Pāreja uz citu Cognos drošības avotu

Ja jums ir jāpārkonfigurē esošā Cognos vide, lai izmantotu citu ārējo drošības avotu (piemēram, Active Directory, LDAP utt.), Varat izmantot vairākas pieejas. Man patīk viņus saukt par “labajiem, sliktajiem un neglītajiem”. Pirms mēs pētām šīs labās, sliktās un neglītās pieejas, apskatīsim dažus izplatītus scenārijus, kas mēdz izraisīt autentifikācijas nosaukumvietas izmaiņas Cognos vidē.

Kopējie biznesa draiveri:

Aparatūras vai OS atjaunināšana - BI aparatūras/infrastruktūras modernizācija var būt biežs virzītājspēks. Lai gan pārējais Cognos var darboties kā čempions jūsu gludajā jaunajā aparatūrā un modernajā 64 bitu operētājsistēmā, veiksmi migrējot savu aptuveni 2005. gada Access Manager versiju uz šo jauno platformu. Piekļuves pārvaldnieks (pirmo reizi izlaists kopā ar 7. sēriju) ir cienījams daudzu Cognos klientu aizturēšanas laiks. Tas ir vienīgais iemesls, kāpēc daudzi klienti glabā šo veco Windows Server 2003 versiju. Rakstīšana jau ilgu laiku ir bijusi Access Manager sienā. Tā ir mantota programmatūra. Jo ātrāk jūs varat atkāpties no tā, jo labāk.

Lietojumprogrammu standartizācija- organizācijas, kas vēlas konsolidēt visu savu lietojumprogrammu autentifikāciju vienā centralizēti administrētā korporatīvo direktoriju serverī (piemēram, LDAP, AD).

Apvienošanās un iegādes- Uzņēmums A pērk uzņēmumu B un tam ir nepieciešama uzņēmuma B Cognos vide, lai norādītu uz uzņēmuma A direktoriju serveri, neradot problēmas ar to esošo BI saturu vai konfigurāciju.

Korporatīvās nodalīšanas- Tas ir pretējs apvienošanās scenārijam: daļa uzņēmuma tiek sadalīta savā uzņēmumā, un tagad tai ir jānorāda esošā BI vide uz jauno drošības avotu.

Kāpēc vārdu telpas migrācija var būt netīra

Norādīt Cognos vidi uz jaunu drošības avotu nav tik vienkārši, kā pievienot jauno nosaukumu vietni ar tiem pašiem lietotājiem, grupām un lomām, atvienot veco nosaukumvietu un VOILA!- visi jūsu Cognos lietotāji jaunajā nosaukumvietā ir saskaņoti ar to saturu. Patiesībā jūs bieži vien varat nonākt asiņainās nekārtībās uz rokām, un šeit ir iemesls…

Uz visiem Cognos drošības principiem (lietotājiem, grupām, lomām) atsaucas unikāls identifikators, ko sauc par CAMID. Pat ja visi pārējie atribūti ir vienādi, lietotāja CAMID esošo autentifikācijas nosaukumvieta nebūs tāda pati kā CAMID šim lietotājam jauns vārda telpa. Tas var sagraut esošo Cognos vidi. Pat ja jums ir tikai daži Cognos lietotāji, jums jāapzinās, ka CAMID atsauces pastāv daudzās dažādās jūsu satura veikala vietās (un var pastāvēt pat ārpus jūsu satura veikala ietvara modeļos, transformatoru modeļos, TM1 lietojumprogrammās, kubos, plānošanas lietojumprogrammās utt.) ).

Daudzi Cognos klienti kļūdaini uzskata, ka CAMID patiešām ir svarīgs tikai manas mapes saturam, lietotāju vēlmēm utt. Tas nevar būt tālāk no patiesības. Jautājums nav tikai par jūsu lietotāju skaitu, bet arī par Cognos objektu daudzumu, kas jums jāuztraucas. Satura veikalā ir vairāk nekā 140 dažādu veidu Cognos objektu, no kuriem daudziem var būt vairākas CAMID atsauces.

Piemēram:

1. Nav nekas neparasts, ka vienam Satura veikala grafikam ir vairākas CAMID atsauces (grafika īpašnieka CAMID, tā lietotāja CAMID, kuram grafiks jādarbojas, katra lietotāja vai izplatīšanas saraksta CAMID, kuram jānosūta e -pasta ziņojuma izvade utt.).
2. Katram Cognos objektam ir drošības politika, kas nosaka, kuri lietotāji var piekļūt objektam (domājiet cilni Atļaujas). Vienai drošības politikai, kas atrodas Cognos Connection mapē, ir CAMID atsauce katram lietotājam, grupai un lomai, kas ir norādīta šajā politikā.
3. Cerams, ka sapratāt būtību - šis saraksts turpinās un turpinās!

Nav nekas neparasts, ka lielā satura veikalā ir desmitiem tūkstošu CAMID atsauču (un mēs esam redzējuši dažus lielus ar simtiem tūkstošu).

Tagad aprēķiniet, kas tajā ir jūsu Cognos vide, un jūs varat redzēt, ka jūs, iespējams, nodarbojaties ar CAMID atsauču bariem. Tas var būt murgs! Pārslēdzot (vai pārkonfigurējot) autentifikācijas nosaukumvietu, visas šīs CAMID atsauces var palikt neatrisināmā stāvoklī. Tas neizbēgami noved pie Cognos satura un konfigurācijas problēmām (piemēram, grafiki, kas vairs netiek palaisti, saturs, kas vairs nav nodrošināts tā, kā jūs domājat, iepakojumi vai kubi, kuros vairs netiek pareizi nodrošināta datu līmeņa drošība, Manas mapes satura un lietotāja zudums preferences utt.).

Cognos nosaukumu telpas pārejas metodes

Tagad, zinot, ka Cognos videi var būt desmitiem tūkstošu CAMID atsauču, kas prasīs atrast, kartēt un atjaunināt atbilstošo jauno CAMID vērtību jaunajā autentifikācijas nosaukumu telpā, apspriedīsim labas, sliktas un neglītas pieejas šīs problēmas risināšanai.

Good: Vārdtelpas aizstāšana ar Persona

Pirmā metode (vārda telpas aizstāšana) tiek izmantota Motioir, Personas IQ produkts. Izmantojot šo pieeju, jūsu esošā nosaukumvieta tiek “aizstāta” ar īpašu Personas vārda telpu, kas ļauj virtualizēt visus drošības principus, kas ir pakļauti Cognos. Iepriekš esošie drošības principi tiks pakļauti Cognos ar tādu pašu CAMID kā iepriekš, pat ja tie var būt nodrošināti ar vairākiem ārējiem drošības avotiem (piemēram, Active Directory, LDAP vai pat Persona datu bāze).

Šīs pieejas skaistā daļa ir tāda, ka jūsu Cognos saturā ir nepieciešamas nulles izmaiņas. Tas ir tāpēc, ka Persona var saglabāt CAMID jau esošos principālus pat tad, ja tos nodrošina jauns avots. Tātad ... visi šie desmitiem tūkstošu CAMID atsauču jūsu satura veikalā, ārējie modeļi un vēsturiskie kubi? Viņi var palikt tieši tādi, kādi ir. Nav nepieciešams darbs.

Šī ir līdz šim vismazāk riskantā un zemākās ietekmes pieeja, ko varat izmantot esošās Cognos vides pārejai no viena ārējā drošības avota uz citu. To var izdarīt mazāk nekā stundas laikā ar aptuveni 5 minūšu Cognos dīkstāves laiku (vienīgā Cognos dīkstāve ir Cognos restartēšana, tiklīdz esat konfigurējis Personas vārda telpu).

Bad: Vārdtelpas migrācija, izmantojot Persona

Ja vienkāršā, zema riska pieeja vienkārši nav jūsu tējas tase, tad tur is cits variants.

Personu var izmantot arī, lai veiktu nosaukumvietas migrāciju.

Tas ietver otras autentifikācijas nosaukumvietas instalēšanu jūsu Cognos vidē, visu (jau cerams) visu esošo drošības principu (no vecās nosaukumvietas) kartēšanu uz atbilstošajiem principiem jaunajā nosaukumvietā, pēc tam (šeit ir jautrā daļa), visu, atrodot, kartējot un atjauninot viena CAMID atsauce, kas pastāv jūsu Cognos vidē: jūsu satura krātuve, ietvara modeļi, transformatoru modeļi, vēsturiskie kubi, TM1 lietojumprogrammas, plānošanas lietojumprogrammas utt.

Šī pieeja mēdz būt saspringta un procesu intensīva, taču, ja jūs esat tāds Cognos administrators, kuram nepieciešams nedaudz adrenalīna, lai justos dzīvs (un neiebilstu vēlu vakarā / agrā rīta tālruņa zvanos), tad, iespējams, ... šī vai tas ir variants, kuru meklējat?

Persona var tikt izmantota, lai palīdzētu automatizēt šī procesa daļas. Tas palīdzēs jums izveidot kartējumu starp vecajiem drošības principiem un jaunajiem drošības principiem, automatizēt brutālu spēku “atrast, analizēt, atjaunināt” satura veikala satura loģiku utt. Ko Persona var automatizēt dažus uzdevumus šeit, darbs šajā pieejā ietver “cilvēkus un procesus”, nevis faktiskās tehnoloģijas.

Piemēram, informācijas apkopošana par katru Framework Manager modeli, katru transformatora modeli, katru plānošanas / TM1 lietojumprogrammu, katru SDK lietojumprogrammu, kam tās pieder, un plānot, kā tās tiks atjauninātas un pārdalītas, var būt daudz darba. Katras Cognos vides, kurā vēlaties to izmēģināt, un apkopes logu, kuru laikā varat mēģināt pārvietot, koordinēšana, var ietvert plānošanu un Cognos “dīkstāvi”. Efektīva testa plāna izveide (un izpilde) pēc migrācijas var būt arī lācis.

Tas ir arī diezgan normāli, ka vispirms vēlaties šo procesu veikt vidē, kas nav saistīta ar ražošanu pirms izmēģinot to ražošanā.

Lai gan vārda telpas migrācija ar personu darbojas (un tā ir daudz labāka nekā zemāk redzamā “neglītā” pieeja), tā ir invazīvāka, riskantāka, ietver daudz vairāk darbinieku un prasa daudz vairāk cilvēku stundu nekā vārda telpas nomaiņa. Parasti migrācija jāveic “ārpus darba laika”, kamēr Cognos vide joprojām ir tiešsaistē, bet gala lietotājiem ir ierobežota veidlapu izmantošana.

Ugly: Manuālie vārda telpas migrācijas pakalpojumi

Ugly metode ietver neapskaužamu pieeju mēģinājumam ar rokām migrēt no vienas autentifikācijas nosaukumvietas uz citu. Tas ietver otras autentifikācijas nosaukumvietas pievienošanu jūsu Cognos videi, pēc tam mēģinājumu manuāli pārvietot vai atjaunot lielu daļu esošā Cognos satura un konfigurācijas.

Piemēram, izmantojot šo pieeju, Cognos administrators var mēģināt:

1. Atkārtoti izveidojiet grupas un lomas jaunajā nosaukumu telpā
2. Atkārtoti izveidojiet šo grupu dalību un lomas jaunajā nosaukumu telpā
3. Manuāli kopēt manu mapju saturu, lietotāju preferences, portālu cilnes utt. No katra avota konta uz katru mērķa kontu
4. Satura veikalā atrodiet katru politikas kopu un atjauniniet to uz atsauces ekvivalentiem principiem jaunajā nosaukumvietā tieši tādā pašā veidā, kā tā atsaucās uz principiem no vecās nosaukumvietas
5. Atkārtoti izveidojiet visus grafikus un aizpildiet tos ar atbilstošiem akreditācijas datiem, adresātiem utt.
6. Atiestatiet visus satura veikala objektu rekvizītus “īpašnieks” un “kontakts”
7. [Apmēram 40 citas lietas satura veikalā, par kurām jūs aizmirsīsit]
8. Apkopojiet visus FM modeļus ar objektu vai datu līmeņa drošību:
   1. Atbilstoši atjauniniet katru modeli
   2. Pārpublicējiet katru modeli
   3. Izplatiet modificēto modeli atpakaļ sākotnējam autoram
9. Līdzīgs darbs ar transformatoru modeļiem, TM1 lietojumprogrammām un plānošanas lietojumprogrammām, kas ir aizsargātas pret sākotnējo nosaukumvietu
10. [un vēl daudz vairāk]

Lai gan daži Cognos mazohisti varētu slepeni ķiķināt prieku par ideju noklikšķināt 400,000 XNUMX reižu Cognos Connection, lielākajai daļai saprātīgu cilvēku šī pieeja mēdz būt ārkārtīgi garlaicīga, laikietilpīga un pakļauta kļūdām. Tomēr tā nav šīs pieejas lielākā problēma.

Šīs pieejas lielākā problēma ir tā, ka tā gandrīz vienmēr noved pie nepilnīgas migrācijas.

Izmantojot šo pieeju, jūs (sāpīgi) atrodat un mēģināt kartēt tās CAMID atsauces, par kurām jūs zināt ... bet parasti atstājat visas šīs CAMID atsauces nezinu par.

Kad jūs domāt ja esat pabeidzis šo pieeju, jūs bieži vien nē tiešām darīts.

Satura veikalā ir objekti, kas vairs nav aizsargāti tādā veidā, kā jūs domājat, ka tie ir ... jums ir grafiki, kas nedarbojas tā, kā tie tika izmantoti, jums ir dati, kas vairs nav aizsargāti tā, kā jūs domājat tā ir, un dažās darbībās jums var būt pat neizskaidrojamas kļūdas pirkstu īsti nevar pielikt.

Iemesli, kāpēc sliktas un neglītas pieejas var būt briesmīgas:

• Automātiskā nosaukumu telpas migrācija rada lielu stresu satura pārvaldniekam. Katra satura veikala objekta pārbaude un iespējamā atjaunināšana bieži vien var izraisīt desmitiem tūkstošu SDK zvanu uz Cognos (gandrīz visi tie notiek caur satura pārvaldnieku). Šī neparastā vaicāšana parasti palielina atmiņas izmantošanu / slodzi un pakļauj satura pārvaldnieku avārijai migrācijas laikā. Ja jūsu Cognos vidē jau pastāv nestabilitāte, jums ļoti jābaidās no šīs pieejas.
• Vārdu telpas migrācijai ir nepieciešams liels apkopes logs. Cognos jābūt augšup, bet jūs nevēlaties, lai cilvēki migrācijas procesā veiktu izmaiņas. Tas parasti prasīs, lai nosaukumvietas migrācija tiktu sākta, kad neviens cits nestrādā, teiksim, piektdienas vakarā plkst. Neviens nevēlas sākt saspringtu projektu piektdienas vakarā pulksten 10. Nemaz nerunājot, jūsu garīgās spējas, iespējams, nav vislabākajā darba naktī un nedēļas nogalē projektā dara pieprasa būt asam!
• Esmu pieminējis vārda telpas migrāciju, kas ir laikietilpīga un darbietilpīga. Šeit ir mazliet vairāk par to:
  • Satura kartēšanas process ir jāveic precīzi, un tam nepieciešama komandas sadarbība un daudz cilvēku stundu.
  • Lai pārbaudītu migrācijas kļūdas vai problēmas, ir jāveic vairākas sausas darbības. Tipiska migrācija neizdodas perfekti pirmajā mēģinājumā. Jums būs nepieciešama arī derīga satura veikala dublējumkopija, kuru šādos gadījumos var atjaunot. Mēs esam redzējuši daudzas organizācijas, kurām nav pieejama laba dublējumkopija (vai kurām ir dublējums, kas, viņuprāt, nav pilnīgs).
  • Jums ir jāidentificē viss ārpus Satura veikals, kas var tikt ietekmēts (ietvara modeļi, transformatoru modeļi utt.). Šis uzdevums var ietvert koordināciju vairākās komandās (īpaši lielās koplietotās BI vidēs).
  • Jums ir nepieciešams labs pārbaudes plāns, kurā iesaistīti reprezentatīvi cilvēki ar dažādu piekļuves pakāpi jūsu Cognos saturam. Šeit galvenais ir īsi pēc migrācijas pabeigšanas pārbaudīt, vai viss ir pilnībā migrēts un darbojas, kā gaidīts. Parasti ir nepraktiski visu pārbaudīt, tāpēc jūs galu galā pārbaudāt, pēc jūsu domām, reprezentatīvus paraugus.
• Jums jābūt broad zināšanas par Cognos vidi un no tās atkarīgām lietām. Piemēram, ja izvēlaties NSM maršrutu, vēsturiskie kubi ar pielāgotiem skatiem IR jāpārveido.
• Ko darīt, ja jūs vai uzņēmums, kuram esat devis ārpakalpojumu vārda telpas migrācijai, kaut ko aizmirst, piemēram,… SDK lietojumprogrammas? Kad esat pagriezis slēdzi, šīs lietas pārstāj darboties, ja tās nav pareizi atjauninātas. Vai jums ir pienācīgas pārbaudes, lai to pamanītu nekavējoties, vai arī pēc simptomu parādīšanās būs vajadzīgas vairākas nedēļas / mēneši?
• Ja esat veicis daudzus Cognos jauninājumus, iespējams, jūsu satura veikalā var būt nekonsekventi objekti. Ja nestrādājat ar SDK, nevarēsit redzēt, kuri objekti atrodas šajā stāvoklī.

Kāpēc vārda telpas nomaiņa ir labākais risinājums

Galvenie riska faktori un laikietilpīgie soļi, kurus es tikko izklāstīju, tiek novērsti, ja tiek izmantota Personas vārda telpas aizstāšanas metode. Izmantojot nosaukumu telpas nomaiņas pieeju, jums ir 5 minūtes Cognos dīkstāves, un nekas no jūsu satura nav jāmaina. “Labā” metode man šķiet griezta un sausa “bez prāta”. Piektdienas vakari ir paredzēti atpūtai, nevis stresam par to, ka jūsu satura pārvaldnieks tikko avarēja vārda telpas migrācijas vidū.