Басқа Cognos қауіпсіздік көзіне ауысу

Басқа Cognos ортасын басқа сыртқы қауіпсіздік көзін пайдалану үшін қайта конфигурациялау қажет болғанда (мысалы, Active Directory, LDAP және т.б.), сіз қабылдауға болатын бірнеше тәсілдер бар. Мен оларды «Жақсы, жаман және ұсқынсыз» деп атағанды ​​ұнатамын. Жақсы, жаман және ұсқынсыз әдістерді зерттемес бұрын, Cognos ортасында аутентификация атауының кеңістігін өзгертуге әкелетін кейбір жалпы сценарийлерді қарастырайық.

Жалпы кәсіп жүргізушілері:

Жабдықты немесе ОЖ жаңарту - BI аппараттық құралдарын/инфрақұрылымын жаңарту жиі жүргізуші бола алады. Cognos-тың қалған бөлігі сіздің жаңа қондырғыңыз бен заманауи 64 биттік ОЖ-да чемпион ретінде жұмыс істей алады, ал Access Manager-дің 2005 жылға дейінгі нұсқасын жаңа платформаға көшіруде сәттілік. Қатынас менеджері (бірінші 7 сериясымен шығарылған) - бұл көптеген Cognos тұтынушылары үшін өткен күндерден бергі құндылық. Бұл көптеген клиенттердің Windows Server 2003 -тің ескірген нұсқасын сақтап қалуының бірден -бір себебі. Жазу Access Manager үшін қабырғада біраз уақыт болды. Бұл бұрынғы бағдарламалық жасақтама. Сіз одан тезірек бас тарта аласыз, соғұрлым жақсы.

Қолданбаны стандарттау- бір орталықтан басқарылатын корпоративтік каталогтар серверіне (мысалы, LDAP, AD) қарсы барлық қосымшалардың түпнұсқалығын растауды қалайтын ұйымдар.

Біріктіру және сатып алу- А компаниясы В компаниясын сатып алады және олардың бар BI мазмұны мен конфигурациясына қиындық туғызбай, А компаниясының каталог серверіне нұсқау үшін B компаниясының Cognos ортасын қажет етеді.

Корпоративтік бөліну- Бұл бірігу сценарийіне қарама -қайшы, компанияның бір бөлігі жеке ұйымға бөлінді, енді ол өзінің жаңа BI ортасын жаңа қауіпсіздік көзіне бағыттауы керек.

Неліктен аттар кеңістігіне көшу қиын болуы мүмкін

Cognos ортасын жаңа қауіпсіздік көзіне бағыттау жаңа пайдаланушылармен, топтармен және рөлдермен жаңа аттар кеңістігін қосу, ескі аттар кеңістігін және VOILA ажырату сияқты оңай емес!- сіздің жаңа аттар кеңістігіндегі барлық Cognos пайдаланушыларыңыз сәйкес келеді. олардың мазмұны. Шындығында, сіз жиі қолыңызда қанды тәртіпсіздікке ұшырауыңыз мүмкін, сондықтан ...

Барлық Cognos қауіпсіздік принциптеріне (пайдаланушыларға, топтарға, рөлдерге) CAMID деп аталатын бірегей идентификатор сілтеме жасайды. Барлық басқа атрибуттар тең болса да, CAMID қолданушы үшін бар аутентификацияның аттар кеңістігі CAMID -пен сол пайдаланушы үшін бірдей болмайды жаңа аттар кеңістігі. Бұл қолданыстағы Cognos ортасына зиян келтіруі мүмкін. Егер сізде тек бірнеше Cognos қолданушылары болса да, сіз CAMID сілтемелері мазмұн дүкенінің әр түрлі жерлерінде бар екенін түсінуіңіз керек (және тіпті мазмұндық дүкеннен тыс Framework модельдерінде, трансформатор модельдерінде, TM1 қосымшаларында, текшелерде, жоспарлауға арналған қосымшаларда және т. ).

Cognos -тың көптеген тұтынушылары CAMID тек менің қалтамның мазмұны, пайдаланушылардың қалауы және т.б. үшін маңызды деп ойлайды. Бұл сізде бар пайдаланушылардың саны туралы ғана емес, бұл сізге қажет Cognos объектілерінің саны. Мазмұн қоймасында 140 -тан астам Cognos нысандары бар, олардың көпшілігінде бірнеше CAMID сілтемелері болуы мүмкін.

Мысалға:

1. Мазмұн дүкеніндегі бір Кестеде бірнеше CAMID сілтемелері болуы сирек емес (кесте иесінің CAMID -і, кесте пайдаланушының CAMID -і, әрбір пайдаланушының CAMID -і немесе тарату тізімі, ол электрондық пошта арқылы жасалған есепті шығарады) және т.б.).
2. Cognos ішіндегі әрбір объектіде қандай пайдаланушылар объектіге кіре алатынын реттейтін қауіпсіздік саясаты бар («Рұқсаттар қойындысы» деп ойлаңыз). Cognos Connection қалтасында ілініп тұрған жалғыз қауіпсіздік саясатында әрбір пайдаланушыға, осы саясатта көрсетілген топқа және рөлге CAMID сілтемесі бар.
3. Сіз түсінесіз деп үміттенемін - бұл тізім жалғаса береді!

Мазмұн дүкенінде он мыңдаған CAMID сілтемелері болуы сирек емес (және біз олардың жүздеген мыңы бар кейбір үлкендерін көрдік).

Енді, онда не бар екенін есептеңіз сіздің Cognos ортасы және сіз CAMID сілтемелерінің көпшілігімен айналысатындығыңызды көре аласыз. Бұл қорқынышты болуы мүмкін! Аутентификация атауының кеңістігін ауыстыру (немесе қайта конфигурациялау) осы CAMID сілтемелерінің барлығын шешілмейтін күйде қалдыруы мүмкін. Бұл сөзсіз Cognos мазмұны мен конфигурациясының мәселелеріне әкеледі (мысалы, енді жұмыс істемейтін кестелер, сіз ойлағандай қауіпсіз емес мазмұн, деректер деңгейінің қауіпсіздігін дұрыс енгізбейтін бумалар немесе текшелер, Менің қалтаның мазмұны мен пайдаланушының жоғалуы) қалау және т.

Cognos аттар кеңістігіне өту әдістері

Енді Cognos ортасында жаңа түпнұсқалық растама аттар кеңістігінде сәйкес CAMID мәндерін іздеуді, салыстыруды және жаңартуды қажет ететін ондаған мың CAMID сілтемелері болуы мүмкін екенін біле отырып, осы мәселені шешудің жақсы, жаман және ұсқынсыз әдістерін талқылайық.

Жақсы: Аттар кеңістігін Persona -мен ауыстыру

Бірінші әдіс (аттар кеңістігін ауыстыру) қолданылады Motio's, IQ деңгейі өнім Осы тәсілді қолдана отырып, сіздің қолданыстағы аттар кеңістігі Cognos әсер ететін барлық қауіпсіздік принциптерін виртуализациялауға мүмкіндік беретін арнайы Persona аттар кеңістігімен «ауыстырылады». Бұрыннан бар қауіпсіздік жетекшілері CAMID-пен бұрынғыдай бірдей CAMID-ке ұшырайды, бірақ олар кез келген сыртқы қауіпсіздік көздерімен (мысалы, Active Directory, LDAP немесе тіпті Persona дерекқоры) қолдауы мүмкін.

Бұл тәсілдің әдемі бөлігі - бұл Cognos мазмұнына нөлдік өзгерістерді қажет етеді. Себебі, Persona CAMID-тің бұрыннан бар басшыларын сақтай алады, тіпті олар жаңа көзден қолдау тапса да. Сонымен ... сіздің Мазмұн дүкеніңіздегі, сыртқы модельдердегі және тарихи текшелердегі CAMID -тің ондаған мың сілтемелері? Олар дәл сол күйінде қала алады. Жұмыс қажет емес.

Бұл қолданыстағы Cognos ортасын бір сыртқы қауіпсіздік көзінен екіншісіне ауыстыру үшін қолдануға болатын ең қауіпті, ең төмен әсер ету әдісі. Мұны Cognos 5 минутқа жуық үзіліспен бір сағат ішінде жасауға болады (жалғыз Cognos үзіліс уақыты Persona аттар кеңістігін конфигурациялағаннан кейін Cognos қайта іске қосылады).

Bad: Persona көмегімен аттар кеңістігінің көшуі

Егер тәуекелділіктің қарапайым әдісі сіздің шәйіңіз болмаса, онда бар is басқа нұсқа.

Persona сонымен қатар аттар кеңістігін көшіру үшін пайдаланылуы мүмкін.

Бұл сіздің Cognos ортасында екінші аутентификация атауының кеңістігін орнатуды қамтиды, барлық қолданыстағы қауіпсіздік принциптеріңізді (ескі аттар кеңістігінен) жаңа аттар кеңістігіндегі сәйкес келетін басшыларға салыстыруды (үміттенемін), содан кейін (мұнда қызықты бөлік), олардың әрқайсысын табу, салыстыру және жаңарту. Cognos ортасында бар жалғыз CAMID сілтемесі: мазмұн қоймасы, құрылымдық модельдер, трансформатор модельдері, тарихи текшелер, TM1 қосымшалары, жоспарлауға арналған қосымшалар және т.

Бұл әдіс стрессті және процесті қажет етеді, бірақ егер сіз Cognos әкімшісі болсаңыз, сізге тірі сезінуге адреналин қажет (және кешке / таңертеңгі телефон қоңырауларына қарсы емес), мүмкін ... осы сіз іздеген нұсқа ма?

Persona бұл процестің бөліктерін автоматтандыруға көмектесу үшін қолданыла алады. Бұл сізге ескі қауіпсіздік директорлары мен жаңа қауіпсіздік директорлары арасында карта құруға, контент дүкеніндегі мазмұнға арналған «табу, талдау, жаңарту» логикасын автоматтандыруға көмектеседі және т. Бұл тәсілдегі жұмыс нақты технологияны емес, «адамдар мен процесті» қамтиды.

Мысалы - Framework Manager әр моделі, Transformer моделі, Planning / TM1 қосымшасы, SDK қосымшасы туралы ақпаратты жинау және олардың қалай жаңартылатынын және қайта таратылатынын жоспарлау көп жұмыс болуы мүмкін. Сіз мұны жасағыңыз келетін Cognos орталарының әрқайсысы үшін үзілістерді үйлестіру және көшіру әрекетін жасай алатын терезелерде техникалық қызмет көрсету терезелері жоспарлауды және Cognos «үзіліс уақытын» қамтуы мүмкін. Миграциядан кейін тиімді тест жоспарын құру (және оны орындау) да аю болуы мүмкін.

Бұл процесті алдымен өндірістік емес ортада жасағыңыз келетіні қалыпты жағдай бұрын оны өндірісте сынап көріңіз.

Персонамен аттар кеңістігінің көшуі жұмыс істесе де (және ол төмендегі «ұсқынсыз» тәсілге қарағанда әлдеқайда жақсы), ол инвазивті, қауіпті, қызметкерлерді көбірек қамтиды және аттар кеңістігін ауыстыруға қарағанда адам сағатын алады. Әдетте тасымалдауды Cognos ортасы әлі де желіде болғанымен, «демалыссыз» уақыт ішінде жасау керек, бірақ соңғы пайдаланушылар форманы шектейді.

Ұрлық: Қолмен аттар кеңістігін көшіру қызметтері

Ұсқынсыз әдіс тырысудың мүмкін емес тәсілін қамтиды қолмен аутентификацияның бір аттар кеңістігінен екіншісіне көшу. Бұл Cognos ортасына екінші түпнұсқалық растама аттар кеңістігін қосуды, содан кейін қолда бар Cognos мазмұны мен конфигурациясының көп бөлігін қолмен жылжытуға немесе қайта жасауға тырысуды қамтиды.

Мысалы, осы әдісті қолдана отырып, Cognos әкімшісі келесі әрекеттерді орындауы мүмкін:

1. Жаңа аттар кеңістігіндегі топтар мен рөлдерді қайта құрыңыз
2. Жаңа аттар кеңістігіндегі топтар мен рөлдерді қайта құрыңыз
3. Әр бастапқы есептік жазбадан қалталарымның мазмұнын, пайдаланушының қалауын, портал қойындыларын және т
4. Мазмұн қоймасынан барлық саясат жиынтығын табыңыз және оны ескі кеңістік принциптеріне сілтеме жасағандай жаңа аттар кеңістігіндегі эквивалентті принциптерге жаңартыңыз.
5. Барлық кестелерді қайта жасаңыз және оларды сәйкес тіркелгі деректері, алушылар және т.
6. Мазмұн дүкеніндегі барлық объектілердің барлық «иесі» мен «байланыс» қасиеттерін қалпына келтіріңіз
7. [Мазмұн дүкенінде сіз ұмытып кететін тағы 40 -қа жуық нәрсе]
8. Барлық FM модельдерін объект немесе деректер деңгейінің қауіпсіздігі бар жинаңыз:
   1. Сәйкесінше әр модельді жаңартыңыз
   2. Әр үлгіні қайта басып шығарыңыз
   3. Өзгертілген үлгіні бастапқы авторға қайта таратыңыз
9. Трансформатор модельдері үшін ұқсас жұмыс, TM1 қосымшалары мен жоспарлау қосымшалары бастапқы аттар кеңістігінде қорғалған
10. [және тағы басқалар]

Кейбір Cognos мазохистері Cognos Connection бағдарламасында 400,000 XNUMX рет басу идеясына қуана -қуана күле алатын болса да, көптеген адамдар үшін бұл тәсіл өте жалықтыратын, уақытты қажет ететін және қателіктерге бейім. Бұл бұл тәсілдегі ең үлкен мәселе емес.

Бұл тәсілдің ең үлкен проблемасы - бұл дерлік әрқашан толық емес миграцияға әкеледі.

Осы әдісті қолдана отырып, сіз өзіңіз білетін CAMID сілтемелерін табасыз және салыстыруға тырысасыз ... бірақ сіз CAMID сілтемелерінің барлығын қалдыруға бейімсіз. туралы білмеймін.

Бірде сіз ойлау Сіз бұл тәсілді аяқтадыңыз, жиі емес шынында жасалды.

Мазмұн дүкенінде сіз ойлағандай қауіпсіз емес нысандар бар ... сізде бұрынғыдай жұмыс істемейтін кестелер бар, сізде сіздің ойлағандай қауіпсіз емес деректер бар. бұл, және сізде кейбір операциялар үшін түсініксіз қателер болуы мүмкін саусақты шынымен қоюға болмайды.

Неліктен жаман және жағымсыз көзқарастар қорқынышты болуы мүмкін:

• Автоматтандырылған аттар кеңістігінің көшуі мазмұн менеджеріне үлкен жүктеме береді. Мазмұн дүкеніндегі әрбір объектінің тексерілуі мен ықтимал жаңартуы Cognos -қа ондаған мың SDK қоңырауларына әкелуі мүмкін (олардың барлығы мазмұн менеджері арқылы өтеді). Бұл қалыптан тыс сұрау әдетте жадты пайдалануды / жүктеуді жоғарылатады және мазмұн менеджерін тасымалдау кезінде бұзылу қаупіне ұшыратады. Егер сізде Cognos ортасында тұрақсыздық болса, сіз бұл тәсілден қатты қорқуыңыз керек.
• Аттар кеңістігінің көшуі үлкен техникалық қызмет көрсету терезесін қажет етеді. Cognos жоғары болуы керек, бірақ сіз адамдардың көшу процесінде өзгерістер енгізгенін қаламайсыз. Бұл әдетте басқа ешкім жұмыс істемейтін кезде аттар кеңістігінің көшуін талап етеді, айталық жұма күні кешкі сағат 10 -да. Ешкім жұма күні кешкі сағат 10 -да стресстік жобаны бастағысы келмейді. Айтпағанымыздай, сіздің ақыл -ой қабілеттеріңіз жобадағы ең жақсы жұмыс түндері мен демалыс күндері емес шығар жасайды өткір болуды талап етеді!
• Мен аттар кеңістігінің көшуі уақыт пен еңбекті қажет ететінін айттым. Міне, бұл туралы толығырақ:
  • Мазмұнды салыстыру процесі дәлдікпен жасалуы керек, бұл командалық ынтымақтастықты және көп адам сағатын қажет етеді.
  • Қателерді немесе тасымалдаудағы ақауларды тексеру үшін бірнеше құрғақ жүгіру қажет. Әдеттегі көші -қон бірінші әрекетте жақсы жүрмейді. Сондай -ақ, мұндай жағдайларда қалпына келтіруге болатын мазмұн дүкенінің сақтық көшірмесі қажет болады. Біз жақсы резервтік көшірмесі жоқ көптеген ұйымдарды көрдік (немесе олардың толық емес екенін білмейтін сақтық көшірмесі бар).
  • Сіз бәрін анықтауыңыз керек сыртында ықтимал әсер етуі мүмкін мазмұн дүкені (құрылымдық модельдер, трансформаторлық модельдер және т.б.). Бұл тапсырма бірнеше командалар бойынша үйлестіруді талап етуі мүмкін (әсіресе үлкен ортақ BI орталарында).
  • Сізге Cognos мазмұнына кіру дәрежесі әр түрлі өкілдер қатысатын жақсы тест жоспары қажет. Мұндағы кілт - бұл көшу аяқталғаннан кейін көп ұзамай бәрі толық көшірілгенін және сіз күткендей жұмыс істейтінін тексеру. Әдетте бәрін тексеру мүмкін емес, сондықтан сіз репрезентативті үлгілер болып табылатынын тексеруді аяқтайсыз.
• Сізде b болуы керекroad Cognos ортасы мен оған тәуелді нәрселер туралы білім. Мысалы, реттелетін көріністері бар тарихи текшелер, егер сіз NSM маршрутымен жүрсеңіз, қайта жасалуы керек.
• Егер сіз немесе сіз атау кеңістігінің көшуін аутсорсингке берген компания SDK қосымшалары сияқты бір нәрсені ұмытып қалсаңыз ше? Коммутаторды аударғаннан кейін, егер олар дұрыс жаңартылмаса, олар жұмыс істемей қалады. Сізде мұны бірден байқау үшін тиісті тексерулер бар ма, әлде симптомдар пайда болғанға дейін бірнеше апта / ай қажет пе?
• Егер сіз көптеген Cognos жаңартуларынан өткен болсаңыз, мазмұн дүкенінде сәйкес келмейтін нысандар болуы мүмкін. Егер сіз SDK -мен жұмыс жасамасаңыз, сіз бұл күйде қандай объектілерді көре алмайсыз.

Неліктен аттар кеңістігін ауыстыру - ең жақсы нұсқа

Мен сипаттаған негізгі қауіп факторлары мен уақытты қажет ететін қадамдар Persona аттар кеңістігін ауыстыру әдісі қолданылғанда жойылады. Аттар кеңістігін ауыстыру әдісін қолдана отырып, сізде Cognos 5 минуттық үзіліс бар, және сіздің мазмұныңыздың ешқайсысы өзгермейді. «Жақсы» әдіс маған кесілген және құрғақ «қатысы жоқ» сияқты көрінеді. Жұма түні демалуға арналған, сіздің Мазмұн менеджеріңіз аттар кеңістігіне көшудің ортасында апатқа ұшырағанына назар аудармаңыз.