Fermer

octobre 3, 2018

OBIEE 12c Security: authentification LDAP et autorisation de base de données


OBIEE 12c utilise par défaut le répertoire utilisateur interne de Weblogic à des fins de sécurité. Ceci n’est efficace que lorsque le nombre d’utilisateurs est très limité et ne doit pas augmenter beaucoup au fil des ans. Toutefois, dans les situations commerciales réelles, presque toutes les implémentations nécessitent de configurer un moyen plus robuste d'implémentation de l'authentification et de l'autorisation afin de permettre à de plus en plus d'utilisateurs d'accéder à OBIEE sans avoir à changer beaucoup de choses de la part d'OBIEE. LDAP est l’un des moyens les plus efficaces d’autoriser les utilisateurs à se connecter avec des identifiants communs, qu’ils utilisent sur tout le réseau de la société et qui permettent d’accéder à OBIEE via le même annuaire actif central que les applications. Il est préférable d’implémenter le répertoire actif LDAP en plus du répertoire utilisateur weblogic interne afin que les identifiants weblogic et les autres identifiants administratifs restent inchangés du fait de cette modification. Si nécessaire, le répertoire actif par défaut peut également être utilisé séparément du répertoire LDAP. Il est préférable de créer un nouveau domaine pour la nouvelle authentification LDAP, permettant ainsi de basculer facilement d'un royaume à un autre, selon les besoins.

  • Oracle Business Intelligence Enterprise Edition 12c g doit être installé et en cours d'exécution.
  • Le serveur LDAP doit être utilisé comme le magasin d'identité contenant les utilisateurs doit déjà être configuré.

Ce document décrit les paramètres de sécurité dans l'environnement OBIEE 12.

Authentification: Authentification Active Directory – LDAP

Modifications de la console Weblogic

Connectez-vous à WelbLogic Manager à l'aide de weblogic. Compte. Cliquez sur bi -> Security Realms dans le panneau de gauche

http://machine.domain.com:9500/console

Cliquez sur "myrealm". La configuration -> L'onglet Général s'ouvrirait.

Cliquez sur l'onglet “Fournisseurs”. Voici les trois ‘fournisseurs d’authentification’ par défaut suivants:

Cliquez sur le fournisseur “DefaultAuthenticator”. Cliquez sur Lock and Edit -> Modifiez l’indicateur de contrôle de Required en Suffisant, puis cliquez sur Save.

Une fois les paramètres mis à jour, le message s'affiche avec succès, cliquez sur Activer les modifications.

Le bouton [ Toutes les modifications ont été activées. Cependant, 2 éléments doivent être redémarrés pour que les modifications prennent effet Le message "serait affiché. Attendez la fin du processus complet avant de redémarrer le serveur OBIEE.

Le premier fournisseur d'authentification LDAP doit être configuré. Pour cela, allez dans l'onglet Fournisseurs -> Verrouiller et modifier, puis cliquez sur Nouveau.

Nommez-le "Edir_LDAP". Sélectionnez le type comme IPlanetAuthenticator . Cliquez sur OK.

Une fois l'opération terminée, ouvrez à nouveau le fournisseur Edir_LDAP et définissez l'indicateur de contrôle sur Suffisant. Enregistrez-le.

Entrez les détails suivants dans l'onglet spécifique du fournisseur:

Hôte: hostname.domain.com

Port: 123

Principal: uid = utilisateur1, ou = système, ou = utilisateurs, dc = domaine, dc = com

Credential: (Entrez le mot de passe pour le Compte principal indiqué ci-dessus)

Confirmez vos identifiants: Ressaisissez-le

DN de base utilisateur: dc = domaine, dc = com

Tous les utilisateurs filtrent: (& (uid = *) (objectclass = person))

Filtre de nom d'utilisateur: (& (uid =% u) (objectclass = person))

Portée de la recherche d'utilisateurs: sous-arbre [19659008] Attribut de nom d'utilisateur: uid

Classe d'objet utilisateur: personne

DN de base du groupe: dc = statestreet, dc = com

Groupe à partir du filtre de nom: (| (((( cn =% g) (objectclass = groupofUniqueNames)) (& (cn =% g) (objectclass = groupOfURLs)))

Portée de la recherche de groupe: Sous-arbre

Recherche de membre de groupe: illimité

Max Recherche de membres de groupe Niveau: 0

Groupe du filtre utilisateur pour Memberuid: (& (memberuid =% M) (objectclass = groupofuniquenames))

Attribut de nom de groupe statique: cn

Classe d'objet de groupe statique: groupofuniquenames

Attribut de membre statique (DN): uniquemember

Nom de groupe (& (uniquemember =% M) (objectclass = groupofuniquenames))

Attribut de nom de groupe dynamique: cn

Classe d'objet de groupe dynamique: groupofURLs

Taille du pool de connexions: 6

Temporisation de connexion: 0

Limite de nouvelle tentative de connexion: 1

Délai de connexion parallèle: 0

Résultats Limite de temps: 0

Suivre les renvois: vérifier

Cache activé: vérifier

Taille du cache : 32

Cache TTL: 60

Statistiques du cache activées: cocher

Attribut de guidage: nsuniqueid

Domaine d'identification: Vide

Non besoin de modifier l'onglet Performance. Gardez le par défaut. Cliquez sur Enregistrer, puis sur Activer les modifications. Le message suivant apparaît en vert:

Redémarrez les serveurs OBIEE après avoir exécuté les scripts ./stop.sh et ./start.sh situés dans $ Oracle_Home / user_projects / domaines / bi / bitools / bin.

Une fois que l’on commence à valider si l’authentification LDAP est correctement configurée, recherchez un ID utilisateur particulier en revenant à la console weblogic -> 'mysecurityrealm' >> Utilisateurs et groupes >> Utilisateurs> > Personnalisez ce tableau.

Entrez un ID utilisateur sous "Critères" et appuyez sur Entrée. Si l'authentification LDAP est correctement configurée, vous pourrez extraire cet ID utilisateur du serveur:

Modifications de la configuration d'Enterprise Manager

L'étape suivante consiste à configurer OBIEE pour afficher les utilisateurs. auprès de votre nouveau fournisseur LDAP, en plus des utilisateurs du répertoire interne weblogic. Pour ce faire, vous devez vous connecter à Enterprise Manager à l'aide de votre compte utilisateur admin

Une fois connecté, dans le menu déroulant Domaine Weblogic, sélectionnez Sécurité -> Configuration du fournisseur de sécurité

.

À partir de l'écran Security Provider Configuration (Configuration du fournisseur de sécurité), développez «Security Store Provider» (Fournisseur de magasin de sécurité), puis développez Identity Store Provider (Fournisseur de magasin d'identité), puis cliquez sur «Configurer»

. nouvelle propriété personnalisée. Cliquez sur le bouton + Ajouter.

Entrez ensuite le nom de la propriété "virtualize" et la valeur "true". Cliquez à nouveau sur OK pour enregistrer:

Cliquez à nouveau sur OK.

Ajoutez de la même manière une propriété de plus d'OPTIMIZE_SEARCH = true .

Redémarrez les serveurs OBIEE après avoir exécuté les scripts ./stop.sh et ./start.sh situés dans $ Oracle_Home / user_projects / domaines / bi / bitools / bin.

Sécurité au niveau des objets: enregistrement de groupes dans la base de données

Nous examinerons les paramètres permettant de connecter le système à un ensemble externe de tables de base de données contenant l'appartenance aux groupes des utilisateurs authentifiés via LDAP.

Conditions préalables

  • Un schéma de base de données approprié contenant au moins une table contenant les groupes requis et une table de mappage qui mappe ces groupes aux noms des utilisateurs authentifiés par LDAP doivent être en cours d'exécution et accessibles à partir du serveur WebLogic Server sur lequel Oracle BI EE est exécuté. Il existe un travail qui extrait les responsabilités de l'utilisateur correspondant aux données du groupe d'utilisateurs d'EBS et les charge dans l'entrepôt de données. Supposons que le nom de la table est STT_AUTHORIZATION_GROUPS ..
  • Copiez le fichier «bi-sql-group-provider.jar» à partir de l’emplacement $ ORACLE_HOME / bi / plugins / security dans $ ORACLE_HOME / wlserver / server / lib / mbeantypes. Arrêtez et démarrez l'ensemble du serveur OBIEE à l'aide des scripts présents dans $ Oracle_Home / user_projects / domains / bi / bitools / bin.

Configurez la source de données

Connectez-vous à WebLogic Console et cliquez sur 'Services' >> 'Sources de données. ':

Lock and Edit.

Cliquez sur Nouveau -> source de données générique.

Entrez les détails marqués en rouge, puis cliquez sur Suivant.

Sélectionnez le pilote suivant, puis cliquez sur Suivant.

]

Cliquez sur Suivant.

Entrez les détails suivants et cliquez sur Suivant.

Vérifiez tout les détails et la configuration de test. Ça devrait réussir. Cliquez sur Suivant.

Sélectionnez la cible, puis cliquez sur Terminer.

La source de données sera créée.

Créez ensuite un fournisseur BISQLGroupProvider pour cette source de données JDBC.

Configuration de l'authentificateur SQL de BISQLGroupProvider

Retournez à Services >> Sécurité Realms >> mysecurityrealms >> Fournisseurs. Cliquez sur Nouveau.

Indiquez le nom BIGroups and Type BISQLGroupProvider. Cliquez sur OK.

Avis «Indicateur de contrôle» sous configuration >> onglet commun pour «BIGroups». Il doit être facultatif.

Cliquez sur l'onglet "Spécifique au fournisseur". Ce fournisseur d’authentification utilise ‘BIGroupsSource’ comme source de données JDBC. Nous parlerons de la configuration de cette source de données dans les captures d'écran suivantes. Suivez les conditions préalables pour configurer ‘BIGroupsSource’ avant de l’ajouter en tant que source de données. Les étapes sont énumérées dans la section suivante.

Source des données JNDIName: JDBC / BIGroupsSource

Recherche de membre du groupe: Illimité

Recherche maximum de membres du groupe Niveau: 0

Groupes SQLListe: SELECT WEB_GROUP FROM TABLE_NAME WHERE WEB_GROUP LIKE? 19659014] Le groupe SQL existe: SELECT WEB_GROUP FROM TABLE_NAME WHERE WEB_GROUP =?

Membre SQLIs: SELECT USERID DE TABLE_NAME WHERE WEB_GROUP =? et substr (UPPER (USERID), 2, 6) = substr (UPPER (?), 2, 6)

Groupes de membres SQLList: SELECT WEB_GROUP FROM TABLE_NAME WHERE SUBSTR (UPPER (USERID), 2, 6) = SUBSTR ( UPPER (?), 2, 6)

Descriptions prises en charge: check

Description du groupe SQLGet: SELECT WEB_GROUP FROM TABLE_NAME WHERE WEB_GROUP =?

. Retournez à la liste des fournisseurs et réorganisez comme ci-dessous. Activer les modifications.

Créez des rôles d'application personnalisés et affectez-les à des groupes à l'aide de EM

Nous avons trois groupes personnalisés GPS_AUTHOR, GPS_ADMIN et GPS_CONSUMER.

Connectez-vous à Oracle Enterprise Manager

Développez l’arborescence du domaine Weblogic sur le côté gauche

Sélectionnez Sécurité -> Rôles d’application.

Par défaut, trois rôles d'application sont fournis avec l'installation et un superutilisateur: weblogic.

Créez ici trois rôles d'application personnalisés "GPS_ADMIN", "GPS_AUTHOR 'et' GPS_CONSUMER 'et assignez-les à des groupes respectifs.

Les captures d'écran ci-dessous montrent comment chaque rôle GPS personnalisé est attribué à un groupe GPS:

Le rôle de GPS_ADMIN devrait avoir les mêmes droits que BIServiceAdministrator et GPS_AUTHOR devrait avoir les droits de BIContentAuthor. Donc, attribuez le rôle GPS_ADMIN, GPS_AUTHOR sous la boîte BIServiceAdministrator, respectivement le rôle BIContentAuthor.

Redémarrez le serveur OBIEE dans son intégralité. Mon compte >> Rôles et groupes de catalogues. Vous devez voir votre rôle d'application personnalisé ici.

Attribuer des autorisations aux rôles d'application à l'aide de l'analyse

Connectez-vous à l'analyse à l'aide d'un compte weblogic et accédez à Administration >> Sécurité >> Gérer les privilèges

. composants à chaque rôle d'application personnalisé. C'est un processus qui se passe d'explication.




Source link