[转]使用 LDAP 组或角色限制访问,包含部分单点登录SSO说明
参考:
http://www-01.ibm.com/support/knowledgecenter/api/content/SSEP7J_10.2.2/com.ibm.swg.ba.cognos.crn_arch.10.2.2.doc/c_restrict_access_using_ldap_groups_or_roles.html#Restrict_Access_Using_LDAP_Groups_or_Roles?locale=zh
使用 LDAP 组或角色限制访问
替代方法基于使用 LDAP 组织单元 (OU)。
您是否必须创建组或角色取决于认证提供程序。如果您使用 Oracle 目录服务器,那么必须创建角色,因为此提供程序将角色成员资格用作其用户帐户信息的一部分。如果您使用 Active Directory,那么必须创建组,因为此提供程序将组成员资格用作其用户帐户信息的一部分。
使用角色
使用 Oracle 目录服务器来为此技术创建角色。有关创建此类型角色的更多信息,请参阅 Oracle 目录服务器文档。
确保在 IBM Cognos Configuration 的安全、认证类别中正确定义了以下参数。
- 用户查找
将用户查找字符串配置为包含将用于对 ${userID} 变量进行认证的属性。此变量采用在登录时输入的用户名,并将该变量替换为值,然后将搜索字符串传递到目录服务器。角色的专有名称 (DN) 也必须包括在字符串中。
以下为查找字符串的示例:
(&(uid=${userID})(nsrole=cn=Cognos,ou=people,dc=cognos,dc=com))
在此示例中,组织单元 (ou) 中的 IBM Cognos BI 角色的所有成员(已命名人员)具有 IBM Cognos Connection 的访问权限。
- 是否使用外部身份?
如果已启用单点登录,请将值设置为 True。
- 外部身份映射
如果是否使用外部身份?设置为 True,请指定此属性。
构造字符串来在 LDAP 目录服务器中查找用户。在登录时,此字符串中的环境变量 ${environment("REMOTE_USER")} 会替换为用户名。
在以下示例中,Web 浏览器会设置环境变量 REMOTE_USER,其匹配用户的 uid 属性:
(&(uid=${environment("REMOTE_USER")})(nsrole=cn=Cognos,ou=people,dc=cognos,dc=com))
在某些情况下,REMOTE_USER 变量(通常是 DOMAIN\username 格式)不能匹配任何用户 uid 属性。要解决此问题,将 replace 函数包括在字符串中,如以下示例中所示:
(&(uid=${replace(${environment("REMOTE_USER")},"ABC\\","")})(nsrole=cn=Cognos,ou=people,dc=cognos,dc=com))
如果包括 replace 函数,那么域名(在此示例中为 ABC)会替换为空字符串,且仅用户名会传递到目录服务器。
域名在此上下文中区分大小写。
创建角色之后,使用 IBM Cognos Configuration 配置它,以访问 IBM Cognos Connection。角色还可以添加到 Cognos 名称空间。
使用组
使用 Active Directory 来为此技术创建组。此技术涉及对用户查找字符串的修改。由于 Active Directory 不具有此属性,因此无法使用它。而是使用相关联的 LDAP 提供程序。
确保在 IBM Cognos Configuration 的安全、认证类别中正确指定了以下参数。
- 用户查找
将查找字符串配置为包含将用于对 ${userID} 变量进行认证的属性。此变量采用在登录时输入的用户名,并将该变量替换为值,然后将搜索字符串传递到目录服务器。组的专有名称 (DN) 也必须包括在字符串中。
以下为查找字符串的示例:(&(sAMAccountName=${userID})(memberOf=cn=ReportNet,ou=Groups,dc=cognos,dc=com))
- 是否使用外部身份?
如果已启用单点登录,请将值设置为 True。
- 外部身份映射
如果是否使用外部身份?设置为 True,请指定此属性。
构造字符串来在 LDAP 目录服务器中查找用户。在登录时,此字符串中的环境变量 ${environment("REMOTE_USER")} 会由用户名替换,然后字符串会传递到目录服务器。
在以下示例中,Web 浏览器会设置环境变量 REMOTE_USER,其匹配用户的 uid 属性。从浏览器会话读取环境变量,而不是将硬编码的sAMAccountName 值替换为 ${userID}。(&(sAMAccountName=${environment("REMOTE_USER")})(memberOf=cn=Cognos,cn=Groups,dc=cognos,dc=com))
创建组之后,使用 IBM Cognos Configuration 配置它,以访问 IBM Cognos Connection。组还可以添加到 Cognos 名称空间。
最新文章
- ABP文档 - Mvc 控制器
- Netty:数据处理流程
- 百度编辑器UEditor的使用方法
- Java static 静态代码块执行分析
- memcache命中统计
- Sonatype Nexus Maven仓库搭建和管理
- jellyfish K-mer analysis and genome size estimate
- storm集成kafka
- VCL -- Understanding the Message-Handling System
- java.lang.ClassNotFoundException: org.hibernate.annotations.common.reflection.MetadataProvider
- Nginx代码调试——gdb工具
- QS Network
- 交换右ctrl和capslock
- [C语言]贪吃蛇_结构数组实现
- Linux VMware新添加网络适配器找不到配置文件问题
- Itellij Idea全局搜索
- tensorflow学习之(二)Seesion的两种打开模式
- 【python】正则表达式中的转义问题
- [UE4]装饰器:Blackboard(装饰器的一种,不是黑板)
- 《剑指offer》第十八题(在O(1)时间删除链表结点)