10 pasos sencillos: cómo utilizar la autenticación basada en LDAP en SAP BusinessObjects 4.1

These days almost every company store data such as users, emails, roles, printers, etc. in what it is call a Directory Service, providing a centralized access to company-related data that can be use across all its systems. One of the most widely used solution is Active Directory from Microsoft, since its tightly integrated with Windows OS systems. The other one LDAP, which stands for Lightweight Directory Access Protocol, has a broad range of users too since the de facto standard in Linux-based systems. We usually want to integrate LDAP with SAP BusinessObjects in order to let the users authenticate against the BI platform, using the same password that they use to login in other systems across the company. To do so, SAP BO provides an LDAP authentication module in the CMC with an easy-to-follow wizard that facilitates all the necessary steps, which follows:

1. Inicie sesión en CMC ( localhost: 8080 / BOE / CMC ) Como administrador y vaya a la sección "Administrar" -> "Autenticación". Seleccione "LDAP" y proceda a ejecutar el asistente haciendo clic en "Inicio del Asistente de configuración LDAP" 2. Introduzca la dirección de los servidores LDAP y pulse "add":

Esta información debe ser proporcionada por un administrador de red, ya que depende de la empresa y su despliegue de red.

En el siguiente paso, seleccionaremos la solución tecnológica que implementa LDAP (LDAP es, como se indica en su nombre, sólo un protocolo). Esto es relevante porque dependiendo de la implementación, alguna información frecuente como nombre de usuario podría ser mapeada en un nodo diferente que otros. Como se indica en la captura de pantalla a continuación, se puede personalizar completamente, para que adaptemos el mapeo de LDAP a nuestra configuración de usuarios de BO:

En los cuadros de texto tenemos que introducir los nodos que se están utilizando en realidad en LDAP, o elegir los disponibles por defecto.

3. En este paso estableceremos el Nombre Distinguido de la rama de la que están pendientes todos los usuarios:

Esta información debe ser proporcionada por el administrador de la red.

4. En la siguiente pantalla configuraremos cuentas con acceso de lectura a servidores LDAP. No tienen que tener derechos de administrador:

Asegúrese de que el nombre de usuario es un Nombre Distinguido, utilizando la notación LDAP, no sólo un simple nombre de usuario simple.

5. Configuraremos el acceso de seguridad al servidor LDAP seleccionando "Basic (no SSL)", pero puede cambiar dependiendo de la configuración de la red:

6. Lo mismo para este paso, puede cambiar dependiendo del cliente, pero normalmente seleccionando "Basic (No SSO)" debería estar bien. Estos ajustes también se pueden cambiar en el futuro, así que vaya a la última pantalla:

7. En la última pantalla, dejaremos las configuraciones de la siguiente manera:

Las opciones anteriores pueden variar según el cliente y se explican por sí mismas.

8. Finalmente, confirmaremos los cambios pulsando "Finalizar":

9. En la pantalla de resumen, podemos revisar todas las configuraciones anteriores y configurar los pasos finales:

  • Programación de la sincronización de cuentas entre SAP BO y LDAP. Lo estableceremos para que se actualice cada hora, ya que es una consulta de menos de una segunda con una sobrecarga muy baja.
  • Grupo de usuarios que vamos a importar. Lo que tenemos que hacer es elegir la rama LDAP que vamos a importar. Tiene que ser un nombre distinguido: "CN = XXX, OU = YYY-Email-Grupos, DC = ZZZ, DC = local". Esto significa que todos los miembros de este grupo tendrán acceso a SAP BO a través de LDAP.

A continuación encontrará la configuración final:

Esta pantalla de resumen le permite retroceder y revertir cualquier ajuste que no nos resulte cómodo.

10. Después de realizar la importación inicial, aparecerá un grupo que contiene todos los nuevos usuarios importados. Para verlo, vuelva a la pantalla de inicio del CMC y vaya a la sección "Usuarios y Grupos", en "Organizar":

Para evitar perder en cada sincronización los parámetros de seguridad del grupo, encapsularemos este grupo en un nuevo creado llamado "Enterprise" (puede escoger cualquier nombre). En este grupo implementaremos la seguridad real de los usuarios de LDAP:

Después de esto, incluiremos el grupo LDAP dentro del grupo "Enterprise" recién creado:

Esta es la salida final:

La forma de probar que todo salió bien es iniciar sesión con el método de autenticación LDAP y comprobar si se accede:

Si bien puede parecer un proceso largo, realmente no toma mucho tiempo y la ventaja percibida para el usuario final es grande, así que animo a todos a implementarla en todas las empresas que implementan LDAP.

Por favor, no dude en escribir en la sección de comentarios si tiene alguna pregunta.

EspañolEnglish