Arquivo por tag: administração bo

set 24 2011

Configurando a Autenticação SAP no Business Objects Enterprise (BOE XI 3.1)

Bom, no post sobre Autenticação Windows AD no BOE, mencionei como se configura esse tipo de logon no BOE. Agora, falarei sobre mais um tipo de autenticação para quem utiliza nos projetos de BO a integração com BW. Configurar a autenticação SAP no BO.

Pré-requisitos:

  • Os servidores envolvidos precisam estar no mesmo domínio para que o token SSO não expire imediatamente (no caso de utilizar SSO);
  • No caso de integração com o SAP Portal, o BW precisa estar configurado para aceitar Logon Tiket do Portal;
  • No caso de utilizar o Single Sing-On (SSO), o SAP BW deve estar configurado para aceitar o SSO.
  • É necessário ter o SAP Integration Kit (SAP IK) instalado no servidor.
  • É recomendado que todas as aplicações utilizem o mesmo Service Pack. (BOE XI 3.1 SP3, Integration Kit SP3, etc.)

Agora, a prática:

– Entre no CMC

– Clique em “Authentication” (“Autenticação”)


– Escolha “SAP” (com duplo-clique)

– Aparecerá a seguinte tela:

– Na aba “Entitlement Systems” deverá ser informado os parâmetros para a conexão com o SAP BW e onde será feita a autenticação do usuário.


– Onde:

  1. Nome do servidor BW ;
  2. System e Client – Mandante (Ex.: System BWD, Client 300);
  3. Application Server (Servidor BW), System Number (ID), usuário, senha e idioma.
  4. Clique em “Update”.

 

É possível configurar vários sistemas para autenticação. Ao logar no BO (Infoview), o usuário deverá informar o SAP System ID e o SAP Client Number da conexão que desejar utilizar.

– Vá para a aba “Options”

– Onde:

  1. Selecione o servidor BW;
  2. Habilite a autenticação SAP;
  3. Marque a opção de importar automaticamente os usuários;
  4. Clique em “Update”.

Ao marcar a opção “Automatically import users”, quando um usuário do BW logar no BO pela primeira vez, o mesmo irá importar esse usuário associando o mesmo às  roles nas quais este usuário possui acesso no BW, criando automaticamente um usuário de conexão no BO. No entanto, as roles do BW já devem ter sido importadas anteriormente no BO, como mostrarei no passo seguinte.

Os usuários serão criados no BO com o seguinte padrão:

[Sap ID system] ~ [SAP client number] / [BW username].
Exemplo:
Usuário BW: BWDTESTE
Usuário que será criado no BO: BWD~100/BWDTESTE3

Toda parte de criação de usuários e perfil de acesso ficará centralizado no BW.
O BO irá somente replicar as informações existentes no BW. Ao criar um usuário no BW, este deve estar associado às roles necessárias para que os dados possam ser visualizados nos objetos do BO. As permissões que devem ser configuradas no BO são somente referentes a acesso aos objetos criados (pastas, relatórios WebIntelligence, Universos, etc.).

– Vá para a aba “Role Import”

– Onde:

  1. Selecione o servidor BW;
  2. Listagem de roles disponíveis que deverão ser selecionadas, clicando em “Add”;
  3. Roles importadas
Veja as roles importadas:
– Clique em “Update”.

É necessário importar todas as roles que possuam um usuário BW que irá acessar o BO, para que quando este usuário efetue login no BO, seja associado às respectivas roles do BW.

Para cada role importada, o BO criará um grupo de usuários. Cada grupo será nomeado da seguinte forma;

 [SAP system ID] ~ [SAP client number] @  [SAP role]
Exemplo:
 BWD~100@SAP_FI

Após importar as roles necessárias, feche a janela e acesse no menu principal do CMC em “User and Groups”.

Todas as roles importadas estão criadas como grupos.

Em “User List” é possível visualizar os usuários criados no BO.

– Agora, para se certificar de que está tudo correto, acesse o Infoview e faça o login normalmente, porém utilizando a autenticação SAP.

Preencha as informações para “SAP System” e  “SAP Client”, caso tenha mais de um ambiente BW mapeado, do contrário não é necessário,  “User Name” (Usuário do BW) e “Password”.

Note que não é necessário informar o usuário como “BWD~100bwteste3”, no campo “User Name” basta preencher com o nome do usuário BW normalmente.

Se a configuração estiver correta, ao efetuar logon, será exibido o username do SAP BW no canto esquerdo da tela.

Bom, são muitos passos ao chegar até aí, porém a autenticação integrada do BO com o BW agiliza o procedimento de criação de usuários (que no caso são importados do BW ao BO) e também garante a segurança e a manutenção dos mesmos.

Até a próxima!

ago 18 2011

Administração Central Management Console – SAP BO CMC (Parte 01)

Introdução

Hoje começaremos uma série de artigos relacionados a uma parte específica de uma das ferramentas da SAP BO, o CMC (Central Management Console).

Antes de qualquer estudo sobre essa ferramenta é importante destacarmos o que é, e qual a importância dessa ferramenta nos ambientes em que exista a plataforma SAP BO instalada. O CMC é uma ferramenta de Administração de ambiente SAP BO que nos permite gerenciar, configurar e administrar tudo que nos permita trabalhar de forma mais organizada e estruturada dentro de uma organização, ou seja, através dessa ferramenta
poderemos criar usuários, grupos de usuários, dar permissão de acesso a pastas importantes de projetos, dar acesso a universos, etc.

Abaixo segue o desenho da arquitetura do SAP BO que abrange todos os serviços disponíveis na versão 3.1. O A aplicação que será foco do nosso estudo está em destaque no desenho.

A infra-estrutura corporativa ilustrada acima fornece o mecanismo básico de mensagens entre todos os componentes, necessários para a perfeita comunicação entre eles dentro da arquitetura businessobjects Enterprise.

1 – Criando um usuário no CMC

Após logarmos no CMC a primeira tela que vamos ter acesso é a tela principal, ontem nela são reunidas todas as funcionalidades para que o administrador possa cuidar do ambiente SAP BO.

A tela principal se divide em agrupamentos contendo agrupamentos das diversas funcionalidades existentes. No agrupamento Organizar teremos condições de criar pastas, perfil de acesso usuários, grupos de usuários, gerenciar conexões, Universos, etc. No agrupamento Definir vamos conseguir definir os níveis de acesso de um
determinado usuário, criar eventos, etc. Em Gerenciar definir ações como tempo de sessão, inclusão de chaves de licença, etc.

Hoje aprenderemos como se cria um usuário no CMC, para tanto vá ao link de usuários
e grupos
e clique no botão criar novo usuário conforme ilustra figura abaixo.

Observe que ao criarmos um novo usuário poderemos também criar um novo grupo para ele ou utilizarmos os grupos já pré-definidos pela ferramenta que são:

Administradores – Os membros deste grupo podem executar todas as tarefas nas Aplicações da empresa (CMC, CCM, Publishing Wizard, e InfoView). Por padrão, o grupo de administradores contém apenas o usuário Administrator.

QaaWS Group Designer – Os membros deste grupo têm acesso  ao QaaWS Designer Grupo de Consulta como um Web Service.

Todos – Cada usuário incluído nesse grupo pertence automaticamente a todos os outros grupos.

Tradutores – Os membros deste grupo têm acesso ao aplicativo Gerenciador de Tradução.

Usuários da Ferramenta de conversão – Os membros deste grupo têm acesso
para a aplicação da ferramenta de conversão de Relatório.

Usuários do Universe Designer – Usuários que pertencem a este grupo tem
acesso de administração ao Universo Designer (Administração de pastas e conexões). Eles podem controlar quem tem acesso direito à aplicação Designer. Você deve adicionar usuários a este grupo, conforme necessário. Por padrão, o usuário não pertence a este grupo.

A seguinte tela será mostrada.

Para o tipo de autenticação teremos 4 opções que são Enterprise, Windows AD, LDAP e Windows NT.

Enterprise – Usuário padrão do sistema. Você pode preferir criar contas distintas e grupos para uso do Business Objects Enterprise, ou se ainda não estabeleceu uma hierarquia de usuários e grupos em um Windows NT, um servidor de diretórios LDAP, ou um AD do Windows Server.

Windows NT – Se você estiver trabalhando em um ambiente Windows NT, você pode usar contas existentes de usuários e grupos Business Objects Enterprise no NT. Quando mapearmos contas NT para Business Objects Enterprise, os usuários são capazes de logar nas aplicações Business Objects Enterprise com seu nome de usuário NT e senha. Isso pode reduzir a necessidade de recriar usuário individual e contas de grupo dentro
Business Objects Enterprise.

LDAP – Se você configurar um diretório LDAP no servidor, poderá usar contas de usuários e grupos LDAP existentes no Business Objects Enterprise. Quando você mapeia Contas LDAP para Business Objects Enterprise , os usuários são capazes de acessar as aplicações corporativas com seu nome de usuário LDAP e senha. Isso elimina a necessidade de recriar usuário individual e em grupo dentro Business Objects Enterprise.

Após o entendimento dos principais tipos de autenticação no SAP BO vamos criar nosso usuário, para tanto informe nome da conta do usuário, e informações como nome completo do mesmo, email, etc. Essas informações são importantes para o administrador saber futuramente como entrar em contato com um determinado usuário ou saber a que projeto o mesmo pertence. Em uma empresa muito grande essas informações não poderão
passar em branco.

Defina uma senha para seu usuário, por padrão permitimos que o usuário mude sua senha após a primeira conexão. Após o preenchimento das informações clique em criar.

Após a criação do usuário é importante voltarmos ao ambiente de Usuários e Grupos e verificarmos o usuário que foi criado. Abaixo podemos confirmar a criação do usuário de nosso estudo.

O próximo passo será fazer o login no Infoview e observar se o usuário criado terá o comportamento esperado. Para tanto acesse o Infoview e informe usuário e senha definidos anteriormente no CMC.

Após clicar no botão Efetuar logon observe que o sistema irá solicitar mudança de senha conforme configuramos no CMC.

Cabe ao usuário nesse momento informar a senha antiga e incluir uma nova de no mínimo 6 caracteres mesclando letras e números.

Efetuado o login corretamente observe que o nosso usuário criado (exemplo) já se encontra visível no Infoview. No próximo artigo veremos como criar grupos de usuários e acrescentarmos ou tirarmos permissões do nosso usuário criado.

Até a próxima.

 

 

ago 08 2011

Configurando a Autenticação Windows AD no Business Objects Enterprise (BOE XI 3.1)

Bom pessoal, o assunto de hoje é mostrar como se configura a autenticação Windows AD no BOE 3.1, situação em que eu também já passei e não achei muita coisa detalhada pela internet e por isso resolvi fazer um documento próprio de como se resolver isso e publicar aqui no blog.

Vamos ao passos:

  • Solicitar  a criação de um usuário e grupo no AD;
  • Solicitar a execução dos procedimentos para a configuração da conta de serviço no domínio (SPN) – Este procedimento deverá ser executado no controlador de domínio;

    Sintaxe:

    setspn –a BOBJCentralMS/NETBIOS_DOMAIN_NAME accountname
    setspn –a BOBJCentralMS/FQDN_DOMAIN_NAME accountnameExemplo:
    setspn –a BOBJCentralMS/TESTDOMAIN account1
    setspn –a BOBJCentralMS/TESTDOMAIN.ABC.COM account
  •  Em local Secutiry Policy, acrescente o usuário a regra: Act as part of the operating system – Isso pode ser feito em: “Menu Iniciar”> “Executar” > “gpedit.msc” ;
     

  • Em Computer Management incluir todos os usuários no grupo de administração local – Isso pode ser feito em “Administrative Tools” > “Computer Management“;

 

  • Usando o Central Configuration Manager, pare o serviço Server Intelligence Agent (SIA). Abre as propriedades do serviço e, na guia “Propierties” sessão “Logon As“, insira as informações do logon do usuário – Encontre o arquivo “SvgMgr.exe” no seu caminho de instalação do BO (geralmente em C:Program FilesBusiness Objects…).

  • Crie o arquivo krb5.ini na pasta C:WINNT com o seguinte conteúdo:

[libdefaults]
default_realm = DOMINIO.COM
dns_lookup_kdc = true
dns_lookup_realm = true
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
[domain_realm]
.dominio.com= DOMINIO.COM
dominio.com = DOMINIO.COM
[realms]
DOMINIO.COM = {
default_domain = DOMINIO.COM
kdc = AD_HOST_NAME.DOMINIO.COM
}

  • Crie o arquivo bscLogin.conf na pasta C:WINNT com o seguinte conteúdo:

com.businessobjects.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required;
};

  • Execute a configuração do Tomcat (Tomcat Configuration) e acrescente as seguintes configurações na guia “Java“:

-Djava.security.auth.login.config=C:WINNTbscLogin.conf
-Djava.security.krb5.conf=C:WINNTkrb5.ini

  • Reinicie o Tomact, e logo após isso, teste a configuração do Kerberos abrindo o prompt de comando (cmd) e execute a segiunte instrução:

Para se logar: 
C:Program FilesBusiness Objectsjavasdkbinkinit <usuário> <senha>

Para verificar se o logon foi efetuado com sucesso:

 C:Program FilesBusiness Objectsjavasdkbinklist

Obs.: Mude “C:Program FilesBusiness Objects” para o caminho de instalação do BO no seu server.

  • Configure a autenticação Windows AD no CMC: Ao logar como Administrador, vá em “Menu” > “Autenticação” > “Windows AD”.
  • Aplique as seguintes configurações:

* Caso tenha problemas futuros, inserir nesse campo a mesma entrada do SPN.

  

Observações:

  • Todo usuário que for criado no BO, deverá ser existir primeiramente no domínio (DC) e ser incluso no grupo do AD, para depois ser replicado para o BO.
  • Qualquer manutenção de usuários no BO deverá manter as premissas do CMC, tais como perfis, pastas, grupos, etc
  • Se o usuário BO tiver suas configurações no AD alteradas, o mesmo será refletido no BO.

Bom, espero que essas informações sejam úteis e que agregem no trabalho de vocês.

Até a próxima!