Active Directory

Details
Kategorie: ORACLE BI EE Praxis
Zugriffe: 177

Die Anbindung an ein Active Directory bietet viele Vorteile. Benutzer & BI-Gruppen werden zentral im Unternehmens AD verwaltet. Der Anwender bentutzt das gleiche Login wie für seinen Client-Rechner und es können Gruppen für die funktionsbasierten & fachlichen Berechtigungen im BI aus dem AD verwendet werden.

Voraussetzungen

1) Im Active Directory muss ein Benutzer namens „BISystemUser“ angelegt sein.

2) Des Weiteren müssen folgende Gruppen im AD für die funktionalen Berechtigungen angelegt werden:

  • BIAdministrator
  • BIAuthor
  • BIConsumer

 

Für die Anbindung an das AD, müssen folgende Schritte durchgerführt werden:

  • Weblogic-Konsole: Anlegen des neuen Security Providers
  • Weblogic-Enterprise Manager: BISystemUser konfigurieren
  • Weblogic-Enterprise Manager: BI-Rollen anlegen und die AD-Gruppen/User zuordnen

 

Der letzte Schritt ist notwendig, damit nicht jeder Anwender Zugriff auf Funktionen/Daten in der BI-Anwendung hat. Nachdem Login prüft der BI-Server ob die AD-Gruppen des Benutzers mit irgendeiner Weblogic-Rolle übereinstimmt. Ist dies nicht der Fall, so erfolgt zwar ein Login, aber es stehen keine Funktionalitäten zur Verfügung.

 

Weblogic-Konsole: AD-Provider

1) Weblogic-Konsole öffnen.

2) Navigieren zu Security Realms->myRealm->Providers.

3) Anklicken des "Sperren & Bearbeiten"-Schalters, "Neu" auswählen.

4) Name der AD-Verbindung und Auswahl des Authentifizierungstyp und bestätigen.

Der neue Provider ist jetzt in der Tabelle sichbar. Über "Neu anordnen" sollte der neue Provider an die erster Stelle verschoben werden. Die Authentifizierung durchläuft die Provider von Oben nach Unten. Es ist möglich mehrere Provider anzulegen.

5) Als nächstes werden die AD Eigenschaften angepasst. Beim Klick auf den AD-Namen (AD_DP) werden die Eigenschaften angezeigt.

Über das Steuerungskennzeichen wird der Authentifizierung mitgeteilt, ob der Provider zur Validierung zwingend notwendig ist (REQUIRED) oder nicht (OPTIONAL). Unter "Allgemein" sollte das Steuerungskennzeichen auf "OPTIONAL" stehen. Auf der Registerseite "Providerspezifisch" werden die technischen Daten des AD abgefragt. Hier sollte der AD-Administrator unterstützen und ein AD-Browser Tool ist auch sehr hilfreich.

Für den Provider "DefaultAuthenticator" muss das Steuerungskennzeichen auf "OPTIONAL" umgestellt werden.

Folgende Einträge reichen in der Regel:

Bereich "Verbindung"

Host: 
Port: 389
Principal: BISystemUser
Zugangsdaten: [PWD BISystemUser]

 

Bereich "Benutzer"

User Base DN: [DC=,DC=,DC=com]
All Users Filter: (&(sAMAccountName=*)(objectclass=user))
User From Name Filter:(&(sAMAccountName=%u)(objectclass=user))
Geltungsbereich für Benutzersuche: subtree
User Name Attribute:sAMAccountName
User Object Class: user

 

Bereich "Gruppen"
Group Base DN: [OU=Groups,OU=,DC=,DC=,DC=com]

restliche Eigenschaften auf default Einstellung belassen

6) Durch Betätigen des Schalters „Änderungen aktivieren“ werden die Änderungen gespeichert. Ein Neustart des Weblogic-Servers ist erforderlich.

7) Nach erneutem Login in der Weblogic-Konsole erscheinen nun die Benutzer und Gruppen aus dem AD unter myRealm->Benutzer und Gruppen-> Benutzer bzw. Gruppen. In der Liste der Benutzer erscheint der User mit dem Namen BISystemUser zweimal. Derjenige, der dem alten Provider (DefaultAuthenticator) zugeordnet ist, wird nun gelöscht.

Es ist zu empfehlen, dass Benutzer und Gruppen nicht mehrfach in den Übersichten vorkommen.

 

Weblogic-Enterprise Manager: BISystemUser

1) Weblogic-Enterprise Manager öffnen.

2) Navigieren über einen Rechtsklick auf "bifoundation_domain" über "Sicherheit"  zu den "Zugangsdaten".

3) Bei Erweitern des Ordners oracle.bi.system erscheint der system.user, dessen Passwort wird auf das im AD (BISystemUser) für ihn vergebene Passwort geändert.

4) Navigieren über einen Rechtsklick auf "bifoundation_domain" über "Sicherheit"  zu den "SicherheitsProvider-Konfiguration".

Über den Button "Konfigurieren" wird die Identity-Speicherkonfiguration angezeigt.

Dort werden folgende Properties wie angegeben angepasst bzw. ergänzt:

user.login.attr=sAMAccountName

username.attr=sAMAccountName

virtualize=true // gibt es Probleme bei der Zuordnung von Benutzer/Gruppen zu den Rollen, diesen Wert auf "false" stellen

 

Weblogic-Enterprise Manager: BI Rollen - AD Gruppen

1) Navigieren über einen Rechtsklick auf "bifoundation_domain" über "Sicherheit"  zu den "Anwendungsrollen".

2) Auswahl des Anwendungs-Stripe (OBI) und über "Erstellen" eine neue BI-Rolle anlegen. Mitglieder der Rolle sind Gruppen oder Benutzer und werden über "Hinzufügen" hinzugefügt.

Hinweis:

Die Rollen BIAdminitrator, BIAuthor und BIConsumer sind schon vorhanden und müssen nicht angelegt werden!

3)  Es erfolgt ein Neustart des Weblogic-Servers.

4) Es empfiehlt sich, vor dem ersten Einloggen zudem die GUIDs zu reparieren.