Integración OBI con ADSI

Ver el tema anterior Ver el tema siguiente Ir abajo

19022009

Mensaje 

Integración OBI con ADSI




Desde OBI podemos utilizar los usuarios creados en un directorio activo para entrar en Answers y Dashboards. BI enviará al directorio activo el nombre de usuario y la contraseña introducidos y ahí se validarán. Si el usuario es correcto le permitirá la entrada en el sistema, si no es correcto mostrará un aviso de error.
En cuanto a los grupos de usuarios, actualmente no se pueden obtener de forma directa de los grupos del directorio activo pero Oracle sugiere un método alternativo para centralizar la gestión de grupos en el directorio activo y usarlos en BI.
Creación de un servidor LDAP
Desde la herramienta de Administración de BI, menú Manage/Security, se crea un servidor LDAP con las siguientes características:
• Name: nombre que se le asigne a este servidor LDAP en BI.
• Host name: nombre del host donde reside el directorio activo
• Port number: puerto del directorio activo, por defecto es 389
• Base DN: carpeta del directorio en la que se van a realizar las búsquedas de usuarios. Ver el apartado de Obtener el valor de Base DN.
• Bind DN: si el directorio activo no admite login anónimo aquí hay que poner un usuario que tenga permisos para realizar consultas. En nuestro caso hemos puesto el Administrador junto con el nombre completo del dominio tal y como aparece en el árbol del directorio activo.
• Bind password: contraseña del usuario que se ha escrito en el campo anterior.
• Test connection: sirve para comprobar si hemos escrito bien los datos de la conexión pero hay muchas combinaciones que dan un test correcto y luego no funcionan para recuperar un usuario del directorio activo.
• Domain identifier: nombre del dominio tal como aparece en el árbol del directorio activo
• ADSI: indica si es un directorio activo de Microsoft.
• User name attribute type: es el nombre que tiene por defecto el campo que guarda el nombre del usuario en el directorio activo. Tendremos que usarlo en el script de inicialización.
Obtener el valor de Base DN
Abrir la herramienta de Usuarios y equipos de Active Directory en el servidor de directorio.
Localizar la carpeta Users y anotar todo el camino hasta llegar a la raíz del dominio.
Para este ejemplo, el Base DN sería: CN=Users,dc=MADRID,dc=adiante,dc=es
Crear script de inicialización
El script de inicialización sirve para validar el usuario en directorio activo y obtener algunos campos con información adicional.

En la herramienta de Administración de BI, menú Manage / Variables, se crea una Session / Initialization Block con los siguientes valores:
Name: el nombre que se quiera asignar al script, en nuestro caso getUsuario.
Data Source: pinchar en Edit Data Source, seleccionar tipo LDAP y con el botón Browse localizar el servidor LDAP creado en el paso anterior.
Cerrar esta ventana.
Variable Target: pinchar en el botón Edit Data Target para indicar qué datos queremos obtener del directorio activo y qué variables de BI les vamos a asignar.
En nuestro caso vamos a crear dos variables:
• USER para el login de usuario, asociado a la propiedad sAMAccountName del directorio activo.
• DISPLAYNAME para el nombre completo, asociado a la propiedad displayName del directorio activo.
Para crear una variable se pulsa el botón New y se le da un nombre. Una vez de vuelta en la pantalla de variables se escribe el nombre de la propiedad LDAP que vamos a asociar a la variable.
Las variables USER y DISPLAYNAME son variables especiales así que nos pedirá confirmación a la hora de crearlas.
Cerramos la pantalla de variables y volvemos a la del script de inicialización.
Debemos marcar la casilla ‘Required for authentication’ para que se ejecute obligatoriamente en la validación de los usuarios.

Ahora podemos probar el script pulsando el botón Test.
Se abrirá una ventana donde introduciremos un usuario y contraseña. Si el usuario existe y la contraseña es correcta, al pulsar OK se abrirá una ventana con el contenido de las variables que hemos creado.

Ahora podemos grabar el repositorio y probar Answers o Dashboards con cualquier usuario del dominio.
Si el usuario y la contraseña son correctos entrará en la aplicación y en el texto de ‘Bienvenido…’ pondrá el nombre completo del usuario (variable DISPLAYNAME). Los cuadros de mando y áreas temáticas que nos mostrará serán aquellos que todo el mundo puede ver, es decir, aquellos que tienen el permiso de lectura para el usuario especial de BI Everyone.

Uso de los grupos de usuarios de Active Directory
En la herramienta de Administración de BI se usan grupos para otorgar permisos a las distintas carpetas de Presentación y en los cuadros de mando también se usan grupos con igual nombre para otorgar permisos a los cuadros de mando.
Actualmente no está soportado el uso directo de los grupos del directorio activo. La propiedad memberOf contiene los grupos de un usuario pero en un formato no legible para BI. Registrado como bug 5714777 en Metalink3.

Mientras no se añada esta funcionalidad, la recomendación de Oracle es utilizar uno de los campos multivaluados del directorio activo que no usemos normalmente y escribir ahí los nombres de los grupos que deseemos utilizar para otorgar permisos en BI.

En el directorio activo hay varios campos multivaluados, por ejemplo el de número de telefóno o el de sitios web. En este caso vamos a utilizar el de número de teléfono.

Abrimos la herramienta de Usuarios y Equipos de Active Directory, entramos en la ficha de un usuario, y en el campo de teléfono escribimos una lista separada por ; con los nombres de los grupos. Estos grupos en realidad no tienen que existir en el directorio activo pero pueden crearse y asignarse a los usuarios para mayor control.
Volvemos a la herramienta de Administración de BI y añadimos una nueva variable a nuestro script de inicialización getUsuario. El nombre será GROUP y la propiedad asociada telephoneNumber.
Al hacer el test del script veremos el valor asignado a la variable GROUP.
En la herramienta de Administración de BI crearemos los grupos y les que daremos permiso para acceder a las carpetas de presentación oportunas.

En Answers o Dashboards crearemos grupos con el mismo nombre para otorgar permisos a los cuadros de mando.
A partir de este momento, cuando el usuario se logue tendrá acceso a todos los objetos que permita su grupo.

bvillamor

Cantidad de envíos : 388
Localización : Madrid
Fecha de inscripción : 18/02/2009

Ver perfil de usuario http://www.adiante.es

Volver arriba Ir abajo

- Temas similares
Compartir este artículo en : Excite BookmarksDiggRedditDel.icio.usGoogleLiveSlashdotNetscapeTechnoratiStumbleUponNewsvineFurlYahooSmarking

Integración OBI con ADSI :: Comentarios

Mensaje el Mar 04 Ago 2009, 13:05  Antonio Gago

Hola,

también podemos utilizar la mayor parte de atributos que se suelen utilizar en VBScript, como pueden ser: displayName, mail, company, department, mobile, etc.

La dirección de donde extraje la información es Esta: http://www.computerperformance.co.uk/Logon/LDAP_attributes_active_directory.htm

como se indica en la página, para averiguar los atributos de LDAP que se pueden utilizar, basta con ejecutar el comando CSVDE -f Exportfile.csv y abrir el archivo que se genera (Exportfile.csv)

Espero que os sirva.
Un saludo a todos.

Volver arriba Ir abajo

Mensaje el Miér 05 Ago 2009, 20:08  bvillamor

Gracias !!

Volver arriba Ir abajo

Mensaje Hoy a las 17:18  Contenido patrocinado

Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba


 
Permisos de este foro:
No puedes responder a temas en este foro.