Kai reikia iš naujo sukonfigūruoti esamą „Cognos“ aplinką ir naudoti kitą išorinio saugumo šaltinį (pvz., „Active Directory“, LDAP ir kt.), Galite pasirinkti keletą būdų. Man patinka juos vadinti: „Geri, blogi ir bjaurūs“. Prieš tyrinėdami šiuos gerus, blogus ir bjaurius metodus, pažvelkime į kai kuriuos įprastus scenarijus, kurie paprastai skatina autentifikavimo vardų srities pokyčius „Cognos“ aplinkoje.
Įprasti verslo vairuotojai:
Techninės įrangos ar OS atnaujinimas - BI aparatinės įrangos/infrastruktūros modernizavimas gali būti dažnas veiksnys. Nors likusi „Cognos“ dalis gali veikti kaip jūsų naujos elegantiškos aparatūros ir modernios 64 bitų operacinės sistemos čempionas, sėkmės perkėlus maždaug 2005 m. „Access Manager“ versiją į tą naują platformą. „Access Manager“ (pirmą kartą išleista kartu su 7 serija) yra garbingas daugelio „Cognos“ klientų laikmetis. Tai yra vienintelė priežastis, dėl kurios daugelis klientų saugo tą siaubingą seną „Windows Server 2003“ versiją. Rašymas jau seniai yra ant „Access Manager“ sienos. Tai yra sena programinė įranga. Kuo greičiau galėsite nuo jo pasitraukti, tuo geriau.
Programos standartizavimas- organizacijos, norinčios konsoliduoti visų savo programų autentifikavimą viename centralizuotai administruojamame įmonių katalogų serveryje (pvz., LDAP, AD).
Susijungimai ir įsigijimai- Įmonė A perka įmonę B ir jai reikia B įmonės Cognos aplinkos, kad ji nurodytų įmonės A katalogų serverį, nesukeldama problemų dėl esamo BI turinio ar konfigūracijos.
Įmonių pardavimas- Tai priešinga susijungimo scenarijui, kai dalis įmonės yra suskirstyta į savo subjektą ir dabar ji turi nukreipti esamą BI aplinką į naują saugumo šaltinį.
Kodėl vardų srities perkėlimas gali būti netvarkingas
Nukreipti „Cognos“ aplinką į naują saugos šaltinį nėra taip paprasta, kaip pridėti naują vardų sritį su tais pačiais vartotojais, grupėmis ir vaidmenimis, atjungti senąją vardų sritį ir „VOILA!“- visi jūsų „Cognos“ naudotojai naujoje vardų erdvėje yra suderinti su jų turinį. Tiesą sakant, dažnai ant rankų gali kilti kruvina netvarka, ir štai kodėl ...
Visi „Cognos“ saugos principai (vartotojai, grupės, vaidmenys) nurodomi unikaliu identifikatoriumi, vadinamu CAMID. Net jei visi kiti atributai yra lygūs, naudotojo CAMID esamas autentifikavimo vardų sritis nebus tokia pati kaip to vartotojo CAMID Naujas produktas vardų sritis. Tai gali sugriauti esamą „Cognos“ aplinką. Net jei turite tik kelis „Cognos“ vartotojus, turite suprasti, kad CAMID nuorodos egzistuoja DAUG skirtingose jūsų turinio parduotuvės vietose (ir netgi gali egzistuoti už jūsų turinio parduotuvės pagrindų modeliuose, transformatorių modeliuose, TM1 programose, kubuose, planavimo programose ir kt.) ).
Daugelis „Cognos“ klientų klaidingai mano, kad CAMID iš tikrųjų priklauso tik nuo aplanko „Mano aplankas“ turinio, vartotojo nuostatų ir tt. Tai negali būti toliau nuo tiesos. Tai ne tik jūsų turimų vartotojų skaičius, bet ir „Cognos“ objektų kiekis, kuriuo turite susirūpinti. Turinio parduotuvėje yra daugiau nei 140 skirtingų tipų „Cognos“ objektų, iš kurių daugelis gali turėti kelias CAMID nuorodas.
Pavyzdžiui:
- Neretai viename jūsų turinio parduotuvės tvarkaraštyje yra kelios CAMID nuorodos (tvarkaraščio savininko CAMID, vartotojo, kuriam tvarkaraštis turėtų būti naudojamas, CAMID, kiekvieno vartotojo CAMID arba platinimo sąrašas, kuriam jis turėtų siųsti el. ir kt.).
- Kiekvienas „Cognos“ objektas turi saugumo politiką, kuri nustato, kurie vartotojai gali pasiekti objektą (pagalvokite apie skirtuką „Leidimai“). Viena saugumo politika, kabanti tame aplanke „Cognos Connection“, turi CAMID nuorodą kiekvienam toje politikoje nurodytam vartotojui, grupei ir vaidmeniui.
- Tikimės, kad supratote esmę - šis sąrašas tęsiasi ir tęsiasi!
Neretai didelėje turinio parduotuvėje yra dešimtys tūkstančių CAMID nuorodų (ir mes matėme keletą didelių, turinčių šimtus tūkstančių).
Dabar atlikite skaičiavimus pagal tai, kas yra jusu „Cognos“ aplinkoje ir matote, kad galbūt susiduriate su daugybe CAMID nuorodų. Tai gali būti košmaras! Pakeitus (arba iš naujo sukonfigūravus) autentifikavimo vardų sritį, visos šios CAMID nuorodos gali būti neišsprendžiamos. Dėl to neišvengiamai kyla „Cognos“ turinio ir konfigūracijos problemų (pvz., Nebeveikiami tvarkaraščiai, turinys, kuris nebėra apsaugotas taip, kaip jūs manote, paketai ar kubeliai, kurie nebeatitinka duomenų lygio saugumo, prarandamas „Mano aplanko“ turinys ir naudotojas pageidavimai ir kt.).
„Cognos“ vardų erdvės perėjimo metodai
Dabar, žinodami, kad „Cognos“ aplinkoje gali būti dešimtys tūkstančių CAMID nuorodų, kurias reikės rasti, susieti ir atnaujinti iki atitinkamos naujos CAMID vertės naujoje autentifikavimo vardų erdvėje, aptarkime gerus, blogus ir bjaurus šios problemos sprendimo būdus.
Geras: Vardų srities pakeitimas „Persona“
Pirmasis metodas (vardų srities pakeitimas) naudojamas Motio, „Persona IQ“ produktas. Taikant šį metodą, esama vardų sritis „pakeičiama“ specialia „Persona“ vardų sritimi, kuri leidžia virtualizuoti visus „Cognos“ veikiamus saugumo principus. Esami saugumo principai bus veikiami „Cognos“ naudojant tą patį CAMID, kaip ir anksčiau, net jei jie gali būti paremti bet kokiu kiekiu išorinių saugumo šaltinių (pvz., „Active Directory“, LDAP ar net „Persona“ duomenų bazė).
Gražiausia šio požiūrio dalis yra ta, kad norint atlikti „Cognos“ turinio pakeitimus reikia NULL. Taip yra todėl, kad „Persona“ gali išlaikyti jau egzistuojančių direktorių CAMID, net jei jie yra paremti nauju šaltiniu. Taigi ... visos tos dešimtys tūkstančių CAMID nuorodų jūsų turinio parduotuvėje, išoriniai modeliai ir istoriniai kubeliai? Jie gali likti tokie, kokie yra. Darbo nereikia.
Tai yra mažiausiai rizikingas ir mažiausio poveikio metodas, kurį galite naudoti norėdami perkelti esamą „Cognos“ aplinką iš vieno išorinio saugumo šaltinio į kitą. Tai galima padaryti per mažiau nei valandą ir maždaug 5 minutes „Cognos“ prastovos (vienintelė „Cognos“ prastova yra „Cognos“ paleidimas iš naujo, kai sukonfigūravote „Persona“ vardų sritį).
Blogas: Vardų srities perkėlimas naudojant „Persona“
Jei lengvas ir mažos rizikos metodas tiesiog nėra jūsų arbatos puodelis, tada ten is kitas variantas.
„Persona“ taip pat gali būti naudojama vardų srities perkėlimui atlikti.
Tai reiškia, kad „Cognos“ aplinkoje reikia įdiegti antrąją autentifikavimo vardų sritį, susieti (tikiuosi) visus esamus saugos principus (iš senosios vardų srities) į atitinkamus naujosios vardų srities principus, tada (čia yra linksmoji dalis), surasti, susieti ir atnaujinti kiekvieną viena CAMID nuoroda, esanti jūsų „Cognos“ aplinkoje: turinio parduotuvė, pagrindų modeliai, transformatorių modeliai, istoriniai kubai, TM1 programos, planavimo programos ir kt.
Šis požiūris paprastai būna įtemptas ir reikalaujantis daug procesų, tačiau jei esate toks „Cognos“ administratorius, kuriam reikia šiek tiek adrenalino, kad jaustumėtės gyvas (ir neprieštaraujate vėlyvam vakarui / ankstyvam rytui), galbūt ... tai ar yra tavo ieškomas variantas?
„Persona“ gali būti naudojama automatizuojant šio proceso dalis. Tai padės sukurti susiejimą tarp senų ir naujų saugumo principų, automatizuos žiaurios jėgos „rasti, analizuoti, atnaujinti“ turinio parduotuvės turinio logiką ir pan. „What Persona“ gali automatizuoti kai kurias užduotis čia šio požiūrio darbas apima „žmones ir procesus“, o ne tikras technologijas.
Pavyzdžiui, surinkti informaciją apie kiekvieną „Framework Manager“ modelį, kiekvieną „Transformer“ modelį, kiekvieną „Planning / TM1“ programą, kiekvieną SDK programą, kam jos priklauso, ir suplanuoti, kaip jos bus atnaujintos ir perskirstytos, gali būti daug darbo. Kiekvienos „Cognos“ aplinkos, kurią norite išbandyti, ir priežiūros langų, per kuriuos galite bandyti perkelti, koordinavimas gali apimti planavimą ir „Cognos“ neveikimo laiką. Sukurti (ir įvykdyti) veiksmingą bandymų planą po migracijos taip pat gali būti gana meška.
Taip pat visiškai normalu, kad pirmiausia norėsite atlikti šį procesą ne gamybinėje aplinkoje prieš bando jį gaminti.
Nors vardų erdvės perkėlimas su asmeniu veikia (ir tai kur kas geriau nei žemiau pateiktas „Bjaurusis“ metodas), jis yra labiau invazinis, rizikingesnis, apima daug daugiau darbuotojų ir reikalauja daug daugiau darbo valandų nei vardų srities pakeitimas. Paprastai perkėlimas turi būti atliekamas „ne darbo valandomis“, kol „Cognos“ aplinka vis dar yra prisijungusi, tačiau galutiniai vartotojai turi ribotą formą.
Bjaurusis: Rankinės vardų srities perkėlimo paslaugos
Bjaurusis metodas apima nepavydėtiną bandymo būdą rankiniu būdu perkelti iš vienos autentifikavimo vardų srities į kitą. Tam reikia prijungti antrąją autentifikavimo vardų sritį prie „Cognos“ aplinkos, tada bandyti rankiniu būdu perkelti arba atkurti didžiąją dalį esamo „Cognos“ turinio ir konfigūracijos.
Pavyzdžiui, naudodamas šį metodą, „Cognos“ administratorius gali bandyti:
- Iš naujo sukurkite grupes ir vaidmenis naujoje vardų erdvėje
- Iš naujo sukurkite tų grupių narystes ir vaidmenis naujoje vardų erdvėje
- Rankiniu būdu nukopijuokite mano aplankų turinį, vartotojo nuostatas, portalo skirtukus ir tt iš kiekvienos šaltinio paskyros į kiekvieną tikslinę paskyrą
- Turinio parduotuvėje raskite kiekvieną politikos rinkinį ir atnaujinkite jį į lygiaverčius pagrindinius principus naujoje vardų erdvėje lygiai taip pat, kaip jis nurodė principus iš senosios vardų srities
- Sukurkite visus tvarkaraščius ir užpildykite juos atitinkamais įgaliojimais, gavėjais ir kt.
- Iš naujo nustatykite visų turinio parduotuvės objektų „savininko“ ir „kontakto“ ypatybes
- [Apie 40 kitų turinio parduotuvės dalykų, kuriuos pamiršite]
- Surinkite visus FM modelius su objekto ar duomenų lygio apsauga:
- Atitinkamai atnaujinkite kiekvieną modelį
- Paskelbkite kiekvieną modelį iš naujo
- Perskirstykite pakeistą modelį atgal pradiniam autoriui
- Panašus darbas yra su transformatorių modeliais, TM1 programomis ir planavimo programomis, kurios yra apsaugotos nuo pradinės vardų srities
- [ir daug daugiau]
Nors kai kurie „Cognos“ mazochistai gali slapta kikenti iš džiaugsmo, kad „Cognos Connection“ spustelėja 400,000 XNUMX kartų, daugumai protingų žmonių šis požiūris yra labai varginantis, atimantis daug laiko ir linkęs į klaidas. Tačiau tai nėra didžiausia šio požiūrio problema.
Didžiausia šio požiūrio problema yra ta, kad ji beveik visada veda prie nepilnos migracijos.
Naudodamiesi šiuo metodu, jūs (skaudžiai) surandate ir bandote susieti tas CAMID nuorodas, apie kurias žinote… bet dažniausiai paliekate visas tas CAMID nuorodas, kurias žinote nežinau apie.
Kai jūs think kai baigsite šį metodą, dažnai to nepadarysite tikrai padaryta.
Turinio parduotuvėje yra objektų, kurie nebėra apsaugoti taip, kaip jūs manote. tai yra, ir jūs netgi galite turėti nepaaiškinamų klaidų atliekant tam tikras operacijas jūs tikrai negalite uždėti piršto.
Priežastys, kodėl blogas ir bjaurus požiūris gali būti baisus:
- Automatinis vardų srities perkėlimas kelia daug streso turinio tvarkytojui. Tikrinant ir galimai atnaujinant kiekvieną turinio parduotuvės objektą, dažnai gali būti dešimtys tūkstančių SDK iškvietimų į „Cognos“ (beveik visi jie vyksta per turinio tvarkyklę). Ši nenormali užklausa paprastai padidina atminties naudojimą / įkėlimą ir kelia pavojų, kad turinio tvarkyklė gali sudužti perkėlimo metu. Jei jūsų „Cognos“ aplinkoje jau yra daug nestabilumo, turėtumėte labai bijoti šio požiūrio.
- Vardų srities perkėlimui reikalingas didelis priežiūros langas. „Cognos“ turi būti įjungta, tačiau nenorite, kad žmonės atliktų pakeitimus migracijos proceso metu. Tai paprastai reikalauja, kad vardų srities perkėlimas būtų pradėtas, kai niekas nedirba, tarkime, penktadienio vakarą 10 val. Niekas nenori pradėti įtempto projekto penktadienio vakarą 10 val. Maža to, jūsų psichiniai sugebėjimai tikriausiai nėra geriausi darbo naktimis ir savaitgaliais įgyvendinant projektą nėra reikalauja būti aštriam!
- Jau minėjau, kad vardų srities perkėlimas reikalauja daug laiko ir darbo. Štai šiek tiek daugiau apie tai:
- Turinio kartografavimo procesas turėtų būti atliktas tiksliai, o tam reikia komandos bendradarbiavimo ir daug darbo valandų.
- Norint patikrinti, ar nėra perkėlimo klaidų ar problemų, reikia atlikti kelis sausus važiavimus. Įprasta migracija iš pirmo karto nepavyksta. Jums taip pat reikės galiojančios turinio parduotuvės atsarginės kopijos, kurią tokiais atvejais galima atkurti. Mes matėme daug organizacijų, kurios neturi geros atsarginės kopijos (arba turi atsarginę kopiją, kurios, jų manymu, yra neišsami).
- Reikia viską identifikuoti už turinio parduotuvė, kuri gali būti paveikta (rėmo modeliai, transformatorių modeliai ir kt.). Ši užduotis gali apimti kelių komandų koordinavimą (ypač didelėse bendrose BI aplinkose).
- Jums reikia gero bandymų plano, į kurį įtraukiami reprezentatyvūs žmonės, turintys įvairaus laipsnio prieigą prie jūsų „Cognos“ turinio. Svarbiausia čia netrukus po perkėlimo patikrinti, ar viskas yra visiškai perkelta ir veikia taip, kaip tikitės. Paprastai nepraktiška viską patikrinti, todėl galiausiai patikrinsite tikėtinus pavyzdžius.
- Jūs turite turėti broad žinios apie „Cognos“ aplinką ir nuo jos priklausančius dalykus. Pavyzdžiui, jei einate NSM keliu, TURI būti atstatyti istoriniai kubai su pasirinktiniais vaizdais.
- Ką daryti, jei jūs arba įmonė, kuriai perkėlėte vardų srities perkėlimo paslaugą, pamiršta apie kažką, pvz.,… SDK programas? Pasukus jungiklį, šie dalykai nustoja veikti, jei jie nėra tinkamai atnaujinami. Ar turite tinkamus patikrinimus, kad tai pastebėtumėte iš karto, ar praeis kelios savaitės / mėnesiai, kol simptomai pradės ryškėti?
- Jei daug kartų atnaujinote „Cognos“, turinio parduotuvėje gali būti nenuoseklios būklės objektų. Jei nedirbate su SDK, negalėsite matyti, kurie objektai yra šios būsenos.
Kodėl vardų srities pakeitimas yra geriausias pasirinkimas
Pagrindiniai rizikos veiksniai ir daug laiko reikalaujantys veiksmai, kuriuos ką tik aprašiau, pašalinami, kai naudojamas „Persona“ vardų srities pakeitimo metodas. Naudodami „Vardų erdvės pakeitimo“ metodą, turite 5 minutes „Cognos“ prastovos ir niekas iš jūsų turinio neturi keistis. „Geras“ metodas man atrodo kaip iškirptas ir sausas „nesusipratimas“. Penktadienio vakarai skirti poilsiui, o ne stresui dėl to, kad jūsų turinio tvarkyklė ką tik sudužo viduryje vardų srities perkėlimo.
