Transición a outra fonte de seguridade de Cognos

Cando precisa reconfigurar un ambiente Cognos existente para usar unha fonte de seguridade externa diferente (por exemplo, Active Directory, LDAP, etc.), pode adoptar un puñado de enfoques. Gústame chamalos: "O bo, o malo e o feo". Antes de explorar estes enfoques bos, malos e feos, botemos unha ollada a algúns escenarios comúns que tenden a impulsar os cambios de espazo de nome de autenticación nun ambiente Cognos.

Controladores comerciais comúns:

Actualización de hardware ou SO - A modernización do hardware / infraestrutura da BI pode ser un controlador frecuente. Aínda que o resto de Cognos pode funcionar como un campión no seu novo e elegante hardware e no seu moderno sistema operativo de 64 bits, sorte para migrar a versión do Access Manager de 2005 cara a esa nova plataforma. Access Manager (lanzado por primeira vez coa serie 7) é unha venerable retención dos días pasados ​​para moitos clientes de Cognos. É a única razón pola que moitos clientes manteñen a volta a esa cruel versión antiga de Windows Server 2003. A escrita leva bastante tempo no Access Manager. É un software herdado. Canto antes poida afastarse dela, mellor será.

Normalización de aplicacións- Organizacións que queiran consolidar a autenticación de todas as súas aplicacións nun servidor de directorio corporativo administrado de xeito centralizado (por exemplo, LDAP, AD).

Fusións e adquisicións- A Compañía A compra a Compañía B e necesita o entorno Cognos da Compañía B para apuntar ao servidor de directorio da Compañía A, sen causar problemas no seu contido ou configuración de BI existentes.

Desinversións corporativas- Isto é o oposto ao escenario de fusión, unha parte dunha empresa está separada da súa propia entidade e agora precisa apuntar o seu contorno de BI existente na nova fonte de seguridade.

Por que as migracións de espazos de nomes poden ser desordenadas

Dirixir un entorno Cognos cara a unha nova fonte de seguridade non é tan sinxelo como engadir o novo namesapce cos mesmos usuarios, grupos e funcións, desconectar o antigo espazo de nomes e VOILA. o seu contido. De feito, moitas veces podes acabar cunha desorde sanguenta nas túas mans, e por iso ...

Un identificador único chamado CAMID fai referencia a todos os principios de seguridade de Cognos (usuarios, grupos, funcións). Mesmo se todos os demais atributos son iguais, o CAMID para un usuario nun existente o espazo de nome de autenticación non será o mesmo que o CAMID para ese usuario no novo espazo de nomes. Isto pode causar estragos nun ambiente Cognos existente. Mesmo se só tes algúns usuarios de Cognos, debes darte conta de que as referencias CAMID existen en MOITOS lugares diferentes do teu almacén de contidos (e incluso poden existir fóra do teu almacén de contidos en modelos Framework, modelos de transformadores, aplicacións TM1, cubos, aplicacións de planificación etc.) ).

Moitos clientes de Cognos cren erroneamente que CAMID só importa o contido de My Folder, as preferencias do usuario, etc. Isto non podería estar máis lonxe da verdade. Non é só unha cuestión do número de usuarios que ten, senón da cantidade de obxectos Cognos que precisa. Hai máis de 140 tipos diferentes de obxectos Cognos no Content Store, moitos dos cales poden ter varias referencias CAMID.

Por exemplo:

1. Non é raro que unha única programación no seu almacén de contidos teña varias referencias CAMID (o CAMID do propietario da programación, o CAMID do usuario que a programación debería executar, o CAMID de cada usuario ou lista de distribución que debe enviar por correo electrónico a saída do informe , etc.).
2. Todos os obxectos de Cognos teñen unha política de seguridade que regula os usuarios que poden acceder ao obxecto (pense na "pestana Permisos"). Unha única política de seguridade que colga dese cartafol en Cognos Connection ten unha referencia CAMID para cada usuario, grupo e función que se especifica nesa política.
3. Esperemos que consiga o punto: esta lista segue e segue.

Non é raro que unha tenda de contido considerable conteña decenas de miles de referencias CAMID (e vimos algunhas grandes con centos de miles).

Agora faga o cálculo do que hai súa Cognos e podes ver que potencialmente estás lidando con hordas de referencias CAMID. Pode ser un pesadelo! Cambiar (ou volver configurar) o espazo de nomes de autenticación pode deixar todas estas referencias CAMID nun estado non resolvible. Isto leva inevitablemente a problemas de configuración e contido de Cognos (por exemplo, programacións que xa non se executan, contido que xa non está protexido como pensas que é, paquetes ou cubos que xa non implementan correctamente a seguridade de nivel de datos, a perda de contido e usuario de My Folder preferencias, etc.).

Métodos de transición do espazo de nomes Cognos

Agora, sabendo que un ambiente Cognos pode ter decenas de miles de referencias CAMID que requirirán buscar, mapear e actualizar ao seu novo valor CAMID correspondente no novo espazo de nomes de autenticación, imos discutir os enfoques Bo, Malo e Feo para resolver este problema.

O Bo: Substitución de espazo de nome por Persona

O primeiro método (Namespace Replacement) utiliza Motio's, IQ de Persona produto. Seguindo este enfoque, o seu espazo de nomes existente "substitúese" por un espazo de nome Persona especial que lle permite virtualizar todos os principios de seguridade que están expostos a Cognos. Os principios de seguridade preexistentes estarán expostos a Cognos co mesmo CAMID que antes, aínda que poidan estar respaldados por calquera número de fontes de seguridade externas (por exemplo, Active Directory, LDAP ou incluso a base de datos Persona).

O fermoso deste enfoque é que require CERO cambios no contido de Cognos. Isto débese a que Persona pode manter os CAMID dos directores preexistentes, mesmo cando están apoiados por unha nova fonte. Entón ... todas esas decenas de miles de referencias CAMID na túa tenda de contido, modelos externos e cubos históricos? Poden quedar exactamente como son. Non fai falta traballo.

Este é, de lonxe, o enfoque de menos risco e menor impacto que pode empregar para facer a transición do seu entorno Cognos existente dunha fonte de seguridade externa a outra. Pódese facer en menos dunha hora con aproximadamente 5 minutos de inactividade de Cognos (o único tempo de inactividade de Cognos é reiniciar Cognos unha vez configurado o espazo de nomes Persona).

O Bad: Migración de espazo de nome usando Persona

Se o enfoque fácil e de baixo risco non é a túa cunca de té, entón hai is outra opción.

Persona tamén se pode usar para realizar unha migración de espazos de nomes.

Isto implica instalar un segundo espazo de nomes de autenticación no seu entorno Cognos, mapear (con sorte) todos os seus principios de seguridade existentes (dende o antigo espazo de nomes) aos principais correspondentes no novo espazo de nomes e, a continuación, (aquí está a parte divertida), atopar, mapear e actualizar cada única referencia CAMID que existe no seu contorno Cognos: o seu almacén de contido, modelos de cadros, modelos de transformadores, cubos históricos, aplicacións TM1, aplicacións de planificación, etc.

Este enfoque adoita ser estresante e intensivo en procesos, pero se es o tipo de administrador de Cognos que precisa un pouco de adrenalina para sentirse vivo (e non lle importan as chamadas telefónicas a altas horas da noite / madrugada), entón quizais ... este é a opción que buscas?

Pódese usar Persona para axudar a automatizar porcións deste proceso. Axudarache a crear un mapeo entre os antigos principios de seguridade e os novos principios de seguridade, automatizará a lóxica de forza bruta "buscar, analizar, actualizar" para o contido do teu almacén de contido, etc. Que Persona pode automatizar algunhas das tarefas aquí, moito do traballo neste enfoque implica "persoas e procesos" en vez de tecnoloxía real.

Por exemplo: a compilación de información sobre cada modelo de Framework Manager, cada modelo de Transformer, cada aplicación de Planning / TM1, cada aplicación de SDK, quen é o propietario deles e planificar como se actualizarán e se distribuirán pode ser moito traballo. A coordinación de cortes para cada un dos entornos de Cognos que desexa probar e as xanelas de mantemento durante as cales pode tentar a migración pode implicar a planificación e o "tempo de inactividade" de Cognos. Chegar con (e executar) un plan de proba eficaz para despois da súa migración tamén pode ser un oso.

Tamén é bastante normal que queiras facer este proceso primeiro nun ambiente sen produción antes probándoo na produción.

Aínda que a Migración de espazos de nomes con Persona funciona (e é moito mellor que o enfoque "Feo" a continuación), é máis invasiva, arriscada, implica moito máis persoal e leva moito máis horas de traballo que a substitución de espazos de nomes. Normalmente as migracións teñen que facerse durante "horas de descanso", mentres o entorno Cognos segue en liña, pero o uso restrinxido do formulario por parte dos usuarios finais.

The Ugly: Servizos manuais de migración de espazos de nomes

O método Feo implica o enfoque pouco envexable de intentar facelo manualmente migrar dun espazo de nome de autenticación a outro. Isto implica conectar un segundo espazo de nomes de autenticación ao seu entorno Cognos e, a continuación, intentar mover ou recrear manualmente gran parte do contido e configuración de Cognos existentes.

Por exemplo, usando este enfoque, un administrador de Cognos pode tentar:

1. Recrea os grupos e as funcións no novo espazo de nomes
2. Recrea as pertenzas deses grupos e funcións no novo espazo de nomes
3. Copia manualmente o contido das miñas carpetas, as preferencias do usuario, as pestanas do portal, etc. de cada conta de orixe a cada conta de destino
4. Busque todos os axustes de políticas na tenda de contido e actualíceos para facer referencia a directores equivalentes no novo espazo de nomes do mesmo xeito que fixo referencia a directores do espazo de nomes antigo.
5. Recrea todos os horarios e cómpraos coas correspondentes credenciais, destinatarios, etc.
6. Restablece todas as propiedades de "propietario" e "contacto" de todos os obxectos do Content Store
7. [Máis de 40 cousas na tenda de contido das que vas esquecer]
8. Reúne todos os modelos FM con seguridade a nivel de obxectos ou datos:
   1. Actualice cada modelo en consecuencia
   2. Volva publicar cada modelo
   3. Redistribúe o modelo modificado ao autor orixinal
9. Traballo similar para os modelos Transformer, as aplicacións TM1 e as aplicacións de planificación que están protexidas contra o espazo de nomes orixinal
10. [e moitos máis]

Mentres algúns masoquistas de Cognos poden rir secretamente de alegría coa idea de facer clic 400,000 veces en Cognos Connection, para a xente máis sensata, este enfoque tende a ser extremadamente tedioso, lento e propenso a erros. Non é ese o maior problema con este enfoque.

O maior problema con este enfoque é que case sempre leva a unha migración incompleta.

Usando este enfoque, atopas (dolorosamente) e intentas mapear esas referencias CAMID que coñeces ... pero tendes a deixar todas esas referencias CAMID que non sei.

Unha vez que pensar acabaches con este enfoque, moitas veces non realmente feito.

Tes obxectos na túa tenda de contido que xa non están protexidos como pensas que son ... tes programacións que non funcionan como antes, tes datos que xa non están seguros como pensas é así, e incluso pode ter erros inexplicables para certas operacións que realmente non podes poñer o dedo.

Razóns polas que os enfoques malos e feos poden ser terribles:

• As migracións automáticas de espazos de nomes poñen moita tensión no Administrador de contidos. A inspección e a actualización potencial de todos os obxectos da túa tenda de contido adoitan producir decenas de miles de chamadas do SDK a Cognos (practicamente todas flúen a través do Administrador de contidos). Esta consulta anormal normalmente aumenta o uso / carga de memoria e pon ao Administrador de contido en risco de fallar durante a migración. Se xa ten algunha inestabilidade no seu entorno Cognos, debería ter moito medo a esta visión.
• As migracións de espazos de nomes requiren unha xanela de mantemento considerable. Cognos ten que estar activado, pero non quere que a xente faga cambios durante o proceso de migración. Isto normalmente requirirá que se inicie a migración do espazo de nomes cando ninguén máis estea traballando, digamos ás 10:10 horas do venres pola noite. Ninguén quere comezar un proxecto estresante ás XNUMX horas dun venres pola noite. Sen esquecer, as túas facultades mentais probablemente non estean nas mellores noites de traballo e fins de semana nun proxecto que fai esixe que sexas afiado!
• Mencionei que as migracións de espazo de nome requiren moito tempo e traballo. Aquí hai un pouco máis sobre isto:
  • O proceso de mapeo de contido debe facerse con precisión e iso require colaboración do equipo e moitas horas laborais.
  • Requírense varias secas para comprobar se hai erros ou problemas cunha migración. Unha migración típica non vai perfectamente ao primeiro intento. Tamén necesitará unha copia de seguridade válida da súa tenda de contido que se poida restaurar nestes casos. Vimos moitas organizacións que non teñen unha boa copia de seguridade dispoñible (ou que teñen unha copia de seguridade que non saben que está incompleta).
  • Debe identificalo todo fóra o almacén de contidos que pode ter un impacto potencial (modelos marco, modelos de transformadores, etc.). Esta tarefa pode implicar coordinación entre varios equipos (especialmente en grandes contornos de BI compartidos).
  • Precisa un bo plan de proba que implique persoas representativas con diferentes graos de acceso ao seu contido de Cognos. A clave aquí é verificar pouco despois de completar a migración que todo está completamente migrado e funciona como esperabas. Normalmente non é práctico verificalo todo, polo que acabas verificando o que esperas que sexan mostras representativas.
• Debe ter broad coñecemento do contorno Cognos e cousas que dependen del. Por exemplo, hai que reconstruír os cubos históricos con vistas personalizadas se segues a ruta NSM.
• E se vostede ou a empresa que subcontratou a migración do espazo de nome para esquecer algo, como ... aplicacións SDK? Unha vez que abriu o interruptor, estas cousas deixarán de funcionar se non se actualizan correctamente. Ten os controis adecuados para notalo inmediatamente ou pasarán varias semanas / meses antes de que os síntomas comecen a aparecer?
• Se sufriu numerosas actualizacións de Cognos, pode ter obxectos na súa tenda de contido que estean nun estado inconsistente. Se non traballas co SDK, non poderás ver que obxectos están neste estado.

Por que a substitución do espazo de nome é a mellor opción

Os factores clave de risco e os pasos que consumen moito tempo que acabo de esborrar elimínanse cando se usa o método de substitución de espazo de nome Persona. Usando o enfoque de substitución de espazos de nomes, tes 5 minutos de inactividade de Cognos e ningún dos teus contidos ten que cambiar. O método "Bo" paréceme un "sinxelo" cortado e seco. Os venres pola noite son para relaxarse, sen preocuparse polo feito de que o seu Administrador de contidos acaba de caer no medio dunha migración de espazo de nomes.