Utilización de OU de LDAP para restringir el acceso

Puede otorgar acceso a IBM® Cognos Connection para una unidad organizativa (UO) específica o para los hijos de una UO específica en un directorio LDAP. Una UO generalmente representa un segmento de una organización.

Para que este método funcione, debe configurar correctamente las propiedades Nombre distinguido de base y Búsqueda de usuarios en IBM Cognos Configuration, bajo la categoría Seguridad, Autenticación. Mediante el uso de distintos valores para estas propiedades, puede otorgar acceso a distintas UO en la estructura de directorios LDAP.

Considere el siguiente árbol de directorios:

Figura 1. Gráfico que muestra las unidades organizativas en árbol de una compañía ficticia dividida en este y oesteGráfico que muestra un árbol de las unidades organizativas de una compañía ficticia dividida en este y oeste.

Si los usuarios de sólo la UO del este necesitan acceso a IBM Cognos Connection, los valores se pueden especificar como aparecen listados en la tabla siguiente.

Tabla 1. Tabla que muestra los valores de Nombre distinguido de base y Búsqueda de usuarios para la unidad organizativa Este
Propiedad Valor
Nombre distinguido de base ou=East, ou=people, dc=abc, dc=com
Búsqueda de usuarios uid=${userID}

Si los usuarios de las UO del este y el oeste necesitan acceso, los valores se pueden especificar como aparecen listados en la tabla siguiente.

Tabla 2. Tabla que muestra los valores de Nombre distinguido de base y Búsqueda de usuarios para las unidades organizativas Este y Oeste
Propiedad Valor
Nombre distinguido de base ou=people, dc=abc, dc=com
Búsqueda de usuarios (uid=${userID})

Los paréntesis () de la propiedad Búsqueda de usuarios se utilizan como un filtro que puede buscar todas las UO situadas bajo el nombre distinguido base especificado. En el primer ejemplo, se buscan cuentas de usuario sólo en la UO del este. En el segundo ejemplo, se busca en las UO de este y del oeste.

Sin embargo, en los dos ejemplos anteriores se excluye a los grupos del acceso a IBM Cognos Connection, ya que se encuentran en una rama diferente del árbol de directorios que los usuarios. Para incluir los grupos y los usuarios, el nombre distinguido base debe ser la raíz del árbol de directorios. Los valores serán los que aparecen listados en la tabla siguiente.

Tabla 3. Tabla que muestra los valores de Nombre distinguido de base y Búsqueda de usuarios para los grupos y usuarios ubicados en la raíz del árbol de directorio
Propiedad Valor
Nombre distinguido de base dc=abc, dc=com
Búsqueda de usuarios (uid=${userID})

Como resultado, todos los usuarios del directorio tienen acceso a IBM Cognos Connection.

El último ejemplo muestra que utilizar UO no siempre puede ser la forma más eficaz de proteger el acceso a IBM Cognos Connection. Puede utilizar este método si desea otorgar acceso a todos los usuarios de una UO determinada. Si sólo desea otorgar acceso a usuarios específicos, quizás le interese crear un grupo o rol de IBM Cognos BI designado en el servidor de directorios y otorgar a este grupo o rol acceso a IBM Cognos Connection.

Tema principal: Técnicas para proteger el acceso a IBM Cognos Connection