[转]使用 LDAP 组或角色限制访问,包含部分单点登录SSO说明
2015-11-07 08:29
302 查看
参考: http://www-01.ibm.com/support/knowledgecenter/api/content/SSEP7J_10.2.2/com.ibm.swg.ba.cognos.crn_arch.10.2.2.doc/c_restrict_access_using_ldap_groups_or_roles.html#Restrict_Access_Using_LDAP_Groups_or_Roles?locale=zh[/code]使用 LDAP 组或角色限制访问
LDAP 目录中并非所有用户必须使用 IBM® Cognos® BI。仅授予指定用户对 IBM Cognos Connection 的访问权限。可通过在目录服务器中创建 IBM Cognos BI 特定的组或角色,将所需的用户添加到其成员资格,并授予组或角色对 IBM Cognos Connection 的访问权限,进行此操作。
替代方法基于使用 LDAP 组织单元 (OU)。
您是否必须创建组或角色取决于认证提供程序。如果您使用 Oracle 目录服务器,那么必须创建角色,因为此提供程序将角色成员资格用作其用户帐户信息的一部分。如果您使用 Active Directory,那么必须创建组,因为此提供程序将组成员资格用作其用户帐户信息的一部分。使用角色
使用 Oracle 目录服务器来为此技术创建角色。有关创建此类型角色的更多信息,请参阅 Oracle 目录服务器文档。
确保在 IBM Cognos Configuration 的安全、认证类别中正确定义了以下参数。
用户查找
将用户查找字符串配置为包含将用于对 ${userID} 变量进行认证的属性。此变量采用在登录时输入的用户名,并将该变量替换为值,然后将搜索字符串传递到目录服务器。角色的专有名称 (DN) 也必须包括在字符串中。
以下为查找字符串的示例:
(&(uid=${userID})(nsrole=cn=Cognos,ou=people,dc=cognos,dc=com))
在此示例中,组织单元 (ou) 中的 IBM Cognos BI 角色的所有成员(已命名人员)具有 IBM Cognos Connection 的访问权限。
是否使用外部身份?
如果已启用单点登录,请将值设置为 True。
外部身份映射
如果是否使用外部身份?设置为 True,请指定此属性。
构造字符串来在 LDAP 目录服务器中查找用户。在登录时,此字符串中的环境变量 ${environment("REMOTE_USER")} 会替换为用户名。
在以下示例中,Web 浏览器会设置环境变量 REMOTE_USER,其匹配用户的 uid 属性:(&(uid=${environment("REMOTE_USER")})(nsrole=cn=Cognos,ou=people,dc=cognos,dc=com))
在某些情况下,REMOTE_USER 变量(通常是 DOMAIN\username 格式)不能匹配任何用户 uid 属性。要解决此问题,将 replace 函数包括在字符串中,如以下示例中所示:
(&(uid=${replace(${environment("REMOTE_USER")},"ABC\\","")})(nsrole=cn=Cognos,ou=people,dc=cognos,dc=com))
如果包括 replace 函数,那么域名(在此示例中为 ABC)会替换为空字符串,且仅用户名会传递到目录服务器。
域名在此上下文中区分大小写。
创建角色之后,使用 IBM Cognos Configuration 配置它,以访问 IBM Cognos Connection。角色还可以添加到 Cognos 名称空间。使用组
使用 Active Directory 来为此技术创建组。此技术涉及对用户查找字符串的修改。由于 Active Directory 不具有此属性,因此无法使用它。而是使用相关联的 LDAP 提供程序。
确保在 IBM Cognos Configuration 的安全、认证类别中正确指定了以下参数。
用户查找
将查找字符串配置为包含将用于对 ${userID} 变量进行认证的属性。此变量采用在登录时输入的用户名,并将该变量替换为值,然后将搜索字符串传递到目录服务器。组的专有名称 (DN) 也必须包括在字符串中。
以下为查找字符串的示例:(&(sAMAccountName=${userID})(memberOf=cn=ReportNet,ou=Groups,dc=cognos,dc=com))
是否使用外部身份?
如果已启用单点登录,请将值设置为 True。
外部身份映射
如果是否使用外部身份?设置为 True,请指定此属性。
构造字符串来在 LDAP 目录服务器中查找用户。在登录时,此字符串中的环境变量 ${environment("REMOTE_USER")} 会由用户名替换,然后字符串会传递到目录服务器。
在以下示例中,Web 浏览器会设置环境变量 REMOTE_USER,其匹配用户的 uid 属性。从浏览器会话读取环境变量,而不是将硬编码的sAMAccountName 值替换为 ${userID}。(&(sAMAccountName=${environment("REMOTE_USER")})(memberOf=cn=Cognos,cn=Groups,dc=cognos,dc=com))
创建组之后,使用 IBM Cognos Configuration 配置它,以访问 IBM Cognos Connection。组还可以添加到 Cognos 名称空间。
相关文章推荐
- Docker入门与实战系列:热点问题
- C#语言 类
- SQL实现表名更改,列名更改,约束更改
- SQL实现表名更改,列名更改,约束更改
- 20年,一张卡和一个时代
- Struts2学习感悟2015-11-17
- 相册轮播
- [转]使用 LDAP OU 限制访问
- 天声人語 20151107 第4次産業革命って何?
- 在国外破解ADOBE软件方法
- UML第十三集(15)之状态图
- Android中的自定义Adapter(继承自BaseAdapter)——与系统Adapter的调用方法一致——含ViewHolder显示效率的优化
- ble
- android错误代码调试
- Liberty中应用的contextroot
- ——黑马程序员——OC中构造和重写构造方法
- 一切成功源于积累——20151107 美国非农15分钟k线直至收盘 各货币对表现 好于预期 黄金2000点
- A Voice from the Other Side
- swift - 闭包
- Quartz 定时任务(含Redis)