Permisos de acceso y credenciales
Al establecer los permisos de acceso, puede hacer referencia tanto a usuarios, grupos y roles de proveedor de autenticación como a grupos y roles de Cognos. Sin embargo, si piensa desplegar su aplicación en el futuro, le recomendamos que utilice únicamente los grupos y los roles de Cognos para configurar el acceso a las entradas del software de IBM Cognos y así simplificar el proceso.
Permisos y acciones permitidas
En la tabla siguiente se describen los permisos de acceso que puede otorgar o denegar.
Permisos |
Iconos |
Acciones permitidas |
|---|---|---|
Lectura |
|
Visualizar todas las propiedades de una entrada, incluida la especificación de informe, la salida de informe, etc. que son propiedades de un informe. Crear un atajo a una entrada. |
Escritura |
|
Modificar las propiedades de una entrada. Suprimir una entrada. Crear entradas en un contenedor, como un paquete o una carpeta. Modificar la especificación de informe para los informes creados en Report Studio y Query Studio. Crear nuevas salidas para un informe. |
Ejecución |
|
Procesar una entrada Para entradas como informes, agentes y métricas, el usuario puede ejecutar la entrada. Para orígenes de datos, conexiones e inicios de sesión, las entradas se pueden utilizar para recuperar datos del proveedor de datos. El usuario no puede leer la información de la base de datos directamente. El servidor de informes puede acceder, en nombre del usuario, a la información de la base de datos para procesar una solicitud. Antes de que un usuario pueda utilizar una entrada, el software de IBM Cognos verifica si posee permisos de ejecución para la misma. En lo que a las credenciales se refiere, los usuarios pueden permitir que otra persona utilice las suyas. Nota: Los usuarios deben contar con permisos de ejecución para la cuenta que utilicen con la ejecución como opción de informe de propietario.
|
Establecimiento de políticas |
|
Leer y modificar los valores de seguridad para una entrada. |
Visita |
|
Visualice los contenidos de una entrada de contenedor, como un paquete o una carpeta, y las propiedades generales del propio contenedor sin acceso completo al contenido. Nota: Los usuarios pueden visualizar las propiedades generales de las entradas para las que posean cualquier tipo de acceso. Las propiedades generales incluyen nombre, descripción, fecha de creación, etc., que son comunes a todas las entradas.
|
Permisos de acceso para los usuarios
Los usuarios deben contar al menos con permisos de visita para las entradas padre de las entradas a las que desean acceder. Las entradas padre incluyen objetos contenedor como carpetas, paquetes, grupos, roles y espacios de nombres.
Los permisos para los usuarios se basan en conjuntos de permisos para cuentas de usuario individuales y para los espacios de nombres, grupos y roles a los que pertenecen los usuarios. Los permisos también se ven afectados por las propiedades de miembro y propietario de la entrada.
El software de IBM Cognos soporta permisos de acceso combinados. Cuando los usuarios que pertenecen a más de un grupo inician una sesión, cuentan con permisos combinados para todos los grupos a los que pertenecen. Es importante que recuerde esto, especialmente si va a denegar algún acceso.
Sugerencia: Para garantizar que un usuario o un grupo pueda ejecutar informes desde un paquete, pero no pueda abrir el paquete en un estudio de IBM Cognos, otorgue al usuario o al grupo permisos de ejecución y visita para el paquete. Los usuarios también necesitan permisos de lectura para el paquete con el fin de lanzar estudios.
Permisos de acceso necesarios para las acciones
Para realizar acciones específicas, cada usuario, grupo o rol necesita que se le otorgue la combinación de permisos de acceso adecuada para la entrada, su entrada padre y su entrada de origen y de destino. La siguiente tabla incluye los permisos necesarios para acciones específicas.
| Acción |
Permisos necesarios |
|---|---|
| Añadir una entrada |
Permisos de escritura para una entrada padre |
| Solicitar las propiedades de una entrada |
Permisos de lectura para una entrada |
| Ver los hijos de una entrada |
Permisos de visita para una entrada |
| Actualizar una entrada |
Permisos de escritura para una entrada |
| Suprimir una entrada |
Permisos de escritura para una entrada y permisos de escritura para una entrada padre |
| Copiar una entrada |
Permisos de escritura para una entrada y cualquier entrada hijo, permisos de visita para todos los hijos y permisos de escritura y de visita para la entrada padre destino |
| Mover una entrada |
Permisos de lectura y escritura para una entrada, permisos de escritura tanto para la entrada padre origen y la entrada padre destino y permisos de visita para la entrada padre destino |
Propiedad de entradas
Si el usuario es propietario de una entrada, éste contará con derechos de acceso completo para la entrada. Esto garantiza que los usuarios siempre pueden acceder a las entradas que poseen y modificarlas. De forma predeterminada, el propietario de una entrada es el usuario que la crea. Sin embargo, cualquier otro usuario que cuente con permisos para establecer política para la entrada puede hacerse con la propiedad de la entrada.
Acceso otorgado y denegado
Puede otorgar o denegar el acceso a las entradas. Un icono que representa el tipo de acceso aparece junto al nombre de la entrada en la pestaña Permisos.
Por ejemplo, cuando un grupo dispone de permisos de ejecución para un informe, aparece este icono 
junto al nombre del grupo en la pestaña Permisos del informe. Cuando un grupo no dispone de permisos de ejecución para un informe, aparece este icono 
junto al nombre del grupo.
El acceso denegado tiene prioridad sobre el acceso otorgado. Al denegar a determinados usuarios o grupos el acceso a una entrada, se sustituyen otras políticas de seguridad que otorgan el acceso a la entrada.
Si los permisos otorgados y denegados entran en conflicto, el acceso a la entrada siempre se deniega. Por ejemplo, un usuario pertenece a dos grupos. Un grupo tiene otorgado el acceso a un informe y el otro grupo tiene denegado el acceso al mismo informe. El usuario tendrá denegado el acceso a este informe.
Deniegue el acceso únicamente cuando sea realmente necesario. Por lo general, resulta una mejor práctica administrativa otorgar permisos que denegarlos.
Permisos de elementos padre/hijo
Los permisos de acceso se adquieren de las entradas padre. Si los permisos de acceso no están definidos, la entrada adquiere los permisos de su entrada padre. Puede sustituir los permisos de elementos padre definiendo permisos para la entrada hijo.
Los objetos que únicamente existen como hijos de otros objetos siempre adquieren permisos de sus elementos padre. Un ejemplo de este tipo de objeto son las especificaciones de informe y las salidas de informe. Se pueden visualizar mediante el Software Development Kit. Ni puede establecer permisos específicamente para dichos objetos.
Permisos y despliegue
Si es un administrador que está desplegando en un entorno de destino, consulte: Despliegue.
Permisos de funciones
Si es un administrador, puede establecer el acceso a las funciones y las características protegidas otorgando permisos de ejecución para espacios de nombres, usuarios, grupos o roles específicos. Para obtener más información, consulte Funciones y características protegidas.
Supresión de grupos y roles de Cognos
Cuando se suprime un grupo o un rol de Cognos, los permisos de acceso basados en ese grupo o rol también se suprimen. No podrá restablecerlos mediante la creación de un nuevo grupo o rol con el mismo nombre, puesto que esta entrada posee un ID interno diferente.
Si los proveedores de autenticación crean los grupos o roles, compruebe que su proveedor de autenticación sepa manejar dichas situaciones. Por lo general, no se pueden crear permisos de acceso si éstos están basados en los ID; por el contrario, pueden crearse si se basan en nombres.
Acceso a entradas asociadas con orígenes de datos protegidos frente a múltiples espacios de nombres
Los orígenes de datos en el software de IBM Cognos pueden protegerse contra múltiples espacios de nombres. En algunos entornos, el espacio de nombres utilizado para proteger el origen de datos no es el espacio de nombres principal utilizado para acceder a IBM Cognos Connection. Cuando intente acceder a una entrada, como un informe, una consulta o un análisis que esté asociado a un origen de datos protegido frente a múltiples espacios de nombres y no se haya iniciado sesión en todos los espacios de nombres necesarios, se mostrará una solicitud de autenticación. Debe iniciar una sesión en el espacio de nombres para poder acceder a la entrada.
Cuando el inicio de sesión único (SSO) está habilitado, la solicitud de autenticación no aparece. Se iniciará la sesión automáticamente en el espacio de nombres.
Esta funcionalidad se aplica únicamente a IBM Cognos Viewer. Si se produce una situación similar en un estudio de IBM Cognos, debe salir de la tarea e iniciar sesión en todos los espacios de nombres que desee utilizar en la sesión actual.