Accueil > Divers, Trucs & astuces > Implémenter la sécurité COGNOS 10. L’authentification et les droits d’accès

Implémenter la sécurité COGNOS 10. L’authentification et les droits d’accès

20/08/2012 Commenter Allez aux commentaires
 
 
Mettre en place la sécurité sur COGNOS 10 n’est pas toujours une mince affaire. Il faut d’abord bien comprendre certains principes de base. Il est également important de distinguer l’utilité de chacune des fonctionnalités principales. Enfin, des conseils pour la configuration sont à connaitre pour éviter de rendre l’implémentation de la sécurité longue et laborieuse.

J’ai donc voulu partagé avec ceux que cela pourrait intéresser, certains points de la sécurité COGNOS 10 qu’il faut bien comprendre et connaître avant de commencer la configuration de la sécurité, les concepts de base que l’on retrouve au niveau de l’authentification et des autorisations, cela sous la forme la plus synthétique et la plus facile à mettre en pratique possible.

 

Authentification

Les espace-noms

La mise en place de la sécurité n’est pas obligatoire dans COGNOS 10. Cela signifie que les accès utilisateurs seront en anonyme et dépendront de la configuration par défaut de l’espace-nom intégré COGNOS 10 pour l’utilisateur Anonyme. L’espace-noms intégré de COGNOS contient les objets comme les utilisateurs, les groupes, les rôles et les sources de données.

En plus de l’espace-noms Cognos, chaque ajout d’un nouveau fournisseur d’authentification est représenté par un nouvel espace-noms. La sécurité COGNOS 10 peut être basée sur un ou plusieurs fournisseurs d’authentification. Plusieurs  sont pris en charge comme par exemple active directory server, LDAP, NTLM, etc. (se reporter à la documentation Cognos).

L’espace-noms COGNOS 10 est essentiel. Il ne peut d’ailleurs pas être supprimé dans COGNOS Configuration à la différence de n’importe quel autre espace-noms lié à un fournisseur d’authentification tiers.

     

Les utilisateurs, groupes et rôles

Clarifions ces différents concepts.

L’utilisateur ne peut pas être créé sur le portail COGNOS 10. Toutes les informations (nom, prénom, adresse électronique, etc.) sur l’utilisateur proviendront toujours d’un fournisseur d’authentification.

A noter: Si vous utiliser le fournisseur COGNOS 7, l’utilisateur doit appartenir à au moins une classe d’acces manager pour pourvoir exister dans COGNOS 10.

     

En ce qui concerne les groupes et les rôles, il y a souvent beaucoup de doutes alors que c’est très simple.

Les groupes et les rôles permettent de créer des ensembles organisés d’utilisateurs qui auront les mêmes caractéristiques dans la sécurité. Toutefois il n’est pas possible de se connecter au portail en utilisant le nom du groupe ou du rôle, mais la sécurité relatif à l’utilisateur identifié sera en fonction du ou des groupes/rôles auxquels il appartient.

Ainsi, le groupe et rôle sont quasi identiques exception fait qu’un rôle ne peut pas appartenir à un groupe alors que l’inverse est possible. Le diagramme suivant illustre cette architecture:

 

      

Notez également les points suivants qui sont importants en fonction de votre fournisseur d’authentification.

Si vous n’utilisez pas le fournisseur COGNOS 7 et que vous souhaitez utiliser des groupes importés de votre fournisseur tiers, il vous faudra rajouter ces groupes de votre fournisseur tiers à un groupe ou un rôle de l’espace-noms cognos au risque que ces groupes ne soient pas reconnus par le portail COGNOS.

Si vous utilisez le fournisseur COGNOS 7, les classes utilisateurs vont apparaitre sous forme de rôle sur le portail COGNOS 10.

Comme un utilisateur peut appartenir à plusieurs groupes et rôles sa sécurité correspondra à la fusion de ses différents droits d’accès.

Au sujet de la suppression/création de groupe ou de rôle, le fait de créer un groupe ou un rôle avec le même nom qu’un ancien groupe ou rôle ne permettra pas de récupérer la sécurité supprimée.

Maintenant nous allons parler des droits d’accès, concept qu’il est important de comprendre pour mettre en place une sécurité COGNOS 10.

       

Droits d’accès

L’avantage et l’inconvénient des droits d’accès est qu’ils peuvent être définis sur presque tout, de l’utilisateur aux pages du portail. Il n’y a pas de préconisation particulière sur le meilleur niveau ou positionner les droits à part celle de faire preuve de bon sens, d’avoir des règles de développement bien définis et de positionner les droits, dans la mesure du possible, sur les niveaux supérieures.

Ci-dessous, le récapitulatif de la documentation Cognos des différents droits d’accès.

 

Les droits dont disposera un utilisateur correspondront à la combinaison des droits définit. Au minimum, un utilisateur doit disposer de droit de passage sur les entrées parent (il s’agit de contenant donc par exemple les dossiers, les packs, les groupes, les rôles, etc.) des entrées auxquelles il veut accéder. Si pour une entrée aucun droit n’est défini, l’entrée héritera des droits de son entrée parent.

Pour chaque droit vous pouvez soit donner ou refuser l’accès mais le refus d’accès prend le pas sur l’octroi. En effet, en cas de conflit entre l’octroi et le refus, l’accès est toujours refusé. Il est donc préférable de ne pas cocher des droits plutôt que de les refuser.

Lorsque vous définirez les droits d’une entrée vous verrez la case à cocher « Remplacer les droits d’accès hérités de l’entrée parent ». Cochée, cette case permet de définir précisément les droits de l’entrée en faisant abstraction des droits de l’entrée parent.

Pour illustrer le fonctionnement des droits d’accès, j’ai créé le tableau suivant qui met en face de certaines opérations les droits d’accès nécessaires.

Ces rappels à l’esprit, vous devriez maintenant pourvoir aborder plus sereinement la mise en place de votre sécurité COGNOS 10.

 

    

LW

    Categories: Divers, Trucs & astuces Tags: , , , ,
    1. Pas encore de commentaire
    1. Pas encore de trackbacks