Peralihan ke Sumber Keselamatan Cognos yang berbeza

Apabila anda perlu mengkonfigurasi semula persekitaran Cognos yang ada untuk menggunakan sumber keselamatan luaran yang berbeza (misalnya Active Directory, LDAP, dll), ada beberapa pendekatan yang dapat anda ambil. Saya suka memanggil mereka, "Yang Baik, yang Buruk, dan yang Jahat." Sebelum kita meneroka pendekatan Baik, Buruk, dan Jelek ini, mari kita lihat beberapa senario biasa yang cenderung mendorong perubahan ruang nama pengesahan dalam persekitaran Cognos.

Pemacu Perniagaan Biasa:

Mengemas kini Perkakasan atau OS - Memodenkan perkakasan / infrastruktur BI boleh menjadi pemacu yang kerap. Walaupun Cognos yang lain mungkin berjalan seperti juara pada perkakasan baru anda yang anggun dan OS 64-bit moden, semoga berjaya memindahkan versi Access Manager anda sekitar tahun 2005 ke platform baru itu. Access Manager (pertama kali dikeluarkan dengan Siri 7) adalah penahanan terhormat sejak beberapa hari yang lalu bagi banyak pelanggan Cognos. Ini adalah satu-satunya alasan bahawa banyak pelanggan menyimpan versi lama Windows Server 2003 yang licik. Penulisan ini telah lama berada di dinding untuk Access Manager untuk beberapa lama. Ia adalah perisian lama. Semakin cepat anda beralih daripadanya, semakin baik.

Pemiawaian Aplikasi- Organisasi yang ingin menggabungkan pengesahan semua aplikasinya terhadap satu pelayan direktori korporat yang ditadbir secara berpusat (mis. LDAP, AD).

Penggabungan dan Pengambilalihan- Syarikat A membeli Syarikat B dan memerlukan persekitaran Cognos Syarikat B untuk menunjuk ke pelayan direktori Syarikat A, tanpa menimbulkan masalah pada kandungan atau konfigurasi BI mereka yang ada.

Pelupusan Korporat- Ini adalah kebalikan dari senario penggabungan, sebahagian syarikat dipisahkan menjadi entiti sendiri dan sekarang perlu menunjukkan persekitaran BI yang ada sebagai sumber keselamatan baru.

Mengapa Migrasi Namespace boleh menjadi tidak kemas

Menunjuk persekitaran Cognos ke sumber keselamatan baru tidak semudah menambahkan ruang nama baru dengan pengguna, kumpulan, dan peranan yang sama, memutuskan ruang nama lama, dan VOILA! - semua pengguna Cognos anda di ruang nama baru dipadankan dengan kandungan mereka. Sebenarnya, anda sering boleh mengalami kekacauan berdarah di tangan anda, dan inilah sebabnya…

Semua prinsip keselamatan Cognos (pengguna, kumpulan, peranan) dirujuk oleh pengecam unik yang disebut CAMID. Walaupun semua atribut lain sama, CAMID untuk pengguna di sedia ada ruang nama pengesahan tidak akan sama dengan CAMID untuk pengguna tersebut di baru ruang nama. Ini boleh merosakkan persekitaran Cognos yang ada. Walaupun anda hanya mempunyai sedikit pengguna Cognos, anda perlu menyedari bahawa rujukan CAMID terdapat di BANYAK tempat yang berbeza di Gedung Kandungan anda (dan bahkan boleh wujud di luar Kedai Kandungan anda dalam model Rangka Kerja, Model Transformer, Aplikasi TM1, Kubus, Aplikasi Perancangan dll. ).

Sebilangan besar pelanggan Cognos secara keliru percaya bahawa CAMID hanya penting untuk kandungan Folder Saya, pilihan pengguna, dan lain-lain. Ini tidak boleh dijauhkan dari kebenaran. Bukan hanya masalah jumlah pengguna yang anda miliki, tetapi jumlah objek Cognos yang perlu anda perhatikan. Terdapat lebih dari 140 jenis objek Cognos yang berlainan di Gedung Kandungan, yang kebanyakannya mempunyai banyak rujukan CAMID.

Sebagai contoh:

1. Tidak jarang satu Jadual di Kedai Kandungan anda mempunyai banyak rujukan CAMID (CAMID pemilik jadual, CAMID pengguna jadual harus berjalan seperti, CAMID setiap pengguna atau senarai pengedaran yang harus dihantar melalui laporan hasil e-mel kepada , dan lain-lain.).
2. Setiap objek di Cognos mempunyai kebijakan keamanan yang mengatur pengguna mana yang dapat mengakses objek (pikirkan "Tab Izin"). Satu polisi keselamatan yang menggantung folder tersebut di Cognos Connection mempunyai rujukan CAMID untuk setiap pengguna, kumpulan & peranan yang ditentukan dalam polisi tersebut.
3. Semoga anda berjaya - senarai ini berterusan dan berterusan!

Tidak jarang Kedai Kandungan yang cukup besar mengandungi puluhan ribu rujukan CAMID (dan kami telah melihat beberapa rujukan besar dengan ratusan ribu).

Sekarang, buat matematik mengenai apa yang ada Matlamat Persekitaran Cognos dan anda dapat melihat bahawa anda berpotensi menghadapi gerombolan rujukan CAMID. Ia boleh menjadi mimpi buruk! Menukar (atau mengkonfigurasi semula) ruang nama pengesahan anda dapat meninggalkan semua rujukan CAMID ini dalam keadaan yang tidak dapat diselesaikan. Ini pasti menyebabkan masalah kandungan & konfigurasi Cognos (contohnya jadual yang tidak lagi berjalan, kandungan yang tidak lagi selamat seperti yang anda fikirkan, pakej atau kiub yang tidak lagi melaksanakan keselamatan tahap data dengan betul, kehilangan kandungan dan pengguna Folder Saya pilihan, dll).

Kaedah Peralihan Ruang Nama Cognos

Sekarang, mengetahui bahawa persekitaran Cognos boleh mempunyai puluhan ribu rujukan CAMID yang memerlukan penemuan, pemetaan dan kemas kini ke nilai CAMID baru yang sesuai di ruang nama pengesahan baru, mari kita bincangkan pendekatan Baik, Buruk & Jelek untuk menyelesaikan masalah ini.

Baik: Penggantian Ruang Nama dengan Persona

Kaedah pertama (Namespace Replacement) menggunakan Motio's, Persona IQ produk. Dengan pendekatan ini, ruang nama yang ada "diganti" dengan ruang nama Persona khas yang membolehkan anda memvisualisasikan semua prinsipal keselamatan yang terdedah kepada Cognos. Prinsipal keselamatan yang sudah ada akan terdedah kepada Cognos dengan CAMID yang sama seperti sebelumnya, walaupun mereka mungkin disokong oleh sebilangan sumber keselamatan luaran (misalnya Active Directory, LDAP atau bahkan pangkalan data Persona).

Bahagian yang indah mengenai pendekatan ini ialah memerlukan perubahan ZERO pada kandungan Cognos anda. Ini kerana Persona dapat mempertahankan CAMID prinsipal yang sudah ada, walaupun mereka disokong oleh sumber baru. Jadi ... semua puluhan ribu rujukan CAMID di Gedung Kandungan anda, model luaran dan kubus sejarah? Mereka boleh kekal seperti sedia kala. Tidak ada kerja yang diperlukan.

Ini merupakan pendekatan berimpak paling rendah yang paling berisiko yang boleh anda gunakan untuk mengubah persekitaran Cognos anda yang sedia ada dari satu sumber keselamatan luaran ke sumber yang lain. Ia boleh dilakukan dalam masa kurang dari satu jam dengan waktu henti Cognos selama 5 minit (satu-satunya waktu henti Cognos adalah memulakan semula Cognos setelah anda mengkonfigurasi ruang nama Persona).

The Bad: Migrasi Namespace menggunakan Persona

Sekiranya pendekatan yang mudah dan berisiko rendah bukan secawan teh anda, maka di sana is pilihan lain.

Persona juga boleh digunakan untuk melakukan Migrasi Namespace.

Ini melibatkan pemasangan ruang nama pengesahan kedua di persekitaran Cognos anda, pemetaan (semoga) semua prinsipal keselamatan anda yang ada (dari ruang nama lama) ke prinsipal yang sesuai di ruang nama baru, kemudian (inilah bahagian yang menyeronokkan), mencari, memetakan dan mengemas kini setiap rujukan CAMID tunggal yang wujud di persekitaran Cognos anda: Kedai Kandungan anda, Model Kerangka, Model Transformer, kubus Sejarah, Aplikasi TM1, Aplikasi Perancangan, dll.

Pendekatan ini cenderung memberi tekanan dan proses yang intensif, tetapi jika anda jenis pentadbir Cognos yang memerlukan sedikit adrenalin untuk merasa hidup (dan tidak keberatan dengan panggilan telefon lewat malam / pagi), maka mungkin… ini adakah pilihan yang anda cari?

Persona boleh digunakan untuk membantu mengautomasikan bahagian proses ini secara automatik. Ini akan membantu anda membuat pemetaan antara prinsipal keselamatan lama dan prinsipal keselamatan yang baru, mengautomatikkan logik "mencari, menganalisis, mengemas kini" logik untuk kandungan di kedai kandungan anda, dan lain-lain. Apa Persona dapat mengotomatisasi beberapa tugas di sini, banyak kerja dalam pendekatan ini melibatkan "orang dan proses" dan bukannya teknologi sebenar.

Contohnya - menyusun maklumat mengenai setiap model Framework Manager, setiap model Transformer, setiap aplikasi Perancangan / TM1, setiap aplikasi SDK, yang memilikinya, dan merancang bagaimana mereka akan dikemas kini dan diedarkan dapat menjadi banyak kerja. Mengkoordinasikan pemadaman untuk setiap persekitaran Cognos yang ingin anda lakukan dan tetingkap penyelenggaraan di mana anda boleh mencuba penghijrahan boleh melibatkan perancangan dan "waktu henti" Cognos. Menyusun (dan melaksanakan) rancangan ujian yang berkesan untuk selepas penghijrahan anda juga cukup menanggung.

Ia juga biasa jika anda ingin melakukan proses ini terlebih dahulu dalam persekitaran bukan pengeluaran sebelum mencubanya dalam pengeluaran.

Walaupun Namespace Migrasi dengan Persona berfungsi (dan jauh lebih baik daripada pendekatan "Jelek" di bawah), ini lebih invasif, lebih berisiko, melibatkan lebih banyak personel, dan memerlukan lebih banyak jam kerja untuk dilakukan daripada Penggantian Namespace. Lazimnya migrasi perlu dilakukan pada waktu “off hour”, sementara persekitaran Cognos masih dalam talian, tetapi penggunaan borang yang terhad oleh pengguna akhir.

The Ugly: Perkhidmatan Migrasi Namespace Manual

Kaedah Ugly melibatkan pendekatan percubaan yang tidak dapat dielakkan secara manual berhijrah dari satu ruang nama pengesahan ke ruang nama yang lain. Ini melibatkan penyambungan ruang nama pengesahan kedua ke persekitaran Cognos anda, kemudian cuba memindahkan atau membuat semula banyak kandungan dan konfigurasi Cognos yang ada secara manual.

Sebagai contoh, menggunakan pendekatan ini, pentadbir Cognos mungkin berusaha untuk:

1. Buat semula kumpulan dan peranan di ruang nama baru
2. Buat semula keahlian kumpulan dan peranan tersebut di ruang nama baru
3. Salin secara manual kandungan folder saya, pilihan pengguna, tab portal, dll dari setiap akaun sumber ke setiap akaun sasaran
4. Cari setiap Set Dasar di Gedung Kandungan dan kemas kini untuk merujuk kepada prinsipal yang setara di ruang nama baru dengan cara yang sama seperti yang merujuk kepada pengetua dari ruang nama lama
5. Buat semula semua jadual dan isi dengan kredensial, penerima, dll.
6. Tetapkan semula semua sifat "pemilik" dan "kenalan" semua objek di Gedung Kandungan
7. [Kira-kira 40 perkara lain di Kandungan Kandungan yang akan anda lupakan]
8. Kumpulkan semua model FM dengan keselamatan tahap objek atau data:
   1. Kemas kini setiap model dengan sewajarnya
   2. Terbitkan semula setiap model
   3. Sebarkan semula model yang diubah suai kepada pengarang asal
9. Karya serupa untuk model Transformer, Aplikasi TM1 dan Aplikasi Perancangan yang dilindungi daripada ruang nama asal
10. [dan banyak lagi]

Walaupun sebilangan masokis Cognos secara diam-diam mungkin terkikik dengan kegembiraan dengan idea mengklik 400,000 kali di Cognos Connection, bagi kebanyakan orang yang masuk akal, pendekatan ini cenderung sangat membosankan, memakan masa dan ralat. Itu bukan masalah terbesar dengan pendekatan ini.

Masalah terbesar dengan pendekatan ini ialah hampir sentiasa membawa kepada penghijrahan yang tidak lengkap.

Dengan menggunakan pendekatan ini, anda (dengan susah payah) mencari, dan berusaha memetakan rujukan CAMID yang anda ketahui ... tetapi cenderung meninggalkan semua rujukan CAMID yang anda tidak tahu mengenai.

Sebaik sahaja anda berfikir anda sudah selesai dengan pendekatan ini, anda sering tidak benar-benar dilakukan.

Anda mempunyai objek di gedung kandungan anda yang tidak lagi aman seperti yang anda fikirkan ... anda mempunyai jadual yang tidak berjalan seperti yang mereka jalankan, anda mempunyai data yang tidak lagi aman seperti yang anda fikirkan itu benar, dan anda mungkin juga mempunyai kesalahan yang tidak dapat dijelaskan untuk operasi tertentu yang anda tidak boleh meletakkan jari anda.

Sebab-Sebab Mengapa Pendekatan Buruk dan Jelek boleh Mengerikan:

• Migrasi Ruang Nama Automatik memberi banyak tekanan kepada Pengurus Kandungan. Pemeriksaan dan kemungkinan kemas kini setiap objek di Gedung Kandungan anda, sering kali dapat menghasilkan puluhan ribu panggilan SDK ke Cognos (hampir semuanya mengalir melalui Pengurus Kandungan). Permintaan tidak normal ini biasanya meningkatkan penggunaan / muat memori dan menjadikan Pengurus Kandungan berisiko terhempas semasa migrasi. Sekiranya anda sudah mempunyai banyak ketidakstabilan dalam persekitaran Cognos anda, anda pasti sangat takut dengan pendekatan ini.
• Migrasi Namespace memerlukan tetingkap penyelenggaraan yang cukup besar. Cognos perlu meningkat, tetapi anda tidak mahu orang membuat perubahan semasa proses migrasi. Ini biasanya memerlukan penghijrahan ruang nama bermula apabila tidak ada orang lain yang berfungsi, katakan pada pukul 10 malam pada hari Jumaat malam. Tidak ada yang mahu memulakan projek yang penuh tekanan pada pukul 10 malam pada malam Jumaat. Tidak ketinggalan, fakulti mental anda mungkin bukan pada waktu bekerja dan hujung minggu terbaik mereka dalam projek yang tidak menghendaki anda tajam!
• Saya telah menyebut bahawa Namespace Migrasi memerlukan banyak masa dan tenaga kerja. Inilah sedikit lagi mengenai perkara itu:
  • Proses pemetaan kandungan harus dilakukan dengan tepat dan memerlukan kerjasama berpasukan dan berjam-jam.
  • Pelbagai kering berjalan diperlukan untuk memeriksa kesilapan atau masalah dengan migrasi. Penghijrahan biasa tidak berjalan dengan sempurna pada percubaan pertama. Anda juga memerlukan sandaran yang sah dari Kandungan Kandungan anda yang dapat dipulihkan dalam kes seperti itu. Kami telah melihat banyak organisasi yang tidak mempunyai sandaran yang baik (atau mempunyai sandaran yang mereka tidak sedar tidak lengkap).
  • Anda perlu mengenal pasti semuanya di luar Kandungan Kandungan yang mungkin berpengaruh (model rangka kerja, model transformer, dll.). Tugas ini mungkin melibatkan koordinasi di beberapa pasukan (terutamanya di persekitaran BI bersama yang besar).
  • Anda memerlukan rancangan ujian yang baik yang melibatkan orang perwakilan dengan pelbagai tahap akses ke kandungan Cognos anda. Kuncinya di sini adalah untuk mengesahkan sejurus selepas penghijrahan selesai bahawa semuanya dimigrasikan sepenuhnya dan berfungsi seperti yang anda harapkan. Kebiasaannya tidak praktikal untuk mengesahkan semuanya, jadi anda akhirnya mengesahkan apa yang anda harapkan sebagai sampel yang mewakili.
• Anda mesti mempunyai broad pengetahuan tentang persekitaran Cognos dan perkara-perkara yang bergantung padanya. Sebagai contoh, kubus bersejarah dengan pemandangan tersuai HARUS dibina semula sekiranya anda melalui laluan NSM.
• Bagaimana jika anda atau syarikat yang anda telah mengeluarkan migrasi ruang nama untuk melupakan sesuatu, seperti ... aplikasi SDK? Setelah menukar suis, perkara ini akan berhenti berfungsi jika tidak dikemas kini dengan betul. Adakah anda mempunyai pemeriksaan yang tepat untuk memperhatikannya dengan segera, atau adakah beberapa minggu / bulan sebelum gejala mula muncul?
• Sekiranya anda telah mengalami banyak peningkatan Cognos, anda berpotensi mempunyai objek di Gedung Kandungan anda yang berada dalam keadaan tidak konsisten. Sekiranya anda tidak berfungsi dengan SDK, anda tidak dapat melihat objek yang berada dalam keadaan ini.

Mengapa Penggantian Ruang Names adalah Pilihan Terbaik

Faktor risiko utama dan langkah memakan masa yang baru saya gariskan dihapuskan apabila kaedah Penggantian Ruang Nama Persona digunakan. Dengan menggunakan pendekatan Penggantian Namespace, anda mempunyai 5 minit waktu tutup Cognos, dan kandungan anda tidak perlu berubah. Kaedah "Baik" sepertinya "tanpa otak" yang kering dan kering bagi saya. Malam Jumaat adalah untuk bersantai, tidak menekankan kenyataan bahawa Pengurus Kandungan anda baru saja terhempas di tengah Migrasi Namespace.