFOCUS.
Questo elemento potrebbe essere un account AD o LDAP con una parola d'ordine senza scadenza, ma si consiglia di usare un account PTH.

Per registrare un account PTH nell'account del ruolo Amministratore Server:
1. Eseguire l'accesso a WebFOCUS Reporting Server come amministratore.
2. Sulla pagina di controllo dell'accesso, fare clic con il tasto destro del mouse sul ruolo Amministratore Server e selezionare Registra Utente.
3. Fare clic sul pulsante Registrazione Singolo Utente e selezionare PTH dall'elenco dei fornitori di sicurezza.
4. Immettere il nuovo ID utente PTH nel campo Utente, per esempio, srvadmin.
  I campi Descrizione e Email sono opzionali.
5. Immettere la parola d'ordine nei campi Parola d'Ordine e Conferma Parola d'Ordine.
6. Fare clic su Aggiungi e Registra e quindi su OK.
  
  Il nuovo utente PTH è ora registrato nel ruolo Amministratore Server, come illustrato nella seguente immagine.

Poiché il Reporting Server è ora usato per autorizzare gli utenti che eseguono l'accesso a WebFOCUS, questo deve essere lasciato in esecuzione. È ora possibile procedere alla configurazione di WebFOCUS per autorizzazione esterna.

Inizio pagina

Configurazione di un fornitore di sicurezza RDBMS personalizzato su WebFOCUS Reporting Server

WebFOCUS è in grado di recuperare informazioni utente da un sistema di gestione database relazionale (RDBMS). Per esempio, autorizzazioni email, descrizione e utente. È possibile recuperare le informazioni con SQL o con procedure memorizzate SQL, ma, in entrambi i casi, si creano procedure FOCUS personalizzate per ottenere informazioni.

L'autorizzazione esterna da una tabella RDBMS richiede due procedure FOCUS. Si richiede una terza procedura se si autenticheranno utenti anche rispetto alle informazioni in RDBMS. Se RDBMS non contiene informazioni di autenticazione utente, configurare WebFOCUS Client per pre-autenticare utenti, per identificarli per l'autorizzazione esterna. Per ulteriori informazioni sulla pre-autenticazione, consultare Configurazione della pre-autenticazione.

I file necessari per configurare un fornitore di sicurezza SQL esterno sul Reporting Server sono disponibili in:

techsupport.informationbuilders.com/tech/wbf/v8templates/wbf_8_server_custom_provider.html

Inizio pagina

Procedura: Come configurare un fornitore di sicurezza RDBMS personalizzato su WebFOCUS Reporting Server

Per ulteriori informazioni sulla configurazione dei fornitori di sicurezza di WebFOCUS Reporting Server, consultare il manuale Gestione del server per UNIX, Windows, OpenVMS, IBM i e z/OS.

Eseguire l'accesso alla console web del Reporting Server come amministratore utente e selezionare la scheda Controllo Accesso.
Sull'albero Controllo Accesso, estendere Fornitori di Sicurezza, selezionare il nodo CUSTOM, quindi Nuovo.
Immettere il nome del fornitore di sicurezza RDBMS personalizzato, quindi specificare le procedure WebFOCUS che si useranno per recuperare le informazioni utente.
Nota: Queste procedure devono supportare vari tipi di chiamate e restituire informazioni in un formato specifico. Per ulteriori informazioni sulle procedure personalizzate, consultare techsupport.informationbuilders.com/tech/wbf/v8templates/wbf_8_server_custom_provider.html.
1. Se il proprio fornitore di sicurezza supporterà l'autenticazione, immettere il nome completamente qualificato della procedura che autenticherà utenti nel campo cust_authenticateuser, per esempio _edaconf/catalog/custom/wfsqlauthn. Se WebFOCUS eseguirà la pre-autenticazione utenti, lasciare il campo vuoto.
2. Immettere il nome completamente qualificato di una procedura che restituirà informazioni sugli utenti nel campo cust_usersbygroup, per esempio, _edaconf/catalog/custom/wfsqlusers.
3. Immettere il nome completamente qualificato di una procedura che restituirà informazioni sui gruppi nel campo cust_groupsbyuser, per esempio, _edaconf/catalog/custom/wfsqlgroups.
Revisionare le proprie modifiche e fare clic su Salva.
Selezionare il nuovo fornitore di sicurezza dall'elenco Fornitori Sicurezza Principali, quindi selezionare un secondo fornitore di sicurezza.
Si consiglia PTH come fornitore secondario. Per ulteriori informazioni sull'uso di PTH come fornitore secondario, consultare Fornitori sicurezza.
Fare clic su Avanti.

Si visualizza il pannello Modifica Fornitore.
Specificare l'account che si userà come Amministratore del Reporting Server per eseguire una connessione protetta.
1. Nel campo ID Amministratore Server, immettere il nome di un account amministratore.
  Se il fornitore di sicurezza personalzizato supporta l'autenticazione, è possibile specificare un account amministratore dall'origine esterna associata con il fornitore. Altrimenti, specificare un altro account amministratore, come PTH\srvadmin.
2. Fare clic su Applica e Riavvia server.
  L'account specificato di sopra verrà automaticamente registrato nel ruolo Amministratore di WebFOCUS Reporting Server.
Eseguire l'accesso alla console web del Reporting Server con l'account specificato nel passaggio 7. Lasciare l'elenco a discesa dei fornitori impostato sul proprio fornitore di sicurezza principale, se questro supporta l'autenticazione. Altrimenti, selezionare un altro fornitore di sicurezza, come PTH.
Nota: In certi casi, il browser web non riesce a riconnettersi automaticamente al Reporting Server, dopo averne cambiato il fornitore. Se il browser web visualizza il messaggio Riavvio Workspace per più di 30 secondi, chiudere e riaprire il browser web. Si dovrebbe ora essere in grado di accedere alla console web.
Sulla pagina Controllo Accesso, fare clic sul pulsante Impostazioni nel nastro. Cambiare trust_ext in y, quindi fare clic su Applica e Riavvia il Server.
Nota: Questa azione consente agli utenti di WebFOCUS di eseguire connessioni protette al server, senza che il server esegui la query all'origine esterna per le credenziali utente. Si dovrebbero adottare delle precauzioni per assicurarsi che le installazioni non autorizzate di WebFOCUS non siano in grado di eseguire connessioni protette al proprio Reporting Server, che potrebbe includere la configurazione di firewall di rete o l'uso delle funzioni IP_RESTRICT del Reporting Server.

Il proprio browser web si riconnette automaticamente con il Reporting Server. Questa azione potrebbe richiedere fino a un minuto.
Registrare un account Reporting Server nel ruolo Amministratore Server per uso come l'account di servizio WFRS in WebFOCUS.
Questo elemento potrebbe essere un account nell'origine esterna con una parola d'ordine senza scadenza, ma si consiglia di usare un account PTH.

Per registrare un account PTH nell'account del ruolo Amministratore Server:
1. Eseguire l'accesso a WebFOCUS Reporting Server come amministratore.
2. Sulla pagina di controllo dell'accesso, fare clic con il tasto destro del mouse sul ruolo Amministratore Server e selezionare Registra Utente.
3. Fare clic sul pulsante Registrazione Singolo Utente e selezionare PTH dall'elenco dei fornitori di sicurezza.
4. Immettere il nuovo ID utente PTH nel campo Utente, per esempio, srvadmin.
  I campi Descrizione e Email sono opzionali.
5. Immettere la parola d'ordine nei campi Parola d'Ordine e Conferma Parola d'Ordine.
6. Fare clic su Aggiungi e Registra e quindi su OK.
  
  Il nuovo utente PTH è ora registrato nel ruolo Amministratore Server, come illustrato nella seguente immagine.

Inizio pagina

Procedura: Come configurare WebFOCUS per autorizzazione esterna

Prima di configurare WebFOCUS per l'autorizzazione esterna, è necessario aver già configurato l'origine dell'autorizzazione esterna come fornitore di sicurezza sul Reporting Server. Si consiglia di configurare inoltre una connessione protetta tra il Client e il Reporting Server.

Per ulteriori informazioni sulla configurazione dei fornitori di sicurezza, consultare Configurazione di un fornitore di sicurezza su WebFOCUS Reporting Server. Per ulteriori informazioni sulla configurazione di connessioni protette, consultare Come configurare WebFOCUS Client per eseguire una connessione protetta a WebFOCUS Reporting Server.

Accedere a WebFOCUS come amministratore e selezionare Console di gestione dal menu Gestione.
Selezionare Configurazione, quindi Impostazioni Applicazione e quindi Sicurezza.
Eseguire le seguenti modifiche alle impostazioni di sicurezza:
1. Se si sta configurando l'autenticazione esterna con autorizzazione esterna, impostare IBI_Authentication_Type a WFRS. Se si sta configurando la pre-autenticazione con autorizzazione esterna, l'impostazione IBI_Authentication_Type determina come gli utenti verranno autenticati, se non sono già stati pre-autenticati.
  Per esempio, se gli amministratori stanno usando accessi basati su moduli alla zona di sicurezza alternativa, gli utenti che non sono già stati pre-autenticati verranno autenticati tramite il metodo specificato da IBI_Authentication_Type, in grado di essere INTERNAL o WFRS.
  
  Per ulteriori informazioni sull'uso di multiple forme di autenticazione, consultare Zone di sicurezza.
2. Se si desidera che WebFOCUS aggiorni la descrizione e indirizzo email utente all'accesso, impostare IBI_Update_User_Info su True.
  Nota: È necessario configurare il fornitore di sicurezza del Reporting Server per recuperare descrizioni e indirizzi email utente dall'origine esterna, per poter usare questa funzione.
3. Se s sta configurando l'autenticazione esterna con autorizzazione esterna, impostare IBI_User_Group_Membership_ExtAuthN in EXTERNAL or EXTERNALONLY. Se s sta configurando la pre-autenticazione con autorizzazione esterna, impostare IBI_User_Group_Membership_PreAuthN in EXTERNAL or EXTERNALONLY.
  Nota: In entrambi i casi, l'impostazione consigliata è EXTERNAL
  
  Per ulteriori informazioni su queste opzioni, consultare Opzioni EXTERNAL e EXTERNALONLY.
4. Impostare IBI_External_Group_Type su WFRS.
5. Impostare IBI_WFRS_Service_User in un account di WebFOCUS Reporting Server valido con i diritti dell'amministratore server e IBI_WFRS_Service_Pass alla parola d'ordine dell'account.
  Questo elemento potrebbe essere un account nell'origine esterna con una parola d'ordine senza scadenza, ma si consiglia di usare un account PTH. Se si sta usando un account da un fornitore di sicurezza secondario, il nome account deve essere prefissato con il nome del fornitore di sicurezza, per esempio, srvradmin.
6. Impostare IBI_Allow_Login_External_Groups al valore appropriato per il proprio ambiente.
  Per ulteriori informazioni sull'impostazione IBI_Allow_Login_External_Group, consultare Impostazioni protezione.
7. Impostare IBI_WFRS_Authentication_Node al nodo del Reporting Server protetto, configurato con il proprio fornitore di sicurezza.
8. Salvare le proprie modifiche.
In via opzionale, abilitare la tracciatura di sicurezza per aiutare nella risoluzione di probelmi con la nuova configurazione.
- Se è stato installato Apache Tomcat con WebFOCUS, creare una copia di backup del file drive:/ibi/WebFOCUS81/webapps/webfocus/WEB-INF/classes/log4j.xml, quindi modificare il file log4j.xml per cambiare il valore del livello per com.ibilog da info a traccia.
- Se è stata sviluppata l'applicazione web WebFOCUS dall'archivio web, usando il file webfocus.war, è possibile modificare il file log4j.xml nella sua posizione originale, quindi ricerare il file webfocus.war.
- In alternativa, se è stata sviluppata uan applicazione web WebFOCUS dall'archivio web, usando il file webfocus.war, è possibile modificare il file log4j.xml nella sua posizione distribuita all'interno della directory estesa. Controllare con il proprio amministratore dell'applicazione Java, se non si è sicuri di questa posizione o se non si hanno i diritti di accesso per modificare il file log4j.xml.
Interrompere e riavviare l'applicazione web.
Nota: Prima di riavviare, si potrebbe voler cancellare o rinominare il file drive:/ibi/WebFOCUS81/logs/event.log, per avere un file di registrazione pulito quando WebFOCUS si riavvia in modalità di autorizzazione esterna.

Eseguire l'accesso a WebFOCUS usando l'account utente creato in precedenza.

Suggerimento: Il file event.log visualizza le informazioni di autorizzazione esterna recuperate da WebFOCUS, dal fornitore di sicurezza del Reporting Server.

Se la tracciatura di sicurezza è stata abilitata nel passaggio 2, event.log ha l'aspetto del seguente:

-WFRS.authenticate userName:userName  
 - EDA.authConnect node:EDASERVE User:userID  
security:EXPLICIT-DYNAMIC
 - EDA.authConnect node() provider:null reqName:userID  
 - edaAuth for node:EDASERVE user:userID returned:1000
 - edaAuth for user:userID returned email:userEmail 
 - edaAuth for user:userID returned description:userDescription userID 
 - EDA.getGroupsForUser() node:EDASERVE userName:userID 
 - EDA.getGroupsForUser() provider:null reqName:userID userID 
 - group 1=#WF-ALL description=WF-ALL MAILING LIST userID 
 - group 2=#SharePointSiteAdmins description=SharePoint AdminsuserID 
 - group 3=#Summit_Lab_Staff description=#Summit_Lab Mailing List userID 
 - group 4=CORP-WF-DEV description=WF Product Team userID 
 - EDA.getGroupsForUser() from provider:null group count:4 userID 
 - User:userID has 4 external groups

Se non è stato possibile eseguire l'accesso, usare l'account specificato nell'impostazione IBI_Admin_Name.

È ora possibile mappare i gruppi WebFOCUS ai dati di autorizzazione esterna.

Inizio pagina

Mapping Gruppi

Il Mapping è il processo di associazione ad un gruppo WebFOCUS con i dati di autorizzazione esterni, incluse le appartenenze a gruppi esterni, i dati profilo utente esterni, o le informazioni utente memorizzate in RDBMS. L'autorizzazione esterna si può basare su:

Gruppi, ruoli e valori attributi profilo utente recuperati da qualsiasi directory che supporta il protocollo di accesso della directory Lightweight (LDAP), inclusa la Microsoft Active Directory (AD).
dati recuperati da un sistema di gestione database relazionale (RDBMS).
Dati recuperati da qualsiasi adattatore dati WebFOCUS Reporting Server, incluse informazioni da un servizio web o da un sistema ERP.

Quando si configura WebFOCUS per l'autorizzazione esterna, è possibile mappare o annullare il mapping di gruppi WebFOCUS individuali.

Nota: Il Mapping di gruppi WebFOCUS a dati di autorizzazione esterni richiede il privilegio Mapping Gruppi (opExternalGroupMapping). Per impostazione predefinita, questo privilegio è assegnato solo a membri del gruppo Amministratori.

È possibile configurare i dati di autorizzazione usate nel mapping, tramite il centro di scurezza, o è possibile impostare gli attributi di autorizzazione esterna, in modo programmatico, tramite un servizio web. Per ulteriori informazioni sull'uso di un servizio web, consultare Guida dello Sviluppatore dei Servizi Web di WebFOCUS RESTful.

Il mapping è una proprietà di un gruppo WebFOCUS. Il valore della proprietà è una stringa di testo specificante l'attributo dei dati di autorizzazione nella directory esterna. Per mappare un gruppo WebFOCUS a più gruppi esterni o valori attributi dei ruoli, è possibile delimitare i valori con punti e virgola (;) o usare un simbolo jolly per corrispondere a più gruppi esterni. Per esempio, il mapping di un gruppo WebFOCUS a SALES-* eseguirà il mappig del gruppo WebFOCUS qualsiasi gruppo esterno che inizia in SALES-. La stringa di testo è in grado di arrivare fino a 2,000 caratteri, inclusi i punti e virgola (;).

Il centro di sicurezza indica i gruppi con mapping con una icona blu accanto al nome del gruppo. La descrizione per il nome del gruppo visualizza i dati esterni o attributo utente a cui è stato eseguito il mapping. La seguente immagine visualizza una configurazione, dove ad un gruppo WebFOCUS, il gruppo Sales/AdvancedUsers, è stato eseguito il mapping ad un gruppo esterno chiamato CORP-Sales, ma all'altro subgruppo Sales non è stato eseguito il mapping.

Gruppi con e senza Mapping

Se i membri di un gruppo WebFOCUS devono essere definiti sia a livello interno in WebFOCUS che esterno da un fornitore di sicurezza, è possibile usare un gruppo senza mapping per i mebri autorizzati a livello interno e un subgruppo con mapping per i mebri autorizzati a livello esterno. La seguente immagine mostra un esempio, dove il gruppo Amministratori WebFOCUS ha un subgruppo chiamato Esterno, il quale ha il mapping ad un gruppo esterno chiamato CORP-BI-Admins.

Gruppo principale senza mapping con subgruppo con mapping

I membri di entrambi i gruppi condividono la normativa di sicurezza del gruppo principlae senza mapping, mentre le loro appartenenze possono essere gestite in modo separato.

Inizio pagina

Opzioni EXTERNAL e EXTERNALONLY

Ci sono due opzioni per la configurazione del mapping di gruppi WebFOCUS a dati di autorizzazione in una directory esterna.

EXTERNAL

Specifica che alcuni gruppi WebFOCUS potrebbero essere associati e alcuni non associati. Gli utenti sono autorizzati se:

Sono membri di un gruppo esterno associato ad un gruppo WebFOCUS.
Sono posizionati esplecitamente in un gruppo WebFOCUS non associato.

Questa è l'impostazione consigliata se IBI_Authentication_Type è impostato su WFRS.

EXTERNALONLY

Specifica che gli utenti vengono autorizzati solamente se membri di un gruppo esterno associato ad un gruppo WebFOCUS.

Prestare attenzione quando si seleziona questa opzione. Se non si ha una autorizzazione esterna associata al gruppo amministratori di WebFOCUS, è possibile essere bloccati fuori da WebFOCUS.

Per mantenere i diritti di gestione su WebFOCUS, quando si specifica l'autorizzazione EXTERNALONLY, è necessario eseguire uno dei seguenti:

Dopo la configurazione dell'opzione EXTERNALONLY, eseguire l'accesso a WebFOCUS con l'account superuser, mappare il gruppo Amministratori ad un gruppo esterno e quindi eseguire l'accesso a WebFOCUS con un utente che appartiene al gruppo esterno.
Dopo aver inizialmente configurato l'opzione EXTERNAL, eseguire l'accesso a WebFOCUS con un account amministratore, mappare il gruppo Amministratori ad un gruppo esterno, configurare l'opzione EXTERNALONLY ed eseguire l'accesso a WebFOCUS con un utente che appartiene al gruppo esterno.

Nota: Quando un gruppo principale WebFOCUS ha un mapping esterno, un utente deve essere membro di un gruppo principale per essere considerato membro del suo gruppo secondario, sia che l'appartenenza al gruppo secondario presenti il mapping sia che sia direttamente assegnata.

Inizio pagina

Procedura: Come Mappare i gruppi WebFOCUS ai dati di autorizzazione esterna

Accedere a WebFOCUS come amministratore e selezionare Centro di Sicurezza dal menu Gestione.
Selezionare il gruppo WebFOCUS a cui si desidera eseguire il mapping ad un gruppo esterno e fare clic su Modifica Gruppo.
Si visualizza la finestra di dialogo Modifica Gruppo, come mostrato nell'immagine seguente.

Suggerimento: Se il pulsante Ricerca non è visibile, WebFOCUS non è stato configurato per l'autorizzazione esterna. Per informazioni su come configurare l'autorizzazione esterna, consultare Come configurare WebFOCUS per autorizzazione esterna.
Se si è a conoscenza dell'attributo da usare per l'autorizzazione esterna, è possibile immetterla manualmente. Altrimenti, fare clic su Sfoglia.
Nota: Se si desidera usare un attributo profilo utente personalizzato per l'autorizzazione, è necessario immettere il valore a livello manuale.

Si visualizza la finestra di dialogo Ricerca Gruppi Esterni, come mostrato nell'immagine seguente.
Immettere il termine di ricerca e fare clic su Ricerca.
Nota: Per impostazione predefinita, WebFOCUS ricerca solo il fornitore di sicurezza principale. Per ricercare i dati usando un secondo fornitore di sicurezza, è necessario includere il nome del fornitore nella propria query. Per esempio, per trovare i gruppi Sales per un fornitore PTH secondario, si dovrebbe ricercare PTH\*Sales. Per trovare tutti i gruppi per tutti i fornitori di sicurezza, ricercare *\*.
Selezionare i valori a cui il gruppo WebFOCUS verrà mappato e fare clic su OK.
Nota: È possibile selezionare valori multipli.
Quando si ritorna alla finestra di dialogo Modifica Gruppo, i gruppi esterni selezionati si visualizzano nel campo Gruppi Esterni. Fare clic su OK per salvare le modifiche.

Quando si ritorna al centro di sicurezza, il gruppo con il mapping appare con una icona di collegamento, come illustrato nella seguente immagine.

Icona collegamento gruppo con mapping

Quando si passa con il cursore del mouse sul gruppo, la descrizione visualizza i dati di autorizzazione esterna con mapping in parentesi, dopo il nome del gruppo WebFOCUS.