Utilización de grupos o roles LDAP para restringir el acceso

No todos los usuarios del directorio LDAP deben utilizar IBM® Cognos BI. Otorgue sólo a los usuarios designados acceso a IBM Cognos Connection. Para ello, cree un grupo o rol específico de IBM Cognos BI en el servidor de directorios, añada los usuarios necesarios a su pertenencia y otorgue al grupo o rol acceso a IBM Cognos Connection.

Un método alternativo se basa en utilizar las unidades organizativas (UO) de LDAP.

La creación de un grupo o un rol depende del proveedor de autenticación. Si utiliza Oracle Directory Server, debe crear roles, ya que este proveedor utiliza la pertenencia a roles como parte de su información de cuenta de usuario. Si utiliza Active Directory, debe crear grupos, ya que este proveedor utiliza la pertenencia a grupos como parte de su información de cuenta de usuario.

Utilización de roles

Los roles para esta técnica se crean utilizando Oracle Directory Server. Para obtener más información sobre la creación de este tipo de roles, consulte la documentación de Oracle Directory Server.

Asegúrese de que los siguientes parámetros estén bien definidos en IBM Cognos Configuration, en la categoría Seguridad, Autenticación.

  • Búsqueda de usuarios

    Configure la cadena de búsqueda de usuarios de forma que contenga el atributo que se utilizará para realizar la autenticación en la variable ${userID}. Esta variable toma el nombre de usuario especificado en el inicio de sesión y sustituye la variable por el valor antes de pasar la cadena de búsqueda al servidor de directorios. El nombre distinguido (DN) del rol también se debe incluir en la cadena.

    A continuación figura un ejemplo de la cadena de búsqueda:

    (&(uid=${userID})(nsrole=cn=Cognos,ou=people,dc=cognos,dc=com))

    En este ejemplo, todos los miembros del rol de IBM Cognos BI ubicado en la unidad organizativa (UO) llamada people tienen acceso a IBM Cognos Connection.

  • ¿Utilizar identidad externa?

    Establezca el valor en True si está habilitado el inicio de sesión único.

  • Correlación de identidad externa

    Especifique esta propiedad si ¿Utilizar identidad externa? se ha establecido en True.

    Construya una cadena para localizar un usuario en el servidor de directorio LDAP. Al iniciar sesión, la variable de entorno ${environment("REMOTE_USER")} en esta cadena se sustituye por el nombre de usuario.

    En el ejemplo siguiente, el navegador web establece la variable de entorno REMOTE_USER que coincide con el atributo uid del usuario: 

    (&(uid=${environment("REMOTE_USER")})(nsrole=cn=Cognos,ou=people,dc=cognos,dc=com))

    En algunos casos, la variable REMOTE_USER, que generalmente tiene el formato DOMINIO\nombre de usuario, puede no coincidir con ninguno de los atributos uid del usuario. Para resolver este problema, incluya la función replace en la cadena, como en el ejemplo siguiente:

    (&(uid=${replace(${environment("REMOTE_USER")},"ABC\\","")})(nsrole=cn=Cognos,ou=people,dc=cognos,dc=com))

    Si la función replace está incluida, el nombre de dominio, ABC en este ejemplo, se sustituye por una cadena en blanco y sólo se pasa el nombre de usuario al servidor de directorios.

    El nombre de dominio distingue entre mayúsculas y minúsculas en este contexto.

Una vez creado el rol, configúrelo para el acceso a IBM Cognos Connection utilizando IBM Cognos Configuration. El rol también se puede añadir al espacio de nombres de Cognos

Utilización de grupos

Los grupos para esta técnica se crean utilizando Active Directory. Esta técnica implica modificaciones en la cadena de búsqueda del usuario. Dado que Active Directory no tiene esta propiedad, no se puede utilizar. En su lugar se utiliza el proveedor LDAP asociado.

Asegúrese de que los siguientes parámetros estén bien especificados en IBM Cognos Configuration, en la categoría Seguridad, Autenticación.

  • Búsqueda de usuarios

    Configure la cadena de búsqueda de forma que contenga el atributo que se utilizará para realizar la autenticación en la variable ${userID}. Esta variable toma el nombre de usuario especificado en el inicio de sesión y sustituye la variable por el valor antes de pasar la cadena de búsqueda al servidor de directorios. El nombre distinguido (DN) del grupo también se debe incluir en la cadena.

    A continuación figura un ejemplo de la cadena de búsqueda: 
    (&(sAMAccountName=${userID})(memberOf=cn=ReportNet,ou=Groups,dc=cognos,dc=com))
  • ¿Utilizar identidad externa?

    Establezca el valor en True si está habilitado el inicio de sesión único.

  • Correlación de identidad externa

    Especifique esta propiedad si ¿Utilizar identidad externa? se ha establecido en True.

    Construya una cadena para localizar un usuario en el servidor de directorio LDAP. Al iniciar sesión, la variable de entorno ${environment("REMOTE_USER")} en esta cadena se sustituye por el nombre de usuario, y después la cadena se pasa al servidor de directorios.

    En el ejemplo siguiente, el navegador web establece la variable de entorno REMOTE_USER que coincide con el atributo uid del usuario. En lugar de sustituir el valor sAMAccountName no modificable por ${userID}, la variable de entorno se lee de la sesión del navegador. 
    (&(sAMAccountName=${environment("REMOTE_USER")})(memberOf=cn=Cognos,cn=Groups,dc=cognos,dc=com))

Una vez creado el grupo, configúrelo para el acceso a IBM Cognos Connection utilizando IBM Cognos Configuration. El grupo también se puede añadir al espacio de nombres de Cognos

Tema principal: Técnicas para proteger el acceso a IBM Cognos Connection