用户安全管理

用户安全管理

AccessManager

AccessManager

Cognos在Impromptu6.0和PowerPlay6.6这一代的产品

中增加了AccessManager这个统一管理用户安全性的工

具。过去版本上所配的类似工具Authenticator就被现在

的AccessManager所取代。

Cognos要实现安全管理，势必要保存用户的安全认证数

据。可以有两种保存用户认证数据的形式：

(1)Directoryservers

(2)LocalAuthenticationExportFile(.lae)

2

两种保存用户认证数据的形式

♦第⑴种是Cognos借用NetscapeDirectoryServer来保

存安全认证数据。DirectoryServer遵从LDAP协议，它

并不是Cognos产品，Cognos也只利用了它的很小的

一部分，这一部分相当于安全信息的载体，好象是一个

存放安全认证数据的数据库。因此，在使用Access

Manager之前要先安装DirectoryServer并进行适当配

置。

♦第⑵种是Cognos把用户认证数据保存在一个本地的Jae

文件中。

3

用户和用户类

♦安全认证数据中包含了一些用户类和用户，一个用

户可以属于某个或某几个用户类。这里，用户类和

用户可以是多对多的关系，即一个用户类下可以包

含多个用户，一个用户也可以属于多个用户类。

♦我们可以增加一些新的用户和用户类，并决定它们

之间的归属关系。

♦每个用户有自己的口令。

♦在每个用户类上可以设权限，属于一个用户类的用

户都遵循这个用户类所设的权限。

进入AccessManager后

♦进入"AccessManager-Administration”后，出现

AccessManager的界面。在左边窗格中可以看到以

文件夹形式出现的两种认证数据的形式：

GDefault.csa-AccessManager-Administration-!□1x|

FileEditViewActionToolsHelp

倒Q|*1般僮Ix|哥|阑ma|®

AuthenticationInformation2object(s)

Manager-AdministrationNameType

因DirectoryServers__|DirectoryServersFolder

E.」LocalAuthenticationExportFiles__|LocalAuthenticationExp(Folder

ForHelp,pressFl

5

Connection和LAE文件

♦在DirectoryServers项的F一层是一个或多个Connection（连接）

的名字，包括主机名和端口号。

华eyot2.csa-AccessM-1□!x|

♦在LocalAuthentication

FileEditViewActionToolsHelpExportFile项的下一层

阖口X|电I回x［倒阖立是一个或多个.lae文件的

名字。

AuthenticationInformation

AccessManager-Administration

S-_JDirectoryServers

®由eyot:389<---------------------Connection

El-_|LocalAuthenticationExportFiles

国…电authen------------------------Jae文件

__|AuthenticationFiles

6

Connection

♦如果使用directoryservers这种认证数据的形式，就需

要建立Connection（连接）。

♦在儿台服务器上都可以安装DirectoryServer,在不同的

服务器上可能都存放有用户安全数据。要使用哪一台服

务器上的用户安全数据，就要先生里这台服务器，与它

连接，这就是Connection。初次运行AccessManager要

首先在directoryservers项下建Connection。至少要有

一个Connection。Connection的名字一般选用机器名和

端口号。

♦建立了一个Connection,也就是要使用放在它对应的服

务器上的DirectoryServer的用户安全数据。

uowuuoow^

建立Connection(续)

laiDirectoryServer^STATEINFOraSG,Properties2SJ

untimeCredentials|TicketService|

Directoryserverconnection

Host：

|STATEINFO

机器名Eort/SSLFort：Timeout：

|389|oAccessManager-Administration凶

gase(DN)：

Thed.ectoryserver.respond.

|dc=cognos

机器名Example-o=<org>,c=<country>篇定

后缀

「EnableSSL

厂RwqjiirwSSLfor*11,.Conner

确定|取消|应用@)|帮助|

9

建立Connection(续)

Pig।DirectoryServer*STATEINFO:389*Properties

凶如果管理员口令不是

GeneralCredentiaL^^fieketServiceadmin1234,要在此

-Directory(serverconnection-页给出。

|STATEINFOAdministratorAccess凶

Port/SSLFortSTATEINFO:389

(389~~

RuntimeAdministratordistinguishedname(DN):

gasedistinguishedn

|dc=cognos|cn=DirectofyManager

Example-o=<org>e=

?RuntimeAdministratorpassword-

rEnableSSLjxxxxxxxxx

I*"RequireSSLfnr

admin1234

LogOnCancel

建立Connection(续)

1!)DirectoryServer'STATEINFOrSSS'Properties凶

GeneralRuntimeCredentialsITicketServiceI

Ii

Runtimebindcredentials

RuntimeAdministratordistinguishedname(DN)：

|cn=DirectoryManagerAccessManager-Administration凶

RuntimeAdministratoraasswor

Thecredentialsarevalid.

匚通定二m

।确定।取消।应用阳।帮助।

*

新建一个.LAE文件

♦在LocalAuthenticationExportFile项的下一层是一个或多个

.lae文件的名字。

选中LocalAuthentication

ExportFile项，点鼠标右

键，或从Action菜单下点

“Add.LAEFile‘°

AuthenticationInformation要指定.lae文件的名字和

存放路径。

S-AccessManager-Administration

团—_|DirectoryServers

田-七^LocalAuthenticationExportFiles

_IAuthenticationFiles

Addsalocalduthenticatiijnexportfile

Namespace

♦用户安全控制设定可有多种方案，多种方案都

可以保存在DirectoryServer上,或保存在・lae

文件中。一种方案称为一个Namespace。每个

namespace有自己的名字。

♦在一个Connection的下一层，或在一个・lae文

件的下一层又可以设一个或多个Namespace。

directoryservers初始化后自动建的第一个

Namespace的名字一般叫作"default"0

13

建立——个新的Namespace

徐eyotZ.csa-AccessMan..1□1x|用右键点击

FileEditViewfictionToolsHelpdirectoryserversT

曲口|乂陶|剧x|倒阑曷的一个Connection

AuthenticationInformation名，或点击Local

E!AccessManager-AdministrationAuthentication

日，_|DirectoryServers

ExportFile下的一个

国G5eyot:389

H_|LocalAuthenticationExportFiles.lae文件名，在弹出

authei的菜单中选

AddNamespace...AddNamespace即

Importfrom.AUTFile...可建立一个新的

Remove

SetasDefaultNamespaceo

•AddsanamespacetothProperties

14

建好的Namespace(s)

❷eyotZ.csa-AccessManage-!□1x|

FileEditViewActionToolsHelp

阖3|电］「|x［倒阑aj

AuthenticationInformation

史sW^anaGgr二可加口玲匕gtion

S-i__］DirectoryServers

B曲eyot:389<----------------------Connection

由一@default<------------------------Namespace

S-1_|LocalAuthenticationExportFiles

B墙authen<-------------------------Jae文件

E--ON51■<------------------------------Namespace

i__|AuthenticationFiles

初始用户类和用户

♦在运行"Con行gureaDirectoryServer”做用户

信息初始化时，或在文件名下建立一个新的

Namespace时，会自动设定一个初始的用户类

“RootUserClass”和一个密码为空的初始用户

Administrator。Administrator是属于"Root

UserClass”的。

♦在namespace下可以继续增加用户类和用户并决

定它们的归属关系。

♦在DirectoryServers下，初始用户类“RootUser

Class”和初始用户Administrator就保存在

"defaultn这个namespace中。

16

增加新用户

於eyotZ.csa-AccessManager-,3凶

FileEditViewActionToolsHelp

阖口|8|船|囿倒闯厘|j

nldenti£ication

AuthenticationInformation

Name：

B凄AccessManager-Administration

E_JDirectoryServers

description：

El_JLocalAuthenticationExportFiles

日电authen

N51

国,0User;

日RootExpand这里的用户名是在

__|Applic

AddFolder,,,AccessManager中

IData

AddUser...显示的名字。

__|AuthenticationFil

AddsausertothenamespaceProperties

为用户设置口令

这里的UserID是用户

登录时使用的名字。

双击用户名，展

开它的属性表，在

UserSignons标签页

下可为用户指定或修

改口令。

18

增加新用户类

举eyot2.csa-AccessManager-i-!□!xl%UserClass*<NewUser

FileEditViewActionToolsHelp^Gener^^|Permissions

逐电感倒莉

QIxiI>\imjrIdentiEication

AuthenticationInformationName；

FlLg)AccessManager-Administration

E]_|DirectoryServersDescription：

Ei_|LocalAuthenticationExportFiles

日-mauthen

B-□N51

国_JUsers

is

_]Ap(Expand

|Dal।

AddUserClass...

_|Authentication।

|Add$auserclasstothenarrProperties

19

列出用户类和用户

定义用户类的操作权限

进入用户类

属性表定义

这个用户不

可以增加删

除用户类和

用户，不可

以改变用户

归属，不可

以改其他用

户的口令。

22

AccessManager的各个层次

DirectoryServersLocalAuthentication

ExportFile(.lae)

ConnectionsJae文件

Namespaces

UsersUserClasses

23

把设定保存到.csa文件中

在File菜单下选SaveAs

可以把在AccessManager中

的设定保存到一个了多个.csa

文件中。

声明哪个Namespace生效

AdministratorAccess凶

❷defaulLcsa-AccessManager-stateinfo:389

FileEditViewActionToolsHelpRuntimeAdministratordistinguishedname(DN):

cn=DirectoryManager

百dIg电eIxI囱,

—RuntimeAdministratorpassword:

AuthenticationInformation

admin1234

[^AccessManager-Administration

EiIDirectoryServersLogOnCancel

El由stateinfo:389

Defaull

Expand

EQNS1AuthenticationInformation

由QNS2

LogOff[^AccessManager-Administration

Ei_]LocalAuthentic

SetasDefaultB-DirectoryServers

Importfrom,LAEFile...state日info由:38_9_1______

E即。rtt。,LAEFile...EQDefault

DeleteEQNS1

S-日|NS2

Properties田_]LocalAuthenticationExpor

25

在Transformer中应用用户安全认证信息

在Transformer中选File菜单下的ModelProperties命

令，在弹出的Model对话框转到Authentication标签页，选

择AccessManager的Namespace名。

Namespace

在Transformer中力口入UserClasses窗格

按如上操作可在

Transformer中力口

入UserClasses窗格

27

把用户信息加到Cube上

28

针对用户类在选定维度上设View

-1□1x|在Transformer中点开嗜，展开Categories

Clasj^)

Dimension'窗口，在左侧窗格选UserClass标签页，

RootUserClass

忸日期在这里可以针对每个用户类去设置它们

金产品在各个维度的类别上的访问权限（设不同

修地区

金客户的View）。

国利润邮

日KC1-*=，

且日期

热产品

热帽V-11

眼客户_

厘利润:

OmitDimension

自-gCreator

Reset'ViewFromParent

厘日期

UseCustomView品

电产品

热地区UpdateAccessManagerInformation国客户

国客户一

目利润范围

事利润