Iwwergank op eng aner Cognos Sécherheetsquell

Wann Dir en existent Cognos Ëmfeld nei konfiguréiere musst fir eng aner extern Sécherheetsquell ze benotzen (z. B. Active Directory, LDAP, etc), ginn et eng Handvoll Approche déi Dir maache kënnt. Ech nennen se gär, "Dat Gutt, dat Schlecht, an dat Béis." Ier mer dës Good, Bad, an Ugly Approche exploréieren, loosst eis e puer allgemeng Szenarie kucken, déi tendéieren Authentifikatioun Namespace Ännerungen an engem Cognos Ëmfeld ze féieren.

Gemeinsam Business Chauffeuren:

Hardware oder OS aktualiséieren - Moderniséierung vun BI Hardware/Infrastruktur kann en dacks Chauffer sinn. Wärend de Rescht vu Cognos wéi e Champion op Ärer glatter neier Hardware a moderner 64-Bit OS lafe kann, vill Gléck migréiert Är Circa-2005 Versioun vum Access Manager op déi nei Plattform. Access Manager (fir d'éischt mat der Serie 7 verëffentlecht) ass e respektablen Iwwerbléck vu vergaangenen Deeg fir vill Cognos Clienten. Et ass den eenzege Grond datt vill Clienten déi crufty al Versioun vum Windows Server 2003 behalen. D'Schreiwen war fir eng Zäit op der Mauer fir den Access Manager. Et ass Legacy Software. Wat Dir méi séier ewech kënnt, wat besser.

Standardiséierung vun der Applikatioun- Organisatiounen déi d'Authentifikatioun vun all hiren Uwendunge géint een zentrale verwalteten Firmverzeichneserver (zB LDAP, AD) konsolidéiere wëllen.

Fusiounen & Acquisitiounen- Firma A kaaft Firma B a brauch d'Firma B's Cognos Ëmfeld fir op Verzeechnes A Verzeechnes Server ze weisen, ouni Probleemer mat hirem existente BI Inhalt oder Konfiguratioun ze verursaachen.

Corporate Ofsaz- Dëst ass de Géigendeel vum Fusiounsszenario, en Deel vun enger Firma gëtt an hir eegen Entitéit gesponnen an muss elo drop hiweisen dat existent BI Ëmfeld op déi nei Sécherheetsquell.

Firwat Namespace Migratiounen ka Messy sinn

Eng Cognos Ëmwelt op eng nei Sécherheetsquell ze weisen ass net sou einfach wéi den neien Nummnumm mat déiselwecht Benotzer, Gruppen a Rollen derbäisetzen, den alen Nummraum ofschalten, a VOILA!- all Är Cognos Benotzer am neien Nummraum si mat hiren Inhalt. Tatsächlech kënnt Dir dacks mat engem bluddege Mess op Ären Hänn ophalen, an hei ass firwat ...

All Cognos Sécherheetsprinzipien (Benotzer, Gruppen, Rollen) ginn vun engem eenzegaartegen Identifizéierer genannt CAMID referenzéiert. Och wann all aner Attributer gläich sinn, ass d'CAMID fir e Benotzer an engem bestehend Authentifikatioun Nimmraum wäert net déiselwecht sinn wéi d'CAMID fir dee Benotzer am nei Nummraum. Dëst kann en existent Cognos Ëmfeld verrotten. Och wann Dir nëmmen e puer Cognos Benotzer hutt, musst Dir mierken datt CAMID Referenzen op ville verschiddene Plazen an Ärem Content Store existéieren (a kënne souguer ausserhalb vun Ärem Content Store a Framework Modeller, Transformator Modeller, TM1 Uwendungen, Kubel, Planungsapplikatioune asw existéieren ).

Vill Cognos Clienten gleewen falsch datt CAMID wierklech nëmme wichteg ass fir Mäi Folder Inhalt, Benotzer Astellungen, etc. Dëst kéint net méi wäit vun der Wourecht sinn. Et ass net nëmmen eng Matière vun der Unzuel vun de Benotzer déi Dir hutt, et ass de Betrag u Cognos Objekter mat deenen Dir Iech Suerge maache musst. Et ginn iwwer 140 verschidden Aarte vu Cognos Objekter just am Content Store, vill vun deenen hu vläicht verschidde CAMID Referenzen.

Zum Beispill:

1. Et ass net onkomplizéiert datt een eenzegen Zäitplang an Ärem Content Store méi CAMID Referenzen huet (de CAMID vum Zäitplangbesëtzer, de CAMID vum Benotzer de Spillplang sollt lafen als, de CAMID vun all Benotzer oder d'Verdeelungslëscht et sollt generéiert Berichtausgab per E -Mail schécken , etc.).
2. All Objet am Cognos huet eng Sécherheetspolitik déi regéiert wéi eng Benotzer Zougang zum Objet kréien (denkt "Permissiounen Tab"). Eng eenzeg Sécherheetspolitik déi dësen Dossier an der Cognos Connection hänkt huet eng CAMID Referenz fir all Benotzer, Grupp & Roll déi an där Politik spezifizéiert ass.
3. Hoffentlech kritt Dir de Punkt - dës Lëscht geet weider a weider!

Et ass net onkomplizéiert datt e wesentlechen Content Store Zéngdausende vu CAMID Referenze enthält (a mir hunn e puer grouss mat Honnerte vun Dausende gesinn).

Maacht elo d'Mathematik iwwer wat dran ass Är Cognos Ëmfeld an Dir kënnt gesinn datt Dir potenziell mat Horde vu CAMID Referenzen ze dinn hutt. Et kann en Albtraum sinn! Wiesselen (oder nei konfiguréieren) Ären Authentifikatioun Namensraum kann all dës CAMID Referenzen an engem ongeléisen Zoustand loossen. Dëst féiert zwangsleefeg zu Cognos Inhalt & Konfiguratiounsprobleemer (z. Preferenzen, etc.).

Cognos Namespace Iwwergangsmethoden

Elo, wëssend datt e Cognos Ëmfeld Dausende vun Dausende vu CAMID Referenze ka hunn, déi hir entspriechend nei CAMID Wäert am neien Authentifikatioun Namespace fannen, kartéieren an aktualiséieren, loosst eis iwwer Good, Bad & Ugly Approche diskutéieren fir dëse Problem ze léisen.

d'Good: Namespace Ersatz mat Persona

Déi éischt Method (Namespace Ersatz) benotzt Motio's, Perséinlech IQ Produkt. Wann Dir dës Approche hëlt, gëtt Ären existente Namespace "ersat" mat engem speziellen Persona Namespace deen Iech erlaabt all Sécherheetsprinzipien ze virtualiséieren déi dem Cognos ausgesat sinn. Pre-existent Sécherheetsprinzipien ginn dem Cognos ausgesat mat der exakt selwechter CAMID wéi virdrun, och wa se vun enger Zuel vun externe Sécherheetsquellen ënnerstëtzt kënne ginn (z. B. Active Directory, LDAP oder souguer d'Persona Datebank).

De schéinen Deel iwwer dës Approche ass datt et NUL Ännerungen an Ärem Cognos Inhalt erfuerdert. Dëst ass well d'Persona d'CAMID's vu scho existente Principalen erhalen kann, och wa se vun enger neier Quell ënnerstëtzt ginn. Also ... all déi Zéngdausende vu CAMID Referenzen an Ärem Content Store, externen Modeller an historesche Wierfel? Si kënne genau bleiwen wéi se sinn. Et gëtt keng Aarbecht erfuerderlech.

Dëst ass bei wäitem déi mannst geféierlech, niddregsten Impakt Approche déi Dir benotzt fir Äert existent Cognos Ëmfeld vun enger externer Sécherheetsquell an eng aner ze iwwerwannen. Et kann a manner wéi enger Stonn mat ongeféier 5 Minutte Cognos Downtime gemaach ginn (déi eenzeg Cognos Downtime start Cognos nei wann Dir de Persona Nummraum konfiguréiert hutt).

de Schlechten: Namespace Migratioun mat Persona

Wann déi einfach, niddereg-Risiko Approche just net Är Taass Téi ass, dann do is eng aner Optioun.

Persona kann och benotzt gi fir eng Namespace Migratioun auszeféieren.

Dëst beinhalt d'Installatioun vun engem zweeten Authentifizéierungsnummraum an Ärem Cognos Ëmfeld, Kaarten (hoffentlech) vun all Ären existente Sécherheetsprinzipien (vum alen Nummraum) op entspriechend Principalen am neie Nummraum, dann (hei ass de lëschtegen Deel), fënnt, mappt an aktualiséiert all eenzeg CAMID Referenz déi an Ärem Cognos Ëmfeld existéiert: Ären Content Store, Framework Modeller, Transformator Modeller, Historesch Wierfel, TM1 Uwendungen, Planungsapplikatiounen, etc.

Dës Approche tendéiert stresseg a Prozessintensiv ze sinn, awer wann Dir déi Aart vu Cognos Administrator sidd, déi e bësse vun engem Adrenalin -Rush brauch fir lieweg ze fillen (an et net drëm geet spéit Nuecht / fréi moies Telefonsgespréicher), da vläicht ... dëst ass d'Optioun déi Dir sicht?

Persona ka benotzt gi fir Portiounen vun dësem Prozess ze automatiséieren. Et hëlleft Iech eng Kaart ze kreéieren tëscht den ale Sécherheetsprinzipien an den neie Sécherheetsprinzipien, automatiséiert d'Brut Force "fannen, analyséieren, aktualiséieren" Logik fir Inhalt an Ärem Inhaltsgeschäft, etc. Wat Persona kann e puer vun den Aufgaben hei automatiséieren, vill vun der Aarbecht an dëser Approche implizéiert "Leit a Prozess" anstatt tatsächlech Technologie.

Zum Beispill - Informatioun iwwer all Framework Manager Modell zesummestellen, all Transformer Modell, all Planning / TM1 Uwendung, all SDK Uwendung, wien se gehéiert, a plangen wéi se aktualiséiert a verdeelt kënne vill Aarbecht sinn. Koordinatioun vun Ausfäll fir jiddereng vun den Cognos Ëmfeld wou Dir dëst wëllt probéieren an Ënnerhaltfenster wärend Dir d'Migratioun kënnt probéieren kann Planung a Cognos "Down Time" involvéieren. Kommt mat (an ausféiert) en effektiven Testplang fir no Ärer Migratioun kann och e ganz Bier sinn.

Et ass och ganz normal datt Dir dëse Prozess als éischt an engem net-Produktiounsëmfeld wëllt maachen virum probéiert et an der Produktioun.

Wärend Namespace Migratioun mat Persona funktionnéiert (a seng vill besser ass wéi déi "Ugly" Approche hei drënner), ass et méi invasiv, riskant, involvéiert vill méi Personal, an dauert vill méi Mënschstonnen fir auszeféieren wéi Namespace Ersatz. Normalerweis musse Migratioune wärend "Off Stonnen" gemaach ginn, wärend d'Cognos Ëmfeld nach ëmmer online ass, awer limitéiert Form Notzung vun Endbenotzer.

Déi béis: Manuell Namespace Migratiounsservicer

D'Ugly Method implizéiert déi onbezunnbar Approche fir ze probéieren manuell migréiere vun engem Authentifikatioun Namespace an en anert. Dëst beinhalt d'Verbindung vun engem zweeten Authentifikatioun Nimmraum mat Ärem Cognos Ëmfeld, dann probéiert ze manuell ze plënneren oder nei ze kreéieren vum existente Cognos Inhalt a Konfiguratioun.

Zum Beispill, mat dëser Approche, kann e Cognos Administrator probéieren:

1. Erstellt d'Gruppen a Rollen am neie Nummraum
2. Maacht d'Memberschaft vun deene Gruppen a Rollen am neie Nummraum nei
3. Kopéiert manuell de menge Classeure Inhalt, Benotzerpräferenzen, Portal Tabs, etc. vun all Quellkonto op all Zilkonto
4. Fannt all Policy Set am Content Store an aktualiséiert se fir gläichwäerteg Principalen am neie Namespace ze referenzéieren op genau déiselwecht Manéier wéi se op Principals aus dem alen Namespace referéiert hunn
5. Erstellt all d'Fuerpläng a populéiert se mat entspriechenden Umeldungsinformatiounen, Empfänger, etc.
6. Reset all vun de "Besëtzer" a "Kontakt" Eegeschafte vun all Objeten am Content Store
7. [Ongeféier 40 aner Saachen am Content Store iwwer déi Dir vergiess gitt]
8. Sammelt all d'FM Modeller mat Objekt- oder Datenniveau Sécherheet:
   1. Update all Modell deementspriechend
   2. Republizéiert all Modell
   3. Verdeelt de modifizéiertem Modell zréck op den originalen Auteur
9. Ähnlech Aarbecht fir Transformer Modeller, TM1 Uwendungen a Planungsapplikatioune déi géint den originelle Nummraum geséchert sinn
10. [a vill méi]

Wärend e puer Cognos Masochisten heemlech vu Freed giggele kënnen iwwer d'Iddi fir 400,000 Mol an der Cognos Connection ze klicken, fir déi verständlechst Leit, ass dës Approche éischter extrem langweileg, ze laang an vill Feeler ufälleg. Dat ass awer net de gréisste Problem mat dëser Approche.

De gréisste Problem mat dëser Approche ass datt et bal ass ëmmer féiert zu enger onkompletter Migratioun.

Mat dëser Approche, fannt Dir a probéiert dës CAMID Referenzen ze mapen iwwer déi Dir wësst ... awer éischter all dës CAMID Referenzen ze verloossen déi Dir weess net iwwer.

Sidd Dir mol Meenung Dir sidd mat dëser Approche fäerdeg, Dir sidd dacks net wierklech gemaach.

Dir hutt Objeten an Ärem Inhaltsgeschäft déi net méi geséchert sinn wéi Dir denkt datt se sinn ... Dir hutt Zäitpläng déi net laafen wéi se fréier lafen, Dir hutt Daten déi net méi geséchert sinn wéi Dir denkt et ass, an Dir hutt souguer onerklärte Feeler fir bestëmmte Operatiounen déi du kanns de Fanger net wierklech drop setzen.

Grënn Firwat Déi Schlecht an Uleg Approche Schrecklech kënne sinn:

• Automatiséiert Namespace Migratiounen leeë vill Stress um Content Manager. D'Inspektioun an de potenziellen Update vun all eenzegen Objet an Ärem Content Store kënnen dacks zu Dausende vun Dausende vu SDK Uriff op Cognos féieren (quasi all fléissen duerch den Content Manager). Dës anormal Ufro erhéicht typesch Erënnerungsbenotzung / Last a setzt den Inhalt Manager a Gefor fir ze stierzen wärend der Migratioun. Wann Dir schonn eng Unstabilitéit an Ärem Cognos Ëmfeld hutt, sollt Dir ganz Angscht hunn fir dës Approche.
• Namespace Migratiounen erfuerderen eng grouss Ënnerhaltfenster. Cognos muss erop sinn, awer Dir wëllt net datt d'Leit Ännerunge maache wärend dem Migratiounsprozess. Dëst wäert typesch d'Nimmraummigratioun erfuerderen fir ze starten wann keen aneren schafft, loosst eis um 10 Auer op e Freideg Nuecht soen. Keen wëll e stressege Projet um 10 Auer op enger Freideg Nuecht ufänken. Net ze ernimmen, Är mental Fäegkeete si méiglecherweis net op hir bescht Aarbechtsnuechten a Weekend um Projet dee heescht verlaangt datt Dir schaarf sidd!
• Ech hunn ernimmt Namespace Migratiounen sinn Zäit an Aarbechtsintensiv. Hei ass e bësse méi iwwer dat:
  • Den Inhaltskaarteprozess sollt mat Präzisioun gemaach ginn an dat erfuerdert Teamkollaboratioun a vill Manstonnen.
  • Multiple dréche Runen si verlaangt fir Feeler oder Probleemer mat enger Migratioun ze kontrolléieren. Eng typesch Migratioun geet net perfekt um éischte Versuch. Dir braucht och e gëltege Backup vun Ärem Content Store deen an esou Fäll restauréiert ka ginn. Mir hu vill Organisatiounen gesinn déi kee gudde Backup verfügbar hunn (oder e Backup hunn deen se net mierken onkomplett ass).
  • Dir musst alles identifizéieren ausserhalb den Content Store dee potenziell beaflosst ka ginn (Kadermodeller, Transformator Modeller, etc). Dës Aufgab kann d'Koordinatioun iwwer verschidde Teams involvéieren (besonnesch a grousse gemeinsame BI Ëmfeld).
  • Dir braucht e gudden Testplang dee representative Leit mat variabelen Zougang zu Ärem Cognos Inhalt involvéiert. De Schlëssel hei ass fir z'iwwerpréiwen kuerz nodeems d'Migratioun fäerdeg ass datt alles voll migréiert a funktionnéiert wéi Dir erwaart. Et ass normalerweis onpraktesch fir alles z'iwwerpréiwen, sou datt Dir endlech verifizéiert wat Dir hofft representativ Proben ze sinn.
• Dir musst b hunnroad Wëssen iwwer d'Cognos Ëmfeld a Saachen déi dovun ofhänken. Zum Beispill MUSSEN historesch Kubel mat personaliséierten Usiichten nei opgebaut ginn wann Dir den NSM Wee gitt.
• Wat wann Dir oder d'Firma déi Dir d'Nimmraummigratioun ausgeliwwert hutt fir iwwer eppes ze vergiessen, wéi ... SDK Uwendungen? Wann Dir de Schalter ëmgedréit hutt, stoppen dës Saachen ze schaffen wa se net richteg aktualiséiert ginn. Hutt Dir déi richteg Kontrollen op der Plaz fir dëst direkt ze bemierken, oder wäert et e puer Wochen / Méint daueren ier d'Symptomer ufänken opzehuelen?
• Wann Dir vill Cognos Upgrades gemaach hutt, kënnt Dir potenziell Objekter an Ärem Content Store hunn, déi an engem inkonsistente Staat sinn. Wann Dir net mam SDK schafft, kënnt Dir net gesinn wéi eng Objeten an dësem Zoustand sinn.

Firwat Namespace Ersatz ass Déi Bescht Optioun

Déi Schlëssel Risikofaktoren an ze laang konsuméiere Schrëtt, déi ech just skizzéiert hunn, ginn eliminéiert wann d'Persona Namespace Ersatzmethod benotzt gëtt. Mat der Namespace Ersatz Approche hutt Dir 5 Minutte Cognos Auszäit, a kee vun Ärem Inhalt muss änneren. Déi "Good" Method schéngt fir mech wéi e geschnidden an dréchenen "No-Brainer". Freideg Nuechte si fir ze relaxen, net ze stressen iwwer d'Tatsaach datt Ären Content Manager just an der Mëtt vun enger Namespace Migratioun erofgefall ass.