Transizione à una Sferente Fonte di Sicurezza Cognos

Quandu avete bisognu di riconfigurà un ambiente Cognos esistente per un usu una fonte di sicurezza esterna diversa (per esempiu Active Directory, LDAP, ecc), ci hè una manciata di approcci chì pudete piglià. Mi piace à chjamalli: "U Bè, u Cattivu è u Bruttu". Prima di esplorà questi approcci Boni, Cattivi è Brutti, dighjà un ochju à alcuni scenarii cumuni chì tendenu à guidà i cambiamenti di spazi di nomi di autenticazione in un ambiente Cognos.

Conduttori cummuni cumuni:

Aghjurnamentu di u Hardware o OS - A mudernizazione di u hardware / infrastruttura BI pò esse un driver frequente. Mentre u restu di Cognos pò currere cum'è un campione nantu à u vostru novu hardware elegante è u SO 64-bit mudernu, bona furtuna migrendu a vostra versione versu 2005 di Access Manager in quella nova piattaforma. L'Access Manager (publicatu per a prima volta cù a Serie 7) hè una venerabile ripresa da ghjorni passati per parechji clienti di Cognos. Hè l'unicu mutivu chì parechji clienti tenenu intornu à quella crufty vechja versione di Windows Server 2003. A scrittura hè stata annantu à u muru per Access Manager da un bellu pezzu. Hè un software legatu. Più prestu pudete passà da ellu, megliu.

Standardizazione di l'applicazione- Organizazioni chì volenu cunsulidà l'autenticazione di tutte e so applicazioni contr'à un servitore di repertoriu corporativu amministratu di manera centralizata (per esempiu LDAP, AD).

Fusioni è Acquisizioni- A Cumpagnia A compra a Cumpagnia B è hà bisognu di l'ambiente Cognos di a Cumpagnia B per indicà u servitore d'annunziu di a Cumpagnia A, senza causà prublemi à u so cuntenutu BI o cunfigurazione esistenti.

Cessioni Corporative- Questu hè u cuntrariu di u scenariu di fusione, una parte di una sucietà hè spinta in a so propria entità è avà deve indicà u so ambiente BI esistente in a nova fonte di sicurezza.

Perchè e Migrazzioni di Spazii Nomi ponu esse Disordinati

Indirizzà un ambiente Cognos à una nova fonte di sicurità ùn hè micca simplice cum'è aghjunghje u novu namesapce cù i stessi utilizatori, gruppi è roli, disconnettendu u vechju spaziu di nomi, è VOILA! u so cuntenutu. In fatti, pudete spessu finisce cun un disordine sanguinariu in e vostre mani, è eccu perchè ...

Tutti i principali di sicurezza di Cognos (utilizatori, gruppi, roli) sò riferiti da un identificatore unicu chjamatu CAMID. Ancu se tutti l'altri attributi sò uguali, u CAMID per un utilizatore in un esistenti u spaziu di nome di autentificazione ùn serà micca uguale à u CAMID per quellu utilizatore in u novu spaziu di nomi. Questu pò arruvinà u distrughju in un ambiente Cognos esistente. Ancu sì avete solu uni pochi d'utilizatori di Cognos, duvete capisce chì e referenze CAMID esistenu in MOLTI posti diversi in u vostru Store di cuntenutu (è ponu ancu esiste fora di u vostru Store di cuntenutu in mudelli Framework, Modelli Trasformatori, Applicazioni TM1, Cubi, Applicazioni di Pianificazione ecc. ).

Parechji clienti di Cognos credenu erroneamente chì CAMID hè veramente solu impurtante per u cuntenutu di u mo Cartulare, e preferenze di l'utenti, ecc. Questu ùn puderia micca esse più luntanu da a verità. Ùn hè micca solu una questione di u numeru di utenti chì avete, hè a quantità di oggetti Cognos chì duvete preoccupassi. Ci hè più di 140 sfarenti tippi d'oggetti Cognos solu in u Content Store, assai di i quali ponu avè parechje referenze CAMID.

Per esempiu:

1. Ùn hè micca raru per una sola Schedule in u vostru Store di Contenutu di avè parechje referenze CAMID (u CAMID di u pruprietariu di u calendariu, u CAMID di l'utilizatore u prugramma duverà esse gestitu, u CAMID di ogni utilizatore o lista di distribuzione duverebbe mandà un email generatu da u rapportu , ecc.).
2. Ogni oggettu in Cognos hà una pulitica di sicurità chì guverna à quale utilizatori ponu accede à l'ughjettu (pensate à "Tabulazione di Permessi"). Una sola pulitica di sicurezza appesa à quellu cartulare in Cognos Connection hà una riferenza CAMID per ogni utilizatore, gruppu è rolu chì hè specificatu in quella pulitica.
3. Speremu chì capite u puntu - sta lista continua è continua!

Ùn hè micca raru chì un magazzinu di cuntenutu di grandi dimensioni cuntene decine di millaie di referenze CAMID (è avemu vistu alcune grandi cù centinaia di millaie).

Avà, fate a matematica nantu à ciò chì hè in vostri L'ambiente Cognos è pudete vede chì si tratta potenzialmente di orde di referenze CAMID. Pò esse un incubo! Cambià (o ricunfigurà) u vostru nome di autentificazione pò lascià tutte ste referenze CAMID in un statu irrisolvibile. Questu cunduce inevitabilmente à cuntenuti di Cognos è prublemi di cunfigurazione (per esempiu, pianificazioni chì ùn funzionanu più, cuntenutu chì ùn hè più sicuru cumu pensate chì hè, pacchetti o cubi chì ùn implementanu più currettamente a sicurezza di u livellu di dati, a perdita di u cuntenutu di u mo Cartulare è di l'utilizatore preferenze, ecc.).

Metodi di Transizione Cognos namespace

Avà, sapendu chì un ambiente Cognos pò avè decine di migliaia di referenze CAMID chì richiederanu di truvà, mappà è aghjurnà à u so novu valore CAMID currispondente in u novu spaziu di nomi di autenticazione, discurremu l'approccii Boni, Cattivi è Brutti per risolve stu prublema.

The Good: Sostituzione di u Spaziu di Nomi cù Persona

U primu metudu (Sostituzione di u Spaziu di i Nomi) utilizza Motio's, Persona IQ pruduttu. Aduprendu questu approcciu, u vostru spaziu di nomi esistente hè "rimpiazzatu" cù un spaziu di nome Persona speciale chì permette di virtualizà tutti i principali di sicurezza chì sò esposti à Cognos. I principali di securità preesistenti seranu esposti à Cognos cù a stessa CAMID esatta cum'è prima, ancu se puderanu esse sustinuti da un numeru numeru di fonti di securità esterni (per esempiu Active Directory, LDAP o ancu a basa di dati Persona).

A bella parte di questu approcciu hè chì richiede ZERO cambiamenti à u vostru cuntenutu Cognos. Questu hè perchè Persona pò mantene i CAMID di i principali preesistenti, ancu quandu sò supportati da una nova fonte. Allora ... tutte quelle decine di millaie di riferenze CAMID in u vostru Store di cuntenutu, mudelli esterni è cubi storichi? Puderanu stà esattamente cume sò. Ùn ci hè micca travagliu necessariu.

Questu hè di gran lunga l'approcciu à u minimu risicu, u minimu impattu chì pudete aduprà per a transizione di u vostru ambiente Cognos esistente da una fonte di sicurezza esterna à l'altra. Si pò fà in menu di un'ora cù circa 5 minuti di fermu di Cognos (u solu tempu di fermu di Cognos riavvia Cognos una volta chì avete configuratu u spaziu di nomi Persona).

lu Munnu: Migrazzioni di u Spaziu di Nomi aduprendu Persona

Sì l'approcciu faciule è à pocu risicu ùn hè micca solu a vostra tazza di tè, allora ci hè is un'altra opzione.

Persona pò ancu esse adupratu per fà una Migrazione di Spaziu di Nomi.

Ciò implica l'installazione di un secondu spaziu di autenticazione in u vostru ambiente Cognos, mappà (speremu) tutti i vostri principali di sicurezza esistenti (da u vechju spaziu di nomi) à i principali currispondenti in u novu spaziu di nomi, allora (eccu a parte divertente), truvà, mappà è aghjurnà ogni riferimentu CAMID unicu chì esiste in u vostru ambiente Cognos: u vostru Store di Contenutu, Modelli Framework, Modelli Trasformatori, Cubi Storichi, Applicazioni TM1, Applicazioni di Pianificazione, ecc.

Stu approcciu tende à esse stressante è intensivu di prucessu, ma sì sì u tippu di amministratore di Cognos chì hà bisognu di un pocu di adrenalina per sentirsi viva (è ùn li importa micca a telefonata tarda notte / prima mattina), allora forse ... issu hè l'opzione chì cercate?

Persona pò esse adupratu per aiutà à automatizà porzioni di stu prucessu. Vi aiuterà à creà una mappatura trà i vechji principali di sicurezza è i novi principali di sicurezza, automatizà a forza bruta "truvà, analizza, aghjurnà" a logica per u cuntenutu in u vostru magazinu di contenuti, ecc. Chì Persona pò automatizà alcune di e attività quì, assai di u travagliu in questu approcciu implica "persone è prucessu" invece di tecnulugia attuale.

Per esempiu - compilà l'infurmazioni nantu à ogni mudellu di Framework Manager, ogni mudellu Transformer, ogni applicazione Planning / TM1, ogni applicazione SDK, chì li detene, è pianificà cumu seranu aggiornate è ridistribuite pò esse assai travagliu. Coordinazione di interruzzioni per ognunu di l'ambienti Cognos chì vulete pruvà sta in e finestre di manutenzione durante e quali pudete pruvà a migrazione pò implicà a pianificazione è Cognos "tempi morti". Venendu cun (è esecutendu) un pianu di prova efficace per dopu a vostra migrazione pò ancu esse un bellu orsu.

Hè ancu abbastanza normale chì vulete fà stu prucessu prima in un ambiente senza produzzione nanzu pruvendu in produzzione.

Mentre a Migrazione di u Spaziu Naziunale cù Persona funziona (è hè assai megliu cà l'approcciu "Bruttu" quì sottu), hè più invasiva, più risicata, implica assai più persunale, è piglia assai più ore mane da fà Sostituzione di u Spaziu Naziunale. Tipicamente e migrazioni devenu esse fatte durante "ore fora", mentre chì l'ambiente Cognos hè sempre in linea, ma l'usu di forma limitata da l'utilizatori finali.

U Casu: Servizi Manuale di Migrazione di Spazii Nomi

U metudu Bruttu implica l'approcciu pocu invidiabile di pruvà manually migrà da un spaziu di nome di autentificazione à l'altru. Ciò implica a cunnessione di un secondu spaziu di nome di autenticazione à u vostru ambiente Cognos, dopu à pruvà di spostà manualmente o ricrea una grande parte di u cuntenutu è a cunfigurazione esistenti di Cognos.

Per esempiu, aduprendu questu approcciu, un amministratore di Cognos puderia pruvà à:

1. Ricrea i gruppi è i roli in u novu spaziu di nomi
2. Ricreate l'appartenenza di questi gruppi è roli in u novu spaziu di nomi
3. Copiate manualmente u cuntenutu di e mo cartelle, e preferenze di l'utente, le schede di u portale, ecc. Da ogni account di origine à ogni account di destinazione
4. Truvate ogni Politica Impostata in u Cuntinutu Store è aghjurnatela per riferisce i principali equivalenti in u novu spaziu di nomi in u listessu modu cumu hà riferitu i principali da u vechju spaziu di nomi
5. Ricreate tutte e pianificazioni è populate cù credenziali currispondenti, destinatari, etc.
6. Resettate tutte e pruprietà "pruprietariu" è "cuntattu" di tutti l'uggetti in u Cuntinutu Store
7. [Circa 40 altre cose in u Cuntenutu chì vi scurdarete]
8. Adunite tutti i mudelli FM cù securità di ughjettu o di livellu di dati:
   1. Aghjurnà ogni mudellu in cunsequenza
   2. Ripublicate ogni mudellu
   3. Redistribuisce u mudellu mudificatu à l'autore originale
9. U travagliu simile per i mudelli Transformer, Applicazioni TM1 è Applicazioni di Pianificazione chì sò prutetti contr'à u spaziu di nomi uriginale
10. [è assai di più]

Mentre alcuni masochisti di Cognos puderebbenu sicretamente ridere di gioia à l'idea di cliccà 400,000 volte in Cognos Connection, per a maiò parte di e persone sensibili, questu approcciu tende à esse estremamente tediosu, consumatore di tempu è propensu à l'errori. Ùn hè micca u prublema più grande cun questu approcciu, tuttavia.

U prublema più grande cù questu approcciu hè chì hè quasi sempri porta à una migrazione incompleta.

Usendu questu approcciu, truvate (dolorosamente), è pruvate à mappà quelle referenze CAMID chì sapete ... ma tendite à lascià tutte quelle referenze CAMID chì voi ùn cunnoscu micca.

Quandu sò E pinsari avete finitu cun questu approcciu, ùn site spessu micca parlà fattu.

Avete oggetti in u vostru magazinu di cuntenuti chì ùn sò più sicuri cumu pensate chì sò ... avete calendarii chì ùn funzionanu micca cum'è avianu fattu, avete dati chì ùn sò più sicuri cumu pensate hè, è pudete ancu avè errori inspiegabili per certe operazioni chì ùn si pò micca veramente mette u ditu.

Ragioni Perchè l'Approccii Cattivi è Brutti ponu esse Terribili:

• I Migrazzioni di Spazii Nomi Automatizzati mettenu assai stress nantu à u Cuntinente Manager. L'ispezione è l'aggiornamentu potenziale di ogni singulu oggettu in u vostru Negoziu di Contenuti, ponu spessu risultà in decine di migliaia di chiamate SDK à Cognos (virtualmente tutti chì attraversanu u Gestore di Contenuti). Questa quistione anormale spicca tipicamente l'usu / carica di memoria è mette u Manager di Cuntenutu à risicu di crash durante a migrazione. Se avete dighjà una quantità di instabilità in u vostru ambiente Cognos, duvete teme assai di questu approcciu.
• I Migrazzioni di u Spaziu di Nomi necessitanu una finestra di mantenimentu impurtante. Cognos deve esse attivatu, ma ùn vulete micca chì e persone facenu cambiamenti durante u prucessu di migrazione. Ciò richiederà tipicamente a migrazione di u namespace per cumincià quandu nimu altru travaglia, dicemu à 10 pm un venneri sera. Nuddu vole principià un prughjettu stressante à 10 ore u venneri sera. Senza parlà, e vostre facultà mentali ùn sò probabilmente micca à e so migliori notte di travagliu è fine di settimana in un prughjettu chì ùn bisognu di esse tagliente!
• Aghju citatu Namespace Migrations sò tempu è travagliu intensivu. Eccu un pocu di più nantu à questu:
  • U prucessu di cartografia di cuntenutu deve esse fattu cù precisione è chì richiede a cullaburazione di a squadra è parechje ore d'omu.
  • Parechje corse secche sò necessarie per verificà l'errori o i prublemi cù una migrazione. Una migrazione tipica ùn và perfettamente à a prima prova. Averete ancu bisognu di una copia di salvezza valida di u vostru Store di cuntenutu chì pò esse restaurata in questi casi. Avemu vistu parechje urganizazioni chì ùn anu micca una bona copia di salvezza dispunibule (o chì anu una copia di salvezza chì ùn si rendenu micca contu hè incompleta).
  • Avete bisognu di identificà tuttu dehors u Store di cuntenutu chì pò esse potenzialmente impattu (mudelli quadru, mudelli di trasformatori, ecc.). Questu compitu pò comportà una coordinazione in più squadre (in particulare in grandi ambienti BI cumuni).
  • Avete bisognu di un bonu pianu di prova chì coinvolga persone rappresentative cù gradi diversi di accessu à u vostru cuntenutu Cognos. A chjave quì hè di verificà pocu dopu a migrazione compie chì tuttu hè cumpletamente migratu è funziona cum'è aspettate. Hè tipicamente impraticabile per verificà tuttu, allora finisci per verificà ciò chì sperate sò campioni rappresentativi.
• Duvete avè broad cunniscenza di l'ambiente Cognos è cose chì ne dipendenu. Per esempiu, i cubi storichi cù viste persunalizate DEVONU esse ricustruiti se andate a strada NSM.
• È se tu o l'impresa chì avete sternalizatu a migrazione di u spaziu di nome per dimenticassi qualcosa, cum'è ... Applicazioni SDK? Una volta chì avete giratu l'interruttore, queste cose smettenu di travaglià se ùn sò micca aggiornate currettamente. Avete i cuntrolli adatti in situ per avvistà immediatamente, o seranu parechje settimane / mesi prima chì i sintomi cumincianu à affaccà?
• Se avete subitu numerosi aghjurnamenti di Cognos, pudete avè pussibuli oggetti in u vostru Store di cuntenutu chì sò in un statu inconsistente. Se ùn travagliate micca cù u SDK, ùn puderete micca vede chì oggetti sò in questu statu.

Perchè u Sostituzione di u Spaziu Naziunale hè a Migliura Opzione

I fattori di risicu chjave è i passi chì consumanu tempu chì aghju appena spiegatu sò eliminati quandu u metudu di Sostituzione di u Spaziu di i Nomi Persona hè adupratu. Utilizendu l'approcciu di Sostituzione di u Spaziu di i Nomi, avete 5 minuti di fermu di Cognos, è nimu di u vostru cuntenutu deve cambià. U metudu "Bonu" mi pare un tagliu "seccu" per me. Venneri sera sò per rilassassi, senza stressà si nantu à u fattu chì u vostru Gestore di Cuntenutu hè ghjustu cascatu à mezu à una Migrazione di Spaziu Naziunale.