Nabavite demo
Prijava

Prijelaz na drugi Cognos sigurnosni izvor

by Lipnja 30, 2015Cognos Analytics, Persona IQ0 komentari

Kada trebate ponovno konfigurirati postojeće Cognos okruženje za korištenje drugog vanjskog sigurnosnog izvora (npr. Active Directory, LDAP itd.), Postoji nekoliko pristupa koje možete poduzeti. Volim ih nazivati ​​"dobrim, lošim i ružnim". Prije nego što istražimo ove dobre, loše i ružne pristupe, pogledajmo neke uobičajene scenarije koji imaju tendenciju potaknuti promjene imena prostora autentifikacije u Cognos okruženju.

Uobičajeni pokretači poslovanja:

Ažuriranje hardvera ili OS -a - Modernizacija hardvera/infrastrukture BI -a može biti čest pokretač. Dok bi ostatak Cognosa mogao raditi kao šampion na vašem elegantnom novom hardveru i modernom 64-bitnom OS-u, sretno s prelaskom vaše verzije programa Access Manager iz 2005. na tu novu platformu. Access Manager (prvi put objavljen sa Serijom 7) vrijedno je čuvanje iz prošlih dana za mnoge korisnike Cognosa. To je jedini razlog što se mnogi korisnici drže te skromne stare verzije Windows Servera 2003. Pisanje je već neko vrijeme na zidu za Access Manager. To je stari softver. Što prije možete odstupiti od toga, to bolje.

Standardizacija primjene- Organizacije koje žele objediniti provjeru autentičnosti svih svojih aplikacija na jednom centralno upravljanom poslužitelju korporativnih direktorija (npr. LDAP, AD).

Spajanja i preuzimanja- Tvrtka A kupuje tvrtku B i treba joj Cognos okruženje tvrtke B kako bi ukazalo na poslužitelj direktorija tvrtke A, bez izazivanja problema u njihovom postojećem BI sadržaju ili konfiguraciji.

Korporativne prodaje- Ovo je suprotno scenariju spajanja, dio poduzeća je izdvojen u vlastiti entitet i sada mora usmjeriti svoje postojeće BI okruženje na novi izvor sigurnosti.

Zašto migracije prostora imena mogu biti neuredne

Upućivanje Cognos okruženja na novi sigurnosni izvor nije tako jednostavno kao dodavanje novog imena sa istim korisnicima, grupama i ulogama, prekidanje veze sa starim imenskim prostorom i VOILA!- svi vaši Cognos korisnici u novom imenskom prostoru su usklađeni sa njihov sadržaj. Zapravo, često možete završiti s krvavim neredom na rukama, a evo zašto ...

Svi Cognos sigurnosni principali (korisnici, grupe, uloge) referencirani su jedinstvenim identifikatorom koji se naziva CAMID. Čak i ako su svi drugi atributi jednaki, CAMID za korisnika u postojeći imenski prostor autentifikacije neće biti isti kao CAMID za tog korisnika u novi imenski prostor. To može uništiti postojeće Cognos okruženje. Čak i ako imate samo nekoliko korisnika Cognosa, morate shvatiti da CAMID reference postoje na MNOGO različitih mjesta u vašoj trgovini sadržaja (a mogu čak postojati i izvan vaše trgovine sadržajem u okvirnim modelima, modelima transformatora, TM1 aplikacijama, kockama, aplikacijama za planiranje itd.) ).

Mnogi korisnici Cognosa pogrešno vjeruju da su CAMID -ovi zapravo važni samo za sadržaj Moje mape, korisničke postavke itd. To ne može biti dalje od istine. Ne radi se samo o broju korisnika koje imate, već o količini Cognos objekata koje trebate zabrinuti. Postoji samo 140 različitih vrsta Cognos objekata samo u Content Storeu, od kojih mnogi mogu imati više CAMID referenci.

Na primjer:

  1. Nije neuobičajeno da jedan raspored u vašoj trgovini sadržaja ima više CAMID referenci (CAMID vlasnika rasporeda, CAMID korisnika koji bi se raspored trebao izvoditi, CAMID svakog korisnika ili popisa za distribuciju putem kojeg bi generirani izlaz izvješća trebao poslati itd.).
  2. Svaki objekt u Cognosu ima sigurnosnu politiku koja određuje koji korisnici mogu pristupiti objektu (pomislite na "Kartica Dopuštenja"). Jedna sigurnosna politika koja visi s te mape u Cognos Connection -u ima CAMID referencu za svakog korisnika, grupu i ulogu koja je navedena u tim pravilima.
  3. Nadamo se da ste shvatili poentu - ovaj popis se nastavlja i nastavlja!

Nije neuobičajeno da velika trgovina sadržaja sadrži desetke tisuća CAMID referenci (a vidjeli smo i neke velike sa stotinama tisuća).

Sada izračunaj što ima vaš Cognos okruženja i možete vidjeti da se potencijalno bavite hordama CAMID referenci. To može biti noćna mora! Prebacivanjem (ili ponovnim konfiguriranjem) vašeg imenskog prostora za provjeru autentičnosti možete ostaviti sve ove CAMID reference u nerješivom stanju. To neizbježno dovodi do problema sa sadržajem i konfiguracijom programa Cognos (npr. Rasporedi koji se više ne izvode, sadržaj koji više nije osiguran onako kako mislite, paketi ili kocke koji više ne primjenjuju ispravno sigurnost na razini podataka, gubitak sadržaja Moje mape i korisnika sklonosti itd.).

Metode prijelaza u prostor imena Cognos

Sada, znajući da Cognos okruženje može imati desetke tisuća CAMID referenci koje će zahtijevati pronalaženje, mapiranje i ažuriranje na odgovarajuću novu vrijednost CAMID u novom imenskom prostoru za provjeru autentičnosti, razgovarajmo o dobrim, lošim i ružnim pristupima za rješavanje ovog problema.

Dobro: Zamjena prostora imena s Persona

Prva metoda (zamjena prostora imena) koristi Motio-A, Persona IQ proizvod. Pristupajući ovom pristupu, vaš postojeći imenski prostor "zamijenjen" je posebnim Persona imenskim prostorom koji vam omogućuje da virtualizirate sve sigurnosne principe koji su izloženi Cognosu. Već postojeći sigurnosni ravnatelji bit će izloženi Cognosu s potpuno istim CAMID-om kao i prije, iako mogu biti podržani bilo kojim brojem vanjskih sigurnosnih izvora (npr. Active Directory, LDAP ili čak baza podataka Persona).

Lijep dio ovog pristupa je to što zahtijeva NULA promjena vašeg Cognos sadržaja. To je zato što Persona može održavati CAMID-ove već postojećih ravnatelja, čak i kad su podržani novim izvorom. Dakle ... svih onih desetaka tisuća CAMID referenci u vašoj trgovini sadržaja, vanjskih modela i povijesnih kockica? Mogu ostati točno takvi kakvi jesu. Nije potreban rad.

Ovo je daleko najmanje rizičan pristup s najmanjim utjecajem koji možete koristiti za prijelaz vašeg postojećeg Cognos okruženja s jednog vanjskog sigurnosnog izvora na drugi. To se može učiniti za manje od sat vremena s oko 5 minuta zastoja programa Cognos (jedino vrijeme zastoja programa Cognos je ponovno pokretanje programa Cognos nakon što konfigurirate prostor imena Persona).

Loše: Migracija prostora imena pomoću Persone

Ako jednostavan, niskorizični pristup jednostavno nije vaša šalica čaja, onda postoji is drugu opciju.

Persona se također može koristiti za obavljanje migracije prostora imena.

To uključuje instaliranje drugog imenskog prostora za provjeru autentičnosti u vašem Cognos okruženju, mapiranje (nadamo se) svih vaših postojećih sigurnosnih principala (iz starog imenskog prostora) u odgovarajuće principale u novom imenskom prostoru, zatim (evo zabavnog dijela), pronalaženje, mapiranje i ažuriranje svakog jedna referenca CAMID -a koja postoji u vašem Cognos okruženju: vaša trgovina sadržaja, okvirni modeli, modeli transformatora, povijesne kocke, aplikacije TM1, aplikacije za planiranje itd.

Ovaj pristup ima tendenciju biti stresan i intenzivan na procese, ali ako ste vrsta Cognos administratora kojem je potrebno malo adrenalina da bi se osjećao živo (i ne smetaju mu kasni noćni / rani jutarnji telefonski pozivi), možda ... to je opcija koju tražite?

Persona se može koristiti za automatizaciju dijelova ovog procesa. Pomoći će vam u stvaranju preslikavanja između starih principa sigurnosti i novih principa sigurnosti, automatizirati grubu silu „pronađi, analiziraj, ažuriraj“ logiku sadržaja u vašoj trgovini sadržaja itd. Što Persona može automatizirati neke od zadataka ovdje rad u ovom pristupu uključuje "ljude i proces", a ne stvarnu tehnologiju.

Na primjer - sastavljanje informacija o svakom modelu Framework Managera, svakom Transformer modelu, svakoj aplikaciji Planning / TM1, svakoj SDK aplikaciji, tko ih posjeduje, te planiranje načina na koji će se ažurirati i preraspodijeliti može biti veliki posao. Koordiniranje ispada za svako od Cognos okruženja u kojem želite to pokušati i prozori održavanja tijekom kojih možete pokušati preseliti mogu uključivati ​​planiranje i Cognos "vrijeme zastoja". Smišljanje (i izvršavanje) učinkovitog plana ispitivanja nakon vaše migracije također može biti prilično medvjedo.

Također je sasvim normalno da ćete taj proces prvo htjeti obaviti u neproizvodnom okruženju prije isprobavajući ga u proizvodnji.

Iako migracija prostora imena s osobom djeluje (i daleko je bolje od dolje navedenog pristupa "Ružan"), ona je invazivnija, rizičnija, uključuje mnogo više osoblja i zahtijeva mnogo više radnih sati od zamjene prostora imena. Obično se migracije moraju obavljati tijekom "van radnog vremena", dok je okruženje Cognos još uvijek na mreži, ali krajnji korisnici ograničeno koriste obrazac.

Ružno: Usluge ručne migracije prostora imena

Ružna metoda uključuje nezavidan pristup pokušaja ručno migrirati iz jednog prostora za provjeru autentičnosti u drugi. To uključuje povezivanje drugog imenskog prostora za provjeru autentičnosti u vaše Cognos okruženje, zatim pokušaj ručnog premještanja ili ponovnog stvaranja većeg dijela postojećeg Cognos sadržaja i konfiguracije.

Na primjer, koristeći ovaj pristup, administrator Cognosa mogao bi pokušati:

  1. Ponovno stvorite grupe i uloge u novom imenskom prostoru
  2. Ponovno stvorite članstva tih grupa i uloge u novom imenskom prostoru
  3. Ručno kopirajte sadržaj mojih mapa, korisničke postavke, kartice portala itd. Sa svakog izvornog računa na svaki ciljni račun
  4. Pronađite svaki skup pravila u spremištu sadržaja i ažurirajte ga na referentne ekvivalentne principale u novom imenskom prostoru na potpuno isti način na koji je upućivao na principale iz starog imenskog prostora
  5. Ponovo stvorite sve rasporede i popunite ih odgovarajućim vjerodajnicama, primateljima itd.
  6. Poništite sva svojstva "vlasnika" i "kontakta" svih objekata u trgovini sadržaja
  7. [Oko 40 drugih stvari u trgovini sadržaja na koje ćete zaboraviti]
  8. Skupite sve FM modele sa zaštitom na razini objekta ili podataka:
    1. U skladu s tim ažurirajte svaki model
    2. Ponovo objavite svaki model
    3. Redistribuirajte izmijenjeni model natrag izvornom autoru
  9. Sličan rad za modele Transformer, TM1 aplikacije i aplikacije za planiranje koje su zaštićene od izvornog prostora imena
  10. [i još mnogo toga]

Iako bi se neki Cognos mazohisti mogli potajno nasmijati od radosti na ideju da kliknu 400,000 XNUMX puta u Cognos Connection, za većinu razumnih ljudi ovaj pristup ima tendenciju biti izuzetno dosadan, dugotrajan i sklon pogreškama. Međutim, to nije najveći problem s ovim pristupom.

Najveći problem s ovim pristupom je taj što je gotovo uvijek dovodi do nepotpune migracije.

Koristeći ovaj pristup, (bolno) pronalazite i pokušavate preslikati one CAMID reference za koje znate ... ali nastojite ostaviti sve one CAMID reference koje ne znam za.

Nakon što misliti završili ste s ovim pristupom, često niste stvarno učinjeno.

U vašoj trgovini sadržaja imate objekte koji više nisu osigurani onako kako mislite da jesu ... imate rasporede koji se ne izvode onako kako su se nekad izvodili, imate podatke koji više nisu osigurani onako kako mislite jest, a možda čak imate i neobjašnjive pogreške za određene operacije koje ne možeš baš staviti prst.

Razlozi zašto loš i ružan pristup mogu biti užasni:

  • Automatizirane migracije prostora imena stavljaju veliki stres na Upravitelja sadržaja. Pregled i potencijalno ažuriranje svakog pojedinog objekta u vašoj trgovini sadržaja često mogu rezultirati desecima tisuća SDK poziva Cognosu (gotovo svi teku kroz Content Manager). Ovo nenormalno postavljanje upita obično povećava potrošnju / učitavanje memorije i dovodi Upravitelj sadržaja u opasnost od pada tijekom migracije. Ako već imate bilo kakvu nestabilnost u svom Cognos okruženju, trebali biste se jako bojati ovog pristupa.
  • Migracije prostora imena zahtijevaju značajan period održavanja. Cognos mora biti aktiviran, ali ne želite da ljudi unose promjene tijekom procesa migracije. To će obično zahtijevati da migracija prostora imena počne kada nitko drugi ne radi, recimo u 10 sata navečer u petak navečer. Nitko ne želi započeti stresni projekt u petak navečer u 10 sata. Da ne spominjemo, vaše mentalne sposobnosti vjerojatno nisu u najboljim radnim noćima i vikendima na projektu koji ne zahtijevati od vas da budete oštri!
  • Spomenuo sam da migracije prostora imena zahtijevaju vrijeme i rad. Evo malo više o tome:
    • Postupak mapiranja sadržaja trebao bi se odvijati precizno, a to zahtijeva suradnju tima i mnogo radnih sati.
    • Za provjeru pogrešaka ili problema s migracijom potrebno je više pokušaja na suho. Tipična migracija ne ide savršeno u prvom pokušaju. Trebat će vam i valjana sigurnosna kopija vaše trgovine sadržaja koja se može vratiti u takvim slučajevima. Vidjeli smo mnoge organizacije koje nemaju dostupnu dobru sigurnosnu kopiju (ili imaju sigurnosnu kopiju za koju ne shvaćaju da je nepotpuna).
    • Morate identificirati sve van pohranu sadržaja na koju bi mogao utjecati (okvirni modeli, modeli transformatora itd.). Ovaj zadatak može uključivati ​​koordinaciju između više timova (osobito u velikim zajedničkim BI okruženjima).
    • Potreban vam je dobar plan testiranja koji uključuje reprezentativne ljude s različitim stupnjevima pristupa vašem Cognos sadržaju. Ovdje je ključno provjeriti nedugo nakon završetka migracije je li sve u potpunosti migrirano i funkcionira li kako očekujete. Uobičajeno je nepraktično provjeriti sve pa ćete na kraju provjeriti ono za što se nadate da su reprezentativni uzorci.
  • Morate imati broad poznavanje Cognos okruženja i stvari koje o njemu ovise. Na primjer, povijesne kocke s prilagođenim prikazima MORAJU se obnoviti ako idete NSM rutom.
  • Što ako ste vi ili tvrtka koju ste prepustili migraciji imenskog prostora zaboravili na nešto, poput ... SDK aplikacija? Nakon što pritisnete prekidač, ove stvari prestaju raditi ako nisu ispravno ažurirane. Imate li odgovarajuće provjere kako biste to odmah primijetili ili će proći nekoliko tjedana / mjeseci prije nego što simptomi počnu isplivati ​​na površinu?
  • Ako ste prošli brojne nadogradnje programa Cognos, potencijalno u vašoj trgovini sadržaja možete imati objekte koji su u nedosljednom stanju. Ako ne radite sa SDK -om, nećete moći vidjeti koji su objekti u ovom stanju.

Zašto je zamjena prostora imena najbolja opcija

Ključni čimbenici rizika i dugotrajni koraci koje sam upravo opisao eliminiraju se kad se koristi metoda zamjene prostora imena Persona. Koristeći pristup zamjene prostora imena, imate 5 minuta zastoja programa Cognos i ništa se od vašeg sadržaja ne mora mijenjati. "Dobra" metoda mi se čini kao izrezana i suha "bez pameti". Petak navečer služi za opuštanje, a ne za naglašavanje činjenice da se vaš Content Manager upravo srušio usred migracije prostora imena.

oblakCognos Analytics
Motio X IBM Cognos Analytics Cloud
Motio, Inc. isporučuje kontrolu verzija u stvarnom vremenu za Cognos Analytics Cloud

Motio, Inc. isporučuje kontrolu verzija u stvarnom vremenu za Cognos Analytics Cloud

PLANO, Texas – 22. rujna 2022. - Motio, Inc., softverska tvrtka koja vam pomaže da održite svoju prednost u analitici poboljšavajući svoj softver za poslovnu inteligenciju i analitiku, danas je objavila sve svoje MotioCI aplikacije sada u potpunosti podržavaju Cognos...

opširnije

| Rujna 21, 2022 | 0

Stavite više