Khi bạn cần cấu hình lại môi trường Cognos hiện có để sử dụng một nguồn bảo mật bên ngoài khác (ví dụ: Active Directory, LDAP, v.v.), bạn có thể thực hiện một số phương pháp. Tôi thích gọi họ là "Tốt, xấu và xấu." Trước khi chúng ta khám phá các cách tiếp cận Tốt, Xấu và Xấu này, chúng ta hãy xem xét một số trường hợp phổ biến có xu hướng thúc đẩy các thay đổi không gian tên xác thực trong môi trường Cognos.
Các động lực kinh doanh phổ biến:
Cập nhật phần cứng hoặc hệ điều hành - Hiện đại hóa phần cứng / cơ sở hạ tầng BI có thể là một trình điều khiển thường xuyên. Mặc dù phần còn lại của Cognos có thể chạy như một nhà vô địch trên phần cứng mới kiểu dáng đẹp và hệ điều hành 64 bit hiện đại của bạn, nhưng chúc may mắn khi chuyển phiên bản Access Manager khoảng năm 2005 của bạn sang nền tảng mới đó. Access Manager (được phát hành lần đầu với Series 7) là một sự lưu giữ đáng kính từ những ngày đã qua đối với nhiều khách hàng của Cognos. Đó là lý do duy nhất mà nhiều khách hàng vẫn tiếp tục sử dụng phiên bản Windows Server 2003 cũ nát đó. Bài viết này đã có mặt trên tường đối với Access Manager trong một thời gian khá dài. Nó là phần mềm kế thừa. Bạn có thể chuyển đổi khỏi nó càng sớm thì càng tốt.
Tiêu chuẩn hóa ứng dụng- Các tổ chức muốn hợp nhất xác thực tất cả các ứng dụng của họ dựa trên một máy chủ thư mục công ty được quản lý tập trung (ví dụ: LDAP, AD).
Sáp nhập & Mua lại- Công ty A mua Công ty B và cần môi trường Cognos của Công ty B để trỏ đến máy chủ thư mục của Công ty A mà không gây ra sự cố cho nội dung hoặc cấu hình BI hiện có của họ.
Sự thoái vốn của công ty- Điều này ngược lại với kịch bản sáp nhập, một phần của công ty được tách ra thành thực thể của chính nó và bây giờ cần chỉ ra môi trường BI hiện có của nó tại nguồn bảo mật mới.
Tại sao Di chuyển không gian tên có thể lộn xộn
Việc trỏ môi trường Cognos tới một nguồn bảo mật mới không đơn giản như việc thêm bảng tên mới với những người dùng, nhóm và vai trò giống nhau, ngắt kết nối không gian tên cũ và VOILA! - tất cả người dùng Cognos của bạn trong không gian tên mới đều được so khớp với nội dung của chúng. Trên thực tế, bạn thường có thể kết thúc với một mớ hỗn độn đẫm máu trên tay, và đây là lý do tại sao…
Tất cả các nguyên tắc bảo mật của Cognos (người dùng, nhóm, vai trò) được tham chiếu bởi một định danh duy nhất được gọi là CAMID. Ngay cả khi tất cả các thuộc tính khác bằng nhau, CAMID cho người dùng trong hiện tại không gian tên xác thực sẽ không giống như CAMID cho người dùng đó trong mới không gian tên. Điều này có thể tàn phá môi trường Cognos hiện có. Ngay cả khi bạn chỉ có một vài người dùng Cognos, bạn cần nhận ra rằng tham chiếu CAMID tồn tại ở NHIỀU nơi khác nhau trong Cửa hàng nội dung của bạn (và thậm chí có thể tồn tại bên ngoài Cửa hàng nội dung của bạn trong các mô hình Khung, Mô hình Biến áp, Ứng dụng TM1, Hình khối, Ứng dụng lập kế hoạch, v.v. ).
Nhiều khách hàng của Cognos nhầm tưởng rằng CAMID thực sự chỉ quan trọng đối với nội dung Thư mục của tôi, sở thích của người dùng, v.v. Điều này không thể khác xa sự thật. Không chỉ là vấn đề về số lượng người dùng mà bạn có, mà còn là số lượng đối tượng Cognos mà bạn cần quan tâm. Có hơn 140 loại đối tượng Cognos khác nhau chỉ trong Content Store, nhiều trong số đó có thể có nhiều tham chiếu CAMID.
Ví dụ:
- Không có gì lạ khi một Lịch biểu duy nhất trong Cửa hàng nội dung của bạn có nhiều tham chiếu CAMID (CAMID của chủ sở hữu lịch biểu, CAMID của người dùng mà lịch biểu sẽ chạy, CAMID của mỗi người dùng hoặc danh sách phân phối mà nó sẽ gửi kết quả báo cáo được tạo qua email tới , Vân vân.).
- Mọi đối tượng trong Cognos đều có một chính sách bảo mật điều chỉnh người dùng nào có thể truy cập đối tượng (hãy nghĩ đến “Tab Quyền”). Một chính sách bảo mật duy nhất treo thư mục đó trong Cognos Connection có tham chiếu CAMID cho từng người dùng, nhóm & vai trò được chỉ định trong chính sách đó.
- Hy vọng rằng bạn hiểu đúng - danh sách này cứ tiếp tục!
Không có gì lạ khi một Kho nội dung lớn chứa hàng chục nghìn tham chiếu CAMID (và chúng tôi đã thấy một số lớn với hàng trăm nghìn).
Bây giờ, hãy làm toán về những gì trong qua một vài thao tác đơn giản về Cognos môi trường và bạn có thể thấy rằng bạn có khả năng đang xử lý hàng đống tham chiếu CAMID. Nó có thể là một cơn ác mộng! Việc chuyển đổi (hoặc cấu hình lại) không gian tên xác thực của bạn có thể khiến tất cả các tham chiếu CAMID này ở trạng thái không thể giải quyết được. Điều này chắc chắn dẫn đến các vấn đề về cấu hình và nội dung Cognos (ví dụ: lịch biểu không còn chạy, nội dung không còn được bảo mật theo cách bạn nghĩ, các gói hoặc khối không còn triển khai chính xác bảo mật cấp dữ liệu, mất nội dung Thư mục của tôi và người dùng sở thích, v.v.).
Phương pháp chuyển đổi không gian tên Cognos
Bây giờ, khi biết rằng môi trường Cognos có thể có hàng chục nghìn tham chiếu CAMID sẽ yêu cầu tìm kiếm, ánh xạ và cập nhật lên giá trị CAMID mới tương ứng của chúng trong không gian tên xác thực mới, hãy thảo luận về các phương pháp Tốt, Xấu & Xấu để giải quyết vấn đề này.
The Good: Thay thế không gian tên bằng Persona
Phương pháp đầu tiên (Thay thế không gian tên) sử dụng Motio'S, IQ cá nhân sản phẩm. Theo cách tiếp cận này, không gian tên hiện tại của bạn được “thay thế” bằng một không gian tên Persona đặc biệt cho phép bạn ảo hóa tất cả các nguyên tắc bảo mật được tiếp xúc với Cognos. Các nguyên tắc bảo mật tồn tại từ trước sẽ được tiếp xúc với Cognos với cùng một CAMID như trước đây, mặc dù chúng có thể được hỗ trợ bởi bất kỳ nguồn bảo mật bên ngoài nào (ví dụ: Active Directory, LDAP hoặc thậm chí là cơ sở dữ liệu Persona).
Phần hay về cách tiếp cận này là nó KHÔNG yêu cầu thay đổi nội dung Cognos của bạn. Điều này là do Persona có thể duy trì CAMID của các nguyên tắc đã có từ trước, ngay cả khi chúng được hỗ trợ bởi một nguồn mới. Vậy… tất cả hàng chục nghìn tham chiếu CAMID đó trong Cửa hàng nội dung, mô hình bên ngoài và hình khối lịch sử của bạn? Họ có thể ở lại chính xác như họ đang có. Không có công việc cần thiết.
Đây là cách tiếp cận ít rủi ro nhất, tác động thấp nhất mà bạn có thể sử dụng để chuyển đổi môi trường Cognos hiện có của mình từ nguồn bảo mật bên ngoài này sang nguồn bảo mật bên ngoài khác. Nó có thể được thực hiện trong chưa đầy một giờ với khoảng 5 phút thời gian chết của Cognos (thời gian chết của Cognos duy nhất là khởi động lại Cognos sau khi bạn đã định cấu hình không gian tên Persona).
The Bad: Di chuyển không gian tên bằng Persona
Nếu cách tiếp cận dễ dàng, ít rủi ro không phải là tách trà của bạn, thì đó is một tùy chọn khác.
Persona cũng có thể được sử dụng để thực hiện Di chuyển không gian tên.
Điều này liên quan đến việc cài đặt một không gian tên xác thực thứ hai trong môi trường Cognos của bạn, ánh xạ (hy vọng) tất cả các nguyên tắc bảo mật hiện có của bạn (từ không gian tên cũ) đến các nguyên tắc tương ứng trong không gian tên mới, sau đó (đây là phần thú vị), tìm kiếm, ánh xạ và cập nhật mọi tham chiếu CAMID duy nhất tồn tại trong môi trường Cognos của bạn: Kho nội dung, Mô hình khung, Mô hình máy biến áp, Hình khối lịch sử, Ứng dụng TM1, Ứng dụng lập kế hoạch, v.v.
Cách tiếp cận này có xu hướng căng thẳng và đòi hỏi nhiều quy trình, nhưng nếu bạn là kiểu quản trị viên Cognos, người cần một chút adrenaline để cảm thấy còn sống (và không bận tâm đến các cuộc gọi điện thoại vào đêm khuya / sáng sớm), thì có lẽ… điều này là lựa chọn bạn đang tìm kiếm?
Persona có thể được sử dụng để giúp tự động hóa các phần của quá trình này. Nó sẽ giúp bạn tạo ánh xạ giữa các nguyên tắc bảo mật cũ và các nguyên tắc bảo mật mới, tự động hóa logic “tìm, phân tích, cập nhật” của lực lượng vũ phu cho nội dung trong kho nội dung của bạn, v.v. Những gì Persona có thể tự động hóa một số tác vụ ở đây, nhiều công việc theo cách tiếp cận này liên quan đến “con người và quy trình” hơn là công nghệ thực tế.
Ví dụ: biên dịch thông tin về mọi mô hình Framework Manager, mọi mô hình Transformer, mọi ứng dụng Planning / TM1, mọi ứng dụng SDK, ai sở hữu chúng và lập kế hoạch về cách chúng sẽ được cập nhật và phân phối lại có thể là rất nhiều công việc. Điều phối sự cố cho từng môi trường Cognos mà bạn muốn thử điều này và các cửa sổ bảo trì trong đó bạn có thể thử di chuyển có thể liên quan đến việc lập kế hoạch và Cognos “thời gian ngừng hoạt động”. Việc đưa ra (và thực hiện) một kế hoạch kiểm tra hiệu quả cho sau khi di chuyển của bạn cũng có thể khá khó khăn.
Cũng khá bình thường là bạn sẽ muốn thực hiện quy trình này trước tiên trong môi trường phi sản xuất trước đang thử nó trong sản xuất.
Mặc dù Di chuyển không gian tên với Persona hoạt động hiệu quả (và nó tốt hơn nhiều so với cách tiếp cận “Xấu xí” bên dưới), nhưng nó xâm lấn hơn, rủi ro hơn, liên quan đến nhiều nhân sự hơn và mất nhiều giờ nhân công hơn nhiều so với Thay thế không gian tên. Thông thường, việc di chuyển cần được thực hiện trong “giờ tắt”, trong khi môi trường Cognos vẫn trực tuyến, nhưng người dùng cuối sử dụng biểu mẫu bị hạn chế.
Xấu xí: Dịch vụ di chuyển không gian tên thủ công
Phương pháp Ugly liên quan đến cách tiếp cận không thể tin được là cố gắng thủ công di chuyển từ không gian tên xác thực này sang không gian tên xác thực khác. Điều này liên quan đến việc kết nối không gian tên xác thực thứ hai với môi trường Cognos của bạn, sau đó cố gắng di chuyển hoặc tạo lại phần lớn nội dung và cấu hình Cognos hiện có theo cách thủ công.
Ví dụ: bằng cách sử dụng phương pháp này, quản trị viên Cognos có thể cố gắng:
- Tạo lại các nhóm và vai trò trong không gian tên mới
- Tạo lại tư cách thành viên của các nhóm và vai trò đó trong không gian tên mới
- Sao chép thủ công nội dung thư mục của tôi, tùy chọn người dùng, tab cổng, v.v. từ mỗi tài khoản nguồn sang mỗi tài khoản đích
- Tìm mọi Bộ chính sách trong Cửa hàng nội dung và cập nhật nó để tham chiếu đến các nguyên tắc tương đương trong không gian tên mới theo đúng cách mà nó đã tham chiếu đến các nguyên tắc từ không gian tên cũ
- Tạo lại tất cả các lịch biểu và điền chúng với thông tin đăng nhập, người nhận tương ứng, v.v.
- Đặt lại tất cả các thuộc tính "chủ sở hữu" và "liên hệ" của tất cả các đối tượng trong Cửa hàng nội dung
- [Khoảng 40 thứ khác trong Cửa hàng nội dung mà bạn sẽ quên]
- Tập hợp tất cả các mô hình FM có bảo mật mức dữ liệu hoặc đối tượng:
- Cập nhật từng mô hình cho phù hợp
- Xuất bản lại từng mô hình
- Phân phối lại mô hình đã sửa đổi trở lại tác giả ban đầu
- Công việc tương tự đối với các mô hình Máy biến áp, Ứng dụng TM1 và Ứng dụng lập kế hoạch được bảo mật dựa trên không gian tên ban đầu
- [và nhiều thứ khác nữa]
Trong khi một số người bạo dâm Cognos có thể bí mật cười khúc khích với niềm vui khi có ý tưởng nhấp vào 400,000 lần trong Cognos Connection, đối với hầu hết những người nhạy cảm, cách tiếp cận này có xu hướng cực kỳ tẻ nhạt, tốn thời gian và dễ xảy ra lỗi. Tuy nhiên, đó không phải là vấn đề lớn nhất với cách tiếp cận này.
Vấn đề lớn nhất với cách tiếp cận này là nó gần như luôn luôn dẫn đến một cuộc di chuyển không hoàn chỉnh.
Bằng cách sử dụng phương pháp này, bạn (đau đớn) tìm và cố gắng ánh xạ các tham chiếu CAMID mà bạn biết về… nhưng có xu hướng để lại tất cả các tham chiếu CAMID đó mà bạn không biết về.
Một khi bạn nghĩ bạn đã hoàn thành với cách tiếp cận này, bạn thường không có thật không làm xong.
Bạn có các đối tượng trong kho nội dung của mình không còn được bảo mật theo cách bạn nghĩ nữa… bạn có lịch biểu không chạy theo cách chúng từng chạy, bạn có dữ liệu không còn được bảo mật theo cách bạn nghĩ đó là, và bạn thậm chí có thể có lỗi không giải thích được cho một số hoạt động bạn thực sự không thể đặt ngón tay của bạn vào.
Những lý do tại sao các phương pháp tiếp cận tồi tệ và xấu xí có thể gây kinh hoàng:
- Di chuyển không gian tên tự động gây nhiều áp lực cho Trình quản lý nội dung. Việc kiểm tra và cập nhật tiềm năng của mọi đối tượng trong Cửa hàng nội dung của bạn, thường có thể dẫn đến hàng chục nghìn lệnh gọi SDK tới Cognos (hầu như tất cả đều đi qua Trình quản lý nội dung). Truy vấn bất thường này thường làm tăng tốc độ sử dụng / tải bộ nhớ và khiến Trình quản lý nội dung có nguy cơ gặp sự cố trong quá trình di chuyển. Nếu bạn đã có bất kỳ sự bất ổn nào trong môi trường Cognos của mình, bạn nên rất sợ cách tiếp cận này.
- Namespace Migrations yêu cầu một cửa sổ bảo trì khá lớn. Cognos cần được bổ sung, nhưng bạn không muốn mọi người thực hiện thay đổi trong quá trình di chuyển. Điều này thường sẽ yêu cầu quá trình di chuyển không gian tên phải bắt đầu khi không có ai khác làm việc, giả sử lúc 10 giờ tối thứ Sáu. Không ai muốn bắt đầu một dự án căng thẳng vào lúc 10 giờ tối vào một tối thứ sáu. Chưa kể, khả năng tinh thần của bạn có thể không ở vào những đêm làm việc hiệu quả nhất và những ngày cuối tuần cho một dự án mà làm đòi hỏi bạn phải nhạy bén!
- Tôi đã đề cập đến Việc di chuyển không gian tên tốn nhiều thời gian và công sức. Dưới đây là một số chi tiết về điều đó:
- Quá trình lập bản đồ nội dung phải được thực hiện với độ chính xác và đòi hỏi sự hợp tác của nhóm và nhiều giờ lao động.
- Cần nhiều lần chạy khô để kiểm tra lỗi hoặc sự cố khi di chuyển. Quá trình di chuyển điển hình không diễn ra hoàn hảo trong lần thử đầu tiên. Bạn cũng sẽ cần một bản sao lưu hợp lệ của Cửa hàng Nội dung của mình để có thể khôi phục trong những trường hợp như vậy. Chúng tôi đã thấy nhiều tổ chức không có sẵn một bản sao lưu tốt (hoặc có một bản sao lưu mà họ không nhận ra là nó chưa hoàn chỉnh).
- Bạn cần xác định mọi thứ bên ngoài Cửa hàng nội dung có thể bị ảnh hưởng (mô hình khung, mô hình máy biến áp, v.v.). Nhiệm vụ này có thể liên quan đến sự phối hợp giữa nhiều nhóm (đặc biệt là trong môi trường BI chia sẻ lớn).
- Bạn cần một kế hoạch kiểm tra tốt bao gồm những người đại diện với các mức độ truy cập khác nhau vào nội dung Cognos của bạn. Chìa khóa ở đây là xác minh ngay sau khi quá trình di chuyển hoàn tất rằng mọi thứ đã được di chuyển hoàn toàn và hoạt động như bạn mong đợi. Việc xác minh mọi thứ thường không thực tế, vì vậy bạn sẽ phải xác minh những gì bạn hy vọng là các mẫu đại diện.
- Bạn phải có broad kiến thức về môi trường Cognos và những thứ phụ thuộc vào nó. Ví dụ: các hình khối lịch sử với các chế độ xem tùy chỉnh PHẢI được xây dựng lại nếu bạn đi theo lộ trình NSM.
- Điều gì sẽ xảy ra nếu bạn hoặc công ty bạn đã thuê ngoài việc di chuyển không gian tên để quên điều gì đó, chẳng hạn như… ứng dụng SDK? Khi bạn đã bật công tắc, những thứ này sẽ ngừng hoạt động nếu chúng không được cập nhật đúng cách. Bạn có các biện pháp kiểm tra thích hợp để nhận thấy điều này ngay lập tức hay sẽ mất vài tuần / tháng trước khi các triệu chứng bắt đầu xuất hiện?
- Nếu bạn đã trải qua nhiều lần nâng cấp Cognos, bạn có thể có các đối tượng trong Cửa hàng nội dung của mình ở trạng thái không nhất quán. Nếu bạn không làm việc với SDK, bạn sẽ không thể thấy đối tượng nào ở trạng thái này.
Tại sao thay thế không gian tên là lựa chọn tốt nhất
Các yếu tố rủi ro chính và các bước tốn thời gian mà tôi vừa nêu ra sẽ bị loại bỏ khi sử dụng phương pháp Thay thế không gian tên Persona. Sử dụng phương pháp Thay thế không gian tên, bạn có 5 phút thời gian chết của Cognos và không nội dung nào của bạn phải thay đổi. Đối với tôi, phương pháp “Tốt” có vẻ như là một phương pháp “không có trí tuệ” và khô khan. Tối thứ Sáu là để thư giãn, không phải căng thẳng về thực tế là Trình quản lý nội dung của bạn vừa gặp sự cố khi đang Di chuyển không gian tên.
