Vous êtes sur la page 1sur 942

SAP BusinessObjects Business Intelligence Document Version: 4.

0 Support Package 7 - 2013-10-02

Administratorhandbuch fr SAP BusinessObjects Business Intelligence

Inhaltsverzeichnis
1 2 2.1 nderungen am Dokument. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Erste Schritte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Informationen zu dieser Hilfe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 2.1.1 2.1.2 2.1.3 2.2 2.2.1 2.2.2 2.2.3 3 3.1 An wen richtet sich diese Hilfe?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20 Informationen zu SAP BusinessObjects Business Intelligence . . . . . . . . . . . . . . . . . . . . . . . .20 Variablen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .21 Grundlegende Begriffe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 Schlsselprogramme fr die Verwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 Schlsselaufgaben. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

Vor dem Beginn. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

Architektur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 berblick ber die Architektur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 3.1.1 3.1.2 3.1.3 3.1.4 3.1.5 3.1.6 3.1.7 3.1.8 3.1.9 3.1.10 3.1.11 3.1.12 Architekturdiagramm. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 Architekturschichten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 Datenbanken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Webanwendungsserver. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Software Development Kits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 Data sources. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Authentifizierung und Einzelanmeldung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 SAP-Integration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 Hochstufverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Integrierte Versionskontrolle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 Upgrade-Pfad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41 Servernderungen seit XI 3.1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 Dienste. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .44 Dienstkategorien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 Servertypen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55 Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 Installed with SAP BusinessObjects Business Intelligence Platform Client Tools. . . . . . . . . . . 60 Installed with SAP BusinessObjects Business Intelligence Platform. . . . . . . . . . . . . . . . . . . . 64 Available separately. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .65 Webanwendungsclients. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 Startup and authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .70

3.2

Dienste und Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41 3.2.1 3.2.2 3.2.3 3.2.4 3.2.5

3.3

Clientanwendungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .60 3.3.1 3.3.2 3.3.3 3.3.4

3.4

Prozess-Workflows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 3.4.1

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Inhaltsverzeichnis

3.4.2 3.4.3 3.4.4 3.4.5 4 4.1

Program objects. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 Crystal Reports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 Web Intelligence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 Analysis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

Verwalten von Lizenzen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 Verwalten von Lizenzschlsseln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 4.1.1 4.1.2 4.1.3 Anzeigen von Lizenzinformationen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 Hinzufgen von Lizenzschlsseln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 So zeigen Sie die aktuelle Kontoaktivitt an. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

5 5.1

Verwalten von Benutzern und Gruppen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 bersicht ber die Kontoverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 5.1.1 5.1.2 5.1.3 Benutzerverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 Gruppenverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 Verfgbare Authentifizierungstypen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 So erstellen Sie ein Benutzerkonto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 So ndern Sie ein Benutzerkonto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 So lschen Sie ein Benutzerkonto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Erstellen von neuen Gruppen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 So ndern Sie die Eigenschaften einer Gruppe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 So zeigen Sie Gruppenmitglieder an. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90 Hinzufgen von Untergruppen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 Festlegen von Gruppenmitgliedschaften. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 So lschen Sie eine Gruppe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .91 Hinzufgen von Benutzern oder Benutzergruppen in Massenvorgngen. . . . . . . . . . . . . . . . .92 So aktivieren Sie das Guest-Konto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Hinzufgen von Benutzern zu Gruppen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 ndern der Kennworteinstellungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 Gewhren von Zugriff fr Benutzer und Gruppen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Steuern des Zugriffs auf Posteingnge von Benutzern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Konfigurieren von BI-Launchpad-Optionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97 Verwalten von Attributen fr Systembenutzer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

5.2

Verwalten von Enterprise-Konten und allgemeinen Konten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87 5.2.1 5.2.2 5.2.3 5.2.4 5.2.5 5.2.6 5.2.7 5.2.8 5.2.9 5.2.10 5.2.11 5.2.12 5.2.13 5.2.14 5.2.15 5.2.16 5.2.17

5.2.18 Priorisierung von Benutzerattributen ber mehrere Authentifizierungsoptionen hinweg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 5.2.19 5.2.20 5.3 5.3.1 5.3.2 5.3.3 Hinzufgen von neuen Benutzerattributen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 Bearbeiten erweiterter Benutzerattribute. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103 Erstellen von Benutzern und Hinzufgen eines Dritthersteller-Alias. . . . . . . . . . . . . . . . . . . 104 Erstellen eines neuen Alias fr einen vorhandenen Benutzer. . . . . . . . . . . . . . . . . . . . . . . . 105 So weisen Sie einen Alias eines anderen Benutzers zu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

Verwalten von Aliasen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Inhaltsverzeichnis

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

5.3.4 5.3.5 6 6.1

Lschen von Aliasen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .106 So deaktivieren Sie einen Alias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

Festlegen von Rechten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 Funktionsweise von Rechten in der BI-Plattform. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 6.1.1 6.1.2 6.1.3 6.1.4 6.1.5 Zugriffsberechtigungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 Einstellungen fr erweiterte Rechte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 bernahme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 Typspezifische Rechte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 Ermitteln effektiver Rechte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 So lassen Sie Rechte fr einen Prinzipal auf einem Objekt anzeigen. . . . . . . . . . . . . . . . . . . . 117 So weisen Sie einer Zugriffskontrollliste fr ein Objekt Prinzipale hinzu. . . . . . . . . . . . . . . . . 118 ndern der Sicherheit fr einen Prinzipal auf einem Objekt. . . . . . . . . . . . . . . . . . . . . . . . . . 118 Festlegen von Rechten fr den Ordner der obersten Ebene in der BI-Plattform. . . . . . . . . . . . 119 berprfen von Sicherheitseinstellungen fr ein Subjekt. . . . . . . . . . . . . . . . . . . . . . . . . . . 120 Auswhlen zwischen den Zugriffsberechtigungen Ansicht und Ansicht auf Abruf. . . . . . . . . . 124 Kopieren von vorhandenen Zugriffsberechtigungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .125 Erstellen von Zugriffsberechtigungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .126 Umbenennen von Zugriffsberechtigungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 So lschen Sie eine Zugriffsberechtigung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 So ndern Sie Rechte in einer Zugriffsberechtigung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .127 Verfolgen der Beziehung zwischen Zugriffsberechtigungen und Objekten. . . . . . . . . . . . . . . 128 Standortbergreifende Verwaltung von Zugriffsberechtigungen. . . . . . . . . . . . . . . . . . . . . .128 So deaktivieren Sie die bernahme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

6.2

Verwalten von Sicherheitseinstellungen fr Objekte in der CMC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 6.2.1 6.2.2 6.2.3 6.2.4 6.2.5

6.3

Arbeiten mit Zugriffsberechtigungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 6.3.1 6.3.2 6.3.3 6.3.4 6.3.5 6.3.6 6.3.7 6.3.8

6.4 6.5

Auflsen der bernahme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 130 6.4.1 Delegieren der Administration mithilfe von Rechten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 6.5.1 Welche der beiden Optionen Rechte von Benutzern fr Objekte ndern sollte verwendet werden?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 6.5.2 Eigentmerrechte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

6.6 7 7.1 7.2 7.3 7.4 7.5

Zusammenfassung der Empfehlungen zur Verwaltung von Rechten. . . . . . . . . . . . . . . . . . . . . . . . . . 135 Sichern der BI-Plattform. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 berblick zum Thema Sicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 Notfallwiederherstellungsplanung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 Allgemeine Empfehlungen zur Sicherung der Implementierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 Konfigurieren der Sicherheit fr Dritthersteller-Serverpakete. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .138 Aktive Vertrauensstellung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 7.5.1 7.5.2 Anmeldetoken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 Ticketverfahren fr verteilte Sicherheit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139

7.6

Sitzungen und Sitzungsnachverfolgung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Inhaltsverzeichnis

7.6.1 7.7 7.7.1 7.7.2 7.8 7.9

CMS-Sitzungsnachverfolgung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .140 Webbrowser zu Webserver. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 Webserver und die BI-Plattform. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

Umgebungsschutz. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

Auditieren von nderungen an der Sicherheitskonfiguration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 Prfen der Webvorgnge. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 7.9.1 7.9.2 7.9.3 7.9.4 7.9.5 Schutz vor unberechtigten Anmeldeversuchen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 Kennworteinschrnkungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 Anmeldeeinschrnkungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 Benutzerbeschrnkungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .143 Guest-Konto-Einschrnkungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143

7.10 7.11 7.12

Verarbeitungserweiterungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .144 bersicht ber die BI-Plattform-Datensicherheit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .144 7.11.1 7.12.1 7.12.2 7.12.3 Sicherheitsmodi fr die Datenverarbeitung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .145 Arbeiten mit Clusterschlsseln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 Verschlsselungsbeauftragte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150 Verwalten von Kryptografieschlsseln in der CMC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 Erstellen von Schlssel- und Zertifikatdateien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .156 Konfigurieren des SSL-Protokolls. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158 berblick ber BI-Server und Kommunikationsports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 Kommunikation zwischen BI-Plattform-Komponenten . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 Konfigurieren des Systems fr Firewalls. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171 Debuggen einer Firewall-Implementierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 Beispiel: Implementierung der Anwendungsschicht in einem getrennten Netzwerk. . . . . . . . 175 Kryptografie in der BI-Plattform. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .147

7.13

Konfigurieren von Servern fr SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 7.13.1 7.13.2

7.14

Erluterung der Kommunikation zwischen BI-Plattform-Komponenten. . . . . . . . . . . . . . . . . . . . . . . . 162 7.14.1 7.14.2

7.15

Konfigurieren der BI-Plattform fr Firewalls. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .171 7.15.1 7.15.2

7.16

Beispiele fr typische Firewallszenarios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 7.16.1 7.16.2 Beispiel: Trennung von Thick-Client und Datenbankschicht von BI-Plattform-Servern durch eine Firewall. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .178

7.17

Firewall-Einstellungen fr integrierte Umgebungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 7.17.1 7.17.2 7.17.3 7.17.4 7.17.5 Spezifische Firewall-Richtlinien fr die SAP-Integration. . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 Firewall-Konfiguration fr die JD Edwards EnterpriseOne-Integration. . . . . . . . . . . . . . . . . . 182 Spezifische Firewallrichtlinien fr Oracle EBS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 Firewall-Konfiguration fr PeopleSoft Enterprise-Integration . . . . . . . . . . . . . . . . . . . . . . . . 184 Firewall-Konfiguration fr die Siebel-Integration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 Untersttzte Reverse Proxy-Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 Allgemeine Informationen zur Implementierung von Webanwendungen . . . . . . . . . . . . . . . . 187

7.18

BI-Plattform und Reverse Proxy Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187 7.18.1 7.18.2

7.19

Konfigurieren von Reverse Proxy-Servern fr BI-Plattform-Webanwendungen. . . . . . . . . . . . . . . . . . 188

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Inhaltsverzeichnis

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

7.19.1 7.19.2 7.19.3 7.19.4 7.19.5 7.20 7.20.1 7.20.2 7.20.3 8 8.1

Ausfhrliche Anweisungen zur Konfiguration von Reverse Proxy-Servern. . . . . . . . . . . . . . . 188 Konfigurieren der Reverse Proxy-Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .189 Konfigurieren des Apache 2.2-Reverse Proxy-Servers fr die BI-Plattform . . . . . . . . . . . . . . 189 Konfigurieren des WebSEAL 6.0-Reverse Proxy-Servers fr die BI-Plattform . . . . . . . . . . . . 190 Konfigurieren von Microsoft ISA 2006 fr die BI-Plattform . . . . . . . . . . . . . . . . . . . . . . . . . .191 Aktivieren eines Reverse Proxys fr Webdienste. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193 Aktivieren des Stammpfads fr Sitzungscookies fr ISA 2006. . . . . . . . . . . . . . . . . . . . . . . 195 Aktivieren von Reverse Proxys fr SAP BusinessObjects Live Office. . . . . . . . . . . . . . . . . . . 197

Spezielle Konfiguration fr die BI-Plattform in Reverse Proxy-Umgebungen. . . . . . . . . . . . . . . . . . . . 193

Authentifizierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 Authentifizierungsoptionen in BI-Plattform. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .199 8.1.1 8.1.2 8.1.3 Primre Authentifizierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199 Sicherheits-Plugins. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200 Einzelanmeldung bei der BI-Plattform. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201 bersicht ber die Enterprise-Authentifizierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 Einstellungen der Enterprise-Authentifizierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 204 ndern der Enterprise-Einstellungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 Aktivieren der vertrauenswrdigen Authentifizierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206 Konfigurieren der vertrauenswrdigen Authentifizierung fr Webanwendungen. . . . . . . . . . 208 Verwenden der LDAP-Authentifizierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 Konfigurieren der LDAP-Authentifizierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219 Zuordnen von LDAP-Gruppen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 Verwenden der Windows AD-Authentifizierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .239 Vorbereiten des Domnencontrollers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240 Konfigurieren der AD-Authentifizierung in der CMC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 Konfigurieren des BI-Plattform-Diensts zur Ausfhrung des SIA. . . . . . . . . . . . . . . . . . . . . 248 Konfigurieren des Webanwendungsservers fr die AD-Authentifizierung. . . . . . . . . . . . . . . 250 Einrichten der Einzelanmeldung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 Fehlerbehebung Windows AD-Authentifizierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272 Konfigurieren der SAP-Authentifizierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .274 Erstellen von Benutzerkonten fr die BI-Plattform. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275 Verbinden mit SAP-Berechtigungssystemen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276 Einstellen von SAP-Authentifizierungsoptionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278 Importieren von SAP-Rollen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 Konfigurieren der Secure Network Communication (SNC). . . . . . . . . . . . . . . . . . . . . . . . . .285 Einrichten der Einzelanmeldung beim SAP-System. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .298 Konfigurieren der Einzelanmeldung fr SAP Crystal Reports und SAP Netweaver. . . . . . . . . 302

8.2

Enterprise-Authentifizierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 8.2.1 8.2.2 8.2.3 8.2.4 8.2.5

8.3

LDAP-Authentifizierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 8.3.1 8.3.2 8.3.3

8.4

Windows AD-Authentifizierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 239 8.4.1 8.4.2 8.4.3 8.4.4 8.4.5 8.4.6 8.4.7

8.5

SAP-Authentifizierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 8.5.1 8.5.2 8.5.3 8.5.4 8.5.5 8.5.6 8.5.7 8.5.8

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Inhaltsverzeichnis

8.6

PeopleSoft-Authentifizierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 8.6.1 8.6.2 8.6.3 8.6.4 8.6.5 bersicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303 Aktivieren der PeopleSoft Enterprise-Authentifizierung. . . . . . . . . . . . . . . . . . . . . . . . . . . .303 Zuordnen von PeopleSoft-Rollen zur BI-Plattform. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304 Zeitgesteuertes Verarbeiten von Benutzeraktualisierungen. . . . . . . . . . . . . . . . . . . . . . . . . 307 Verwenden der PeopleSoft-Sicherheitsbrcke. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309 bersicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 Aktivieren der JD Edwards EnterpriseOne-Authentifizierung. . . . . . . . . . . . . . . . . . . . . . . . 319 Zuordnen von JD Edwards EnterpriseOne-Rollen zur BI-Plattform. . . . . . . . . . . . . . . . . . . . 320 Zeitgesteuertes Verarbeiten von Benutzeraktualisierungen. . . . . . . . . . . . . . . . . . . . . . . . . 322 Aktivieren der Siebel-Authentifizierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324 Zuordnen von Rollen zur BI-Plattform. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325 Zeitgesteuertes Verarbeiten von Benutzeraktualisierungen. . . . . . . . . . . . . . . . . . . . . . . . . 328 Aktivieren der Oracle EBS-Authentifizierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330 Zuordnen von Oracle E-Business Suite-Rollen zur BI-Plattform. . . . . . . . . . . . . . . . . . . . . . 331 Aufheben der Zuordnung von Rollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334 Anpassen von Rechten fr zugeordnete Oracle EBS-Gruppen und -Benutzer . . . . . . . . . . . . 335 Konfigurieren der Einzelanmeldung fr SAP Crystal Reports und Oracle EBS. . . . . . . . . . . . 336

8.7

JD Edwards-Authentifizierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319 8.7.1 8.7.2 8.7.3 8.7.4

8.8

Siebel-Authentifizierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .324 8.8.1 8.8.2 8.8.3

8.9

Oracle EBS-Authentifizierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330 8.9.1 8.9.2 8.9.3 8.9.4 8.9.5

9 9.1 9.2 9.3 9.4

Serververwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338 Arbeiten mit dem Verwaltungsbereich "Server" in der CMC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338 Verwalten von Servern mithilfe von Skripts unter Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341 Verwalten von Servern unter Unix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341 Verwalten von Lizenzschlsseln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341 9.4.1 9.4.2 9.4.3 Anzeigen von Lizenzinformationen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341 Hinzufgen von Lizenzschlsseln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 So zeigen Sie die aktuelle Kontoaktivitt an. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342 Anzeigen des Status von Servern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343 Starten, Stoppen und Neustarten von Servern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343 Anhalten eines Central Management Servers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346 Aktivieren und Deaktivieren von Servern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 Hinzufgen, Klonen und Lschen von Servern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348 Clustern von Central Management Servern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .351 Erstellen von Servergruppen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .356 Arbeiten mit Serveruntergruppen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357

9.5

Anzeigen und ndern des Serverstatus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343 9.5.1 9.5.2 9.5.3 9.5.4

9.6 9.7 9.8

Hinzufgen, Klonen oder Lschen von Servern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348 9.6.1 9.7.1 9.8.1 9.8.2 Clustern von Central Management Servern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .351 Verwaltung von Servergruppen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Inhaltsverzeichnis

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

9.8.3 9.8.4 9.9 9.9.1 9.9.2 9.9.3 9.9.4 9.10 9.10.1 9.10.2 9.10.3 9.11 9.11.1 9.11.2 9.11.3 9.11.4 9.12 9.12.1 9.12.2 9.12.3 9.12.4 9.12.5 9.12.6 9.12.7 9.12.8 9.12.9 9.13 9.14 9.15 9.13.1

ndern der Gruppenzugehrigkeit eines Servers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 358 Benutzerzugriff auf Server und Servergruppen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .358 berwachung von SAP BusinessObjects Business Intelligence-Servern. . . . . . . . . . . . . . . . 360 Analysieren der Servermetrik. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360 Anzeigen der Systemmetrik. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361 Protokollieren der Serveraktivitt. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361 ndern der Eigenschaften eines Servers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363 Anwenden von Diensteinstellungen auf mehrere Server. . . . . . . . . . . . . . . . . . . . . . . . . . . 363 Arbeiten mit Konfigurationsvorlagen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363 Optionen fr die Netzwerkumgebung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 366 Optionen zur Identifizierung des Serverhosts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367 Konfigurieren eines mehrfach vernetzten Rechners. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369 Konfigurieren von Portnummern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372 Verwenden von Knoten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375 Hinzufgen eines neuen Knotens. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .377 Neuerstellen von Knoten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .381 Lschen von Knoten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384 Umbenennen eines Knotens. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386 Verschieben von Knoten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388 Skriptparameter. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392 Hinzufgen von Windows-Server-Abhngigkeiten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397 ndern von Benutzeranmeldedaten fr einen Knoten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398 Umbenennen eines Rechners in einer BI-Plattform-Implementierung. . . . . . . . . . . . . . . . . . 399

Ermitteln der Systemleistung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360

Konfigurieren von Servereinstellungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362

Konfigurieren von Netzwerkeinstellungen fr Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .366

Verwalten von Knoten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375

Umbenennen eines Rechners in einer BI-Plattform-Implementierung. . . . . . . . . . . . . . . . . . . . . . . . . 399 Verwenden von 32-Bit- und 64-Bit-Bibliotheken von Drittherstellern mit der BI-Plattform. . . . . . . . . . 405 Verwalten von Server- und Knotenplatzhaltern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .405 9.15.1 9.15.2 Anzeigen von Serverplatzhaltern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405 Anzeigen und Bearbeiten der Platzhalter eines Knotens. . . . . . . . . . . . . . . . . . . . . . . . . . . 406

10 10.1

Verwalten von CMS-Datenbanken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407 Verwalten von Verbindungen zur CMS-Systemdatenbank. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407 10.1.1 10.1.2 Auswhlen von SQL Anywhere als CMS-Datenbank. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407 Auswhlen von SAP HANA als CMS-Datenbank. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408 So whlen Sie eine neue oder vorhandene CMS-Datenbank unter Windows aus. . . . . . . . . . .410 Auswhlen einer neuen oder vorhandenen CMS-Datenbank unter Unix. . . . . . . . . . . . . . . . .410 So erstellen Sie die CMS-Systemdatenbank unter Windows neu. . . . . . . . . . . . . . . . . . . . . . 411

10.2

Auswhlen einer neuen oder bereits vorhandenen CMS-Datenbank. . . . . . . . . . . . . . . . . . . . . . . . . . 409 10.2.1 10.2.2

10.3

Neu erstellen der CMS-Systemdatenbank. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .411 10.3.1

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Inhaltsverzeichnis

10.3.2 10.4 10.4.1 10.4.2 10.4.3 11 11.1

Neuerstellung der CMS-Systemdatenbank unter UNIX. . . . . . . . . . . . . . . . . . . . . . . . . . . . 412 Vorbereitung fr das Kopieren einer CMS-Systemdatenbank. . . . . . . . . . . . . . . . . . . . . . . . 413 Kopieren einer CMS-Systemdatenbank unter Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . 414 Kopieren von Daten von einer CMS-Systemdatenbank unter UNIX. . . . . . . . . . . . . . . . . . . . 415

Kopieren von Daten von einer CMS-Systemdatenbank in eine andere. . . . . . . . . . . . . . . . . . . . . . . . . 413

Verwalten von Web Application Container Servern (WACS). . . . . . . . . . . . . . . . . . . . . . . . . . . . .416 WACS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416 11.1.1 11.1.2 11.1.3 11.1.4 11.1.5 11.1.6 11.1.7 11.1.8 11.1.9 11.1.10 11.1.11 11.1.12 Web Application Container Server (WACS). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .416 Hinzufgen oder Entfernen zustzlicher WACS in einer Implementierung. . . . . . . . . . . . . . . 419 Hinzufgen oder Entfernen von Diensten auf dem WACS. . . . . . . . . . . . . . . . . . . . . . . . . . .422 Konfigurieren von HTTPS/SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424 Untersttzte Authentifizierungsmethoden. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428 Konfigurieren von AD Kerberos fr WACS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428 Konfigurieren der AD Kerberos-Einzelanmeldung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .435 Konfigurieren von RESTful-Webdiensten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 438 WACS und Ihre IT-Umgebung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442 Konfigurieren von Webanwendungseigenschaften. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444 Fehlerbehebung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445 WACS-Eigenschaften. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .449

12 12.1 12.2 12.3 12.4

Sichern und Wiederherstellen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450 bersicht ber Sicherungen und Wiederherstellungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450 Terminologie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .450 Anwendungsflle fr Sicherung und Wiederherstellung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452 Sicherungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453 12.4.1 12.4.2 12.4.3 Sichern des gesamten Systems. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454 Sichern der Servereinstellungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457 Sichern von BI-Inhalt. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459 Wiederherstellen des gesamten Systems. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460 Wiederherstellen der Servereinstellungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465 Wiederherstellen von BI-Inhalt. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468

12.5

Wiederherstellen des Systems. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460 12.5.1 12.5.2 12.5.3

12.6 13 13.1 13.2 13.3 13.4 13.5 13.6

BackupCluster- und RestoreCluster-Skript. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468 Kopieren der Implementierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471 bersicht des Kopierens des Systems. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471 Terminologie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471 Anwendungsflle fr das Kopieren von Systemen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471 Planen des Kopierens Ihres Systems. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472 berlegungen und Einschrnkungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473 Systemkopieverfahren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Inhaltsverzeichnis

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

13.6.1 13.6.2 14 14.1 14.2

Exportieren aus einem Quellsystem. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .475 Importieren in ein Zielsystem. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 479

Versionsverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483 Verwalten von unterschiedlichen Versionen von BI-Ressourcen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483 Verwenden der Option "Versionsverwaltungseinstellungen". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 484 14.2.1 14.2.2 Einstellen des ClearCase-Versionsverwaltungssystems in Windows. . . . . . . . . . . . . . . . . . . 485 Einstellen des ClearCase-Versionsverwaltungssystems in Unix. . . . . . . . . . . . . . . . . . . . . . 485

14.3 14.4 15 15.1

Vergleichen von verschiedenen Versionen desselben Auftrags. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486 Upgrade von Subversion-Inhalten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486 Hochstufverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 488 Willkommen bei der Hochstufverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 488 15.1.1 15.1.2 15.1.3 15.1.4 Hochstufverwaltung bersicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .488 Hochstufverwaltung Funktionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .488 Anwendungszugriffsrechte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .489 Untersttzung fr WinAD in der Hochstufverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 490 Zugriff auf die Hochstufverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 490 Benutzeroberflchen-Komponenten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 490 Verwenden der Option "Einstellungen". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492 Erstellen und Lschen von Ordnern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .500 Erstellen von Auftrgen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501 Erstellen eines neuen Auftrags durch Kopieren eines vorhandenen Auftrags . . . . . . . . . . . . 503 Suchen nach Auftrgen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503 Bearbeiten von Auftrgen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .504 Hinzufgen von InfoObjects in der Hochstufverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . .504 Verwalten von Abhngigheiten in der Hochstufverwaltung . . . . . . . . . . . . . . . . . . . . . . . . . 505 Suchen nach abhngigen Objekten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .506 Hochstufen von Auftrgen mit verbundenen Repositorys. . . . . . . . . . . . . . . . . . . . . . . . . . 507 Hochstufen eines Auftrags anhand einer BIAR-Datei. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .509 Zeitgesteuerte Verarbeitung einer Auftragshochstufung. . . . . . . . . . . . . . . . . . . . . . . . . . . 511 Anzeigen des Verlaufs von Auftrgen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513 Rollback fr Auftrag ausfhren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513 Anwendungszugriffsrechte fr die Versionsverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . 517 Sichern und Wiederherstellen von Subversion-Dateien. . . . . . . . . . . . . . . . . . . . . . . . . . . . 518 Ausfhren der Option "Befehlszeile" in Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519 Ausfhren der Option "Befehlszeile" in UNIX. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520 Parameter fr Befehlszeilenoptionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520

15.2

Erste Schritte mit der Hochstufverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 490 15.2.1 15.2.2 15.2.3

15.3

Verwenden der Hochstufverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499 15.3.1 15.3.2 15.3.3 15.3.4 15.3.5 15.3.6 15.3.7 15.3.8 15.3.9 15.3.10 15.3.11 15.3.12 15.3.13

15.4

Verwalten unterschiedlicher Versionen eines InfoObjects. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515 15.4.1 15.4.2

15.5

Verwenden der Befehlszeilenoption. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519 15.5.1 15.5.2 15.5.3

10

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Inhaltsverzeichnis

15.5.4 15.6 15.6.1 15.6.2 15.6.3 16 16.1

Beispiel fr eine Eigenschaftendatei. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 526 Voraussetzungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528 Konfigurieren der Business-Intelligence-Plattform und CTS+-Integration. . . . . . . . . . . . . . . 528 Hochstufen von Auftrgen ber CTS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533

Verwenden des erweiterten Change and Transport System. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527

Grafischer Vergleich. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537 Grafischer Vergleich in der Hochstufverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 537 16.1.1 16.1.2 16.1.3 Grafischer Vergleich von Objekten und Dateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 538 Vergleichen von Objekten oder Dateien im Versionsverwaltungssystem. . . . . . . . . . . . . . . . 539 Zeitsteuerung des Vergleichs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 540

17 17.1

Verwalten von Anwendungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542 Verwalten von Anwendungen ber die CMC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542 17.1.1 17.1.2 17.1.3 bersicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542 Gemeinsame Einstellungen fr Anwendungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 542 Anwendungsspezifische Einstellungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .545 BOE-WAR-Datei. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .572 Dateispeicherorte von BI-Launchpad und OpenDocument. . . . . . . . . . . . . . . . . . . . . . . . . . 581 Definieren einer benutzerdefinierten Anmeldeseite. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .582 Hinzufgen der vertrauenswrdigen Authentifizierung bei der Anmeldung. . . . . . . . . . . . . . 583

17.2 17.3

Verwalten von Anwendungen ber BOE.war-Eigenschaften. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 572 17.2.1 17.3.1 17.3.2 17.3.3 Anpassen der Eingangspunkte fr die BI-Launchpad- und die OpenDocument-Anmeldung. . . . . . . . . . 581

18 18.1 18.2

Verwalten von Verbindungen und Universen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 584 Verwalten von Verbindungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 584 18.1.1 18.2.1 So lschen Sie eine Universumsverbindung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 584 So lschen Sie Universen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585 Verwalten von Universen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585

19 19.1 19.2 19.3

berwachung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586 Informationen zur berwachung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586 Monitoring-Begriffe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 586 19.2.1 19.3.1 19.3.2 Architektur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588 Konfiguration fr die Verwendung der Derby-Datenbank. . . . . . . . . . . . . . . . . . . . . . . . . . . 591 Konfiguration fr die Verwendung der Audit-Datenbank. . . . . . . . . . . . . . . . . . . . . . . . . . . 592 JMX-Endpunkt-URL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602 HTTPS-Authentifizierung fr berwachungsdiagnosen. . . . . . . . . . . . . . . . . . . . . . . . . . . .603 Kennwortverschlsselung fr Diagnosen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603 Integrieren des Monitorings in IBM Tivoli. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 604 Konfigurieren der Datenbankuntersttzung fr die berwachung. . . . . . . . . . . . . . . . . . . . . . . . . . . 590

19.4

Konfigurationseigenschaften. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 598 19.4.1 19.4.2 19.4.3

19.5

Integrieren in andere Anwendungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 604 19.5.1

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Inhaltsverzeichnis

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

11

19.5.2 19.6 19.7

Integrieren des Monitorings in SAP Solution Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607

Cluster-Untersttzung fr den berwachungsserver. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607 Fehlerbehebung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 608 19.7.1 19.7.2 19.7.3 19.7.4 19.7.5 19.7.6 Dashboard. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 608 Warnmeldungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 608 Kontrollmodulliste. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609 Diagnosen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 610 Metriken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 610 Diagramm. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 611

20 20.1 20.2

Auditing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612 bersicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612 Seite CMC-Auditing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 618 20.2.1 20.2.2 20.2.3 Statusbersicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 618 Konfigurieren von Audit-Ereignissen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 620 Konfigurationseinstellungen des Audit-Datenspeichers (ADS). . . . . . . . . . . . . . . . . . . . . . . 622 berwachungsereignisse und -details. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 632

20.3

Audit-Ereignisse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 624 20.3.1

21 21.1

Plattformsuche. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 653 Plattformsuche. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 653 21.1.1 21.1.2 Plattformsuche-SDK. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 653 Geclusterte Umgebung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 654 Implementieren von OpenSearch. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 654 Konfigurieren von Reverse-Proxy-Servern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 656 Konfigurieren von Anwendungseigenschaften in der CMC. . . . . . . . . . . . . . . . . . . . . . . . . . 656 Indizierung von Inhalten im CMS-Repository. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 662 Liste der Indizierungsfehler. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 663 Suchergebnisse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .663 Erstellen eines Connectors in SAP NetWeaver Enterprise Search . . . . . . . . . . . . . . . . . . . . 670

21.2

Einrichten der Plattformsuche. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 654 21.2.1 21.2.2 21.2.3

21.3

Arbeiten mit der Plattformsuche. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 662 21.3.1 21.3.2 21.3.3

21.4

Integration der Plattformsuche mit SAP NetWeaver Enterprise Search. . . . . . . . . . . . . . . . . . . . . . . .670 21.4.1 21.4.2 Importieren von Benutzerrollen in die Authentifizierung von SAP BusinessObjects Business Intelligence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671

21.5 21.6 21.7

Suchvorgnge ber NetWeaver Enterprise Search. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 672 Auditing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 672 Fehlerbehebung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673 21.7.1 21.7.2 Selbstreparatur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673 Problemszenarios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673

22 22.1

Fderation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 676 Fderation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 676

12

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Inhaltsverzeichnis

22.2 22.3

Begriffe in Fderation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .677 Verwalten von Sicherheitsrechten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 679 22.3.1 22.3.2 22.3.3 22.3.4 22.3.5 Fr die ursprngliche Website erforderliche Rechte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 679 Fr die Zielwebsite erforderliche Rechte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 680 Fderation-spezifische Rechte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 681 Replizieren der Sicherheit eines Objekts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 682 Replizieren der Sicherheit durch Zugriffsberechtigungen. . . . . . . . . . . . . . . . . . . . . . . . . . 683 Einseitige Replikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 683 Beidseitige Replikation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 684 "Von ursprnglicher Website aus aktualisieren" oder "Von Ziel aus aktualisieren". . . . . . . . . 684

22.4

Optionen fr Replikationstypen und Replikationsmodi. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 683 22.4.1 22.4.2 22.4.3

22.5 22.6 22.7

Replizieren von Dritthersteller-Benutzern und -Gruppen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 686 Replizieren von Universen und Universumsverbindungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 687 Verwalten von Replikationslisten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .688 22.7.1 22.7.2 Erstellen von Replikationslisten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .689 ndern von Replikationslisten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 691 Erstellen von Remoteverbindungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 692 ndern von Remoteverbindungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 694 Erstellen von Replikationsauftrgen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 695 Zeitgesteuertes Verarbeiten von Replikationsauftrgen. . . . . . . . . . . . . . . . . . . . . . . . . . . 697 ndern von Replikationsauftrgen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 698 Anzeigen eines Protokolls nach einem Replikationsauftrag. . . . . . . . . . . . . . . . . . . . . . . . . 698 Verwenden der Objektbereinigung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 699 Beschrnkungen der Objektbereinigung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700 Hufigkeit der Objektbereinigung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700 Konfliktauflsung bei der einseitigen Replikation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 702 Konfliktauflsung bei der beidseitigen Replikation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 704 Sitzungsvariablen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 707 Zwischenspeichern von Dateien . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 708 Benutzerdefinierte Implementierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 708 Remote-Zeitsteuerung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 709 Lokal ausgefhrte Instanzen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 711 Instanzenfreigabe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 711 Importieren replizierter Inhalte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 712

22.8

Verwalten von Remoteverbindungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 692 22.8.1 22.8.2

22.9

Verwalten von Replikationsauftrgen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 694 22.9.1 22.9.2 22.9.3 22.9.4 22.10.1 22.10.2 22.10.3

22.10 Verwalten der Objektbereinigung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 699

22.11

Erkennen und Auflsen von Konflikten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 701 22.11.1 22.11.2

22.12

Verwenden von Web Services in Fderation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 707 22.12.1 22.12.2 22.12.3 22.13.1 22.13.2 22.13.3 22.14.1

22.13 Remote-Zeitsteuerung und lokale Ausfhrung von Instanzen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .709

22.14 Importieren und Hherstufen replizierter Inhalte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 712

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Inhaltsverzeichnis

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

13

22.14.2 22.14.3 22.14.4 22.15

Importieren replizierter Inhalte und Fortsetzen der Replikation . . . . . . . . . . . . . . . . . . . . . . 713 Hherstufen von Inhalten aus einer Testumgebung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 714 Neuverweisen auf eine Zielwebsite. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .714

Optimale Vorgehensweisen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 715 22.15.1 22.15.2 Einschrnkungen der aktuellen Version. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 718 Behandeln von Fehlermeldungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 719

23 23.1

Ergnzende Konfigurationen fr ERP-Umgebungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .723 Konfigurationen fr die SAP NetWeaver-Integration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 723 23.1.1 Integrieren in SAP NetWeaver Business Warehouse (BW). . . . . . . . . . . . . . . . . . . . . . . . . . 723

23.2

Konfigurieren fr die JD Edwards-Integration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 764 23.2.1 23.2.2 Konfigurieren der Einzelanmeldung fr SAP Crystal Reports. . . . . . . . . . . . . . . . . . . . . . . . 764 Konfigurieren der SSL (Secure Sockets Layer) fr JD Edwards-Integrationen. . . . . . . . . . . . 765

23.3

Konfigurieren fr die PeopleSoft Enterprise-Integration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 766 23.3.1 Konfigurieren der Einzelanmeldung (SSO) fr SAP Crystal Reports und PeopleSoft Enterprise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 766 23.3.2 23.3.3 Konfigurieren der Secure Sockets Layer-Kommunikation. . . . . . . . . . . . . . . . . . . . . . . . . . 767 Leistungsoptimierung fr PeopleSoft-Systeme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 769

23.4

Konfiguration fr Siebel-Integration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 771 23.4.1 Konfigurieren von Siebel fr die Integration in SAP BusinessObjects Business Intelligence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .771 23.4.2 23.4.3 23.4.4 23.4.5 Erstellen des Crystal-Reports-Menelements. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 771 Kontextsensitivitt. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 773 Konfigurieren der Einzelanmeldung fr SAP Crystal Reports und Siebel. . . . . . . . . . . . . . . . 775 Konfigurieren fr Secure Sockets Layer-Kommunikation. . . . . . . . . . . . . . . . . . . . . . . . . . .776

24 24.1 24.2 24.3

Verwalten und Konfigurieren von Protokollen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 777 Protokollieren der Ablaufverfolgung von Komponenten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 777 Ablaufverfolgungsprotokollierungsebenen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 777 Konfigurieren der Serververfolgung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778 24.3.1 Festlegen der Protokollierungsebene der Serverablaufverfolgung in der CMC. . . . . . . . . . . . 779

24.3.2 Festlegen der Protokollierungsebene fr die Ablaufverfolgung fr mehrere in der CMC verwaltete Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 780 24.3.3 24.4 Konfigurieren der Serververfolgung ber die Datei "BO_trace.ini". . . . . . . . . . . . . . . . . . . . .780

Konfiguration der Ablaufverfolgung fr Webanwendungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 783 24.4.1 Einstellen der Ablaufverfolgungsprotokollierungsebene der Webanwendung in der CMC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 784 24.4.2 Manuelle nderung von Ablaufverfolgungseinstellungen ber die Datei "BO_trace.ini". . . . . . 784

24.5 24.6

Konfigurieren der Verfolgung fr BI-Plattform-Client-Anwendungen. . . . . . . . . . . . . . . . . . . . . . . . . .789 Konfiguration der Ablaufverfolgung fr das Upgrade-Management-Tool. . . . . . . . . . . . . . . . . . . . . . . 790 24.6.1 Konfiguration der Ablaufverfolgung fr das Upgrade-Management-Tool. . . . . . . . . . . . . . . . 790

14

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Inhaltsverzeichnis

25 25.1 25.2 25.3

Integration in SAP Solution Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .792 bersicht ber die Integration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .792 Checkliste fr die SAP Solution Manager-Integration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 792 Verwalten der System Landscape Directory-Registrierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 793 25.3.1 25.3.2 25.3.3 Registrierung der BI-Plattform in der Systemlandschaft. . . . . . . . . . . . . . . . . . . . . . . . . . . 793 Auslsungszeitpunkt der SLD-Registrierung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795 Protokollieren der SLD-Konnektivitt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 795 bersicht ber Solution Manager Diagnostics (SMD). . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796 Arbeiten mit SMD Agents. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796 SMAdmin-Benutzerkonto. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 797 Leistungsinstrumentation fr die BI-Plattform. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 797 Einrichten der Leistungsinstrumentation fr die BI-Plattform. . . . . . . . . . . . . . . . . . . . . . . .798 Leistungsinstrumentation fr die Webschicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .799 Protokolldateien der Instrumentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 799

25.4

Verwalten von Solution Manager Diagnostics Agents. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796 25.4.1 25.4.2 25.4.3

25.5

Verwalten der Leistungsinstrumentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 797 25.5.1 25.5.2 25.5.3 25.5.4

25.6 26 26.1

Ablaufverfolgung mit SAP Passport. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 800 Befehlszeilenverwaltung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 801 Unix-Skripte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 801 26.1.1 26.1.2 26.1.3 Skripte: Dienstprogramme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 801 Skriptvorlagen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 806 Von SAP BusinessObjects Business Intelligence verwendete Skripte . . . . . . . . . . . . . . . . . . 807 ccm.exe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 809 berblick ber Befehlszeilen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 812 Standardoptionen fr alle Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 813 Central Management Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 814 Crystal Reports Processing Server und Crystal Reports Cache Server. . . . . . . . . . . . . . . . . 815 Dashboards Processing Server und Dashboards Cache Server. . . . . . . . . . . . . . . . . . . . . . .816 Job Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 817 Adaptive Processing Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 818 Report Application Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 818 Web Intelligence Processing Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .820 Event Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 822 Dashboard und Dashboard Analytics Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 822

26.2 26.3

Windows-Skripte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 808 26.2.1 26.3.1 26.3.2 26.3.3 26.3.4 26.3.5 26.3.6 26.3.7 26.3.8 26.3.9 26.3.11 26.3.12 Serverbefehlszeilen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 812

26.3.10 Input und Output File Repository Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 821

27 27.1 27.2

Anhang "Rechte". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 823 Informationen ber den Anhang zu Berechtigungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 823 Allgemeine Rechte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 823

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Inhaltsverzeichnis

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

15

27.3

Rechte fr bestimmte Objekttypen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 826 27.3.1 27.3.2 27.3.3 27.3.4 27.3.5 27.3.6 27.3.7 27.3.8 27.3.9 27.3.10 27.3.11 27.3.12 Ordnerrechte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 826 Kategorien. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 826 Hinweise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 827 Crystal-Reports-Berichte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 827 Web-Intelligence-Dokumente. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 828 Benutzer und Gruppen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 829 Zugriffsberechtigungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 830 Universumsrechte (.unv). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 831 Universumsrechte (.unx). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 833 Zugriffsberechtigungen fr Universumsobjekte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 834 Verbindungsrechte. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 835 Anwendungen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 837

28 28.1

Servereigenschaften (Anhang). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 847 ber Servereigenschaften (Anhang). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 847 28.1.1 28.1.2 28.1.3 28.1.4 28.1.5 28.1.6 28.1.7 28.1.8 Allgemeine Servereigenschaften. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 847 Kerndienste-Eigenschaften. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 849 Eigenschaften von Konnektivittsdiensten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 863 Eigenschaften von Crystal-Reports-Diensten. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 868 Analysis-Dienste-Eigenschaften. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 877 Eigenschaften des Datenfderations-Diensts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 879 Eigenschaften der Web-Intelligence-Dienste. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 880 Eigenschaften der Dashboards-Dienste. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 890

29 29.1

Anhang "Servermetrik". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 893 Info zu Servermetriken (Anhang). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 893 29.1.1 29.1.2 29.1.3 29.1.4 29.1.5 29.1.6 29.1.7 29.1.8 29.1.9 29.1.10 29.1.11 Allgemeine Servermetriken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 893 Central Management Server-Metriken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 895 Connection-Server-Metriken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 899 Event Server-Metriken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 900 File Repository Server-Metriken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 900 Adaptive-Processing-Server-Metriken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 901 Web Application Container Server-Metriken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 906 Adaptive-Job-Server-Metriken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 907 Servermetriken von Crystal Reports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 908 Web-Intelligence-Server-Metriken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 911 Dashboards-Servermetriken. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 913

30 30.1

Anhang "Server- und Knotenplatzhalter". . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 915 Server- und Knotenplatzhalter. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .915

16

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Inhaltsverzeichnis

31 31.1 31.2 31.3 32 32.1 33 33.1

ADS-Schema (Audit-Datenspeicher). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 927 bersicht. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 927 Schemadiagramm. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 928 ADS-Tabellen (Audit-Datenspeicher). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .929 Monitoring-Datenbankschema (Anhang). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 938 Trenddatenbank-Schema. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .938 Systemkopie-Arbeitsblatt. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 941 Systemkopie-Arbeitsblatt. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 941

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Inhaltsverzeichnis

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

17

1
Version

nderungen am Dokument
Datum November 2 011 Mrz 2012 Beschreibung Erste Verffentlichung dieses Dokuments.

Die folgende Tabelle enthlt eine bersicht ber die wichtigsten nderungen an den Dokumenten:

SAP BusinessObjects Business Intelligence 4.0 SAP BusinessObjects Business Intelligence 4.0 Feature Pack 3

Neu in diesem Release: Importieren von Benutzern und Gruppen in Massenvorgngen mithilfe von CCM Erweitern von Attributen auf importierte und EnterpriseBenutzerkonten Mithilfe des LDAP-Plugins die Einzelanmeldung an einer SAP-HANADatenbank ber JDBC konfigurieren SQL Anywhere als ODBC-Datenquelle konfigurieren. Informationen zur Knotenverwaltung mit SQL Anywhere auf Unix-Rechnern finden Sie unter Vorbereiten eines UNIX-Rechners fr SQL Anywhere. Optimale Vorgehensweisen zur Vermeidung von Problemen, die durch nderungen an Rechnernamen, IP-Adressen, Clusternamen und Servernamen entstehen knnen Auswahl von SAP HANA als CMS-Datenbank nach der Erstinstallation der BI-Plattform Konfigurieren des auf einem WACS-Server gehosteten RESTfulWebdienstes Durchfhren eines Hotbackup (Anlegen einer Sicherungskopie, ohne die Server stoppen zu mssen) Anlegen einer Kopie einer BI-Plattform-Implementierung zu Test-, Standby- und anderen Zwecken Aktivieren und Konfigurieren von Integrationsdetails fr die Anwendung SAP StreamWork Anlegen und Zuweisen von Aufgaben zu den delegierten Administratoren Selbstreparaturmechanismus fr Plattformsuche

Auerdem wurden alle Verweise auf rollenbasierte Lizenzierung, BIAnalyst- und BI-Viewer-Benutzerkonten entfernt. SAP BusinessObjects November 2 Business Intelligence 012 4.0 Support Package 5 Zustze und nderungen in dieser Version: SAP BusinessObjects April 2013 Business Intelligence 4.0 Support Package 6 Die Anweisungen zum Starten von SAP-BusinessObjectsAnwendungen aus dem Windows-Startmen wurden aktualisiert. Hinzufgen eines neuen Knotens zu einem Cluster.

Zustze und nderungen in dieser Version: Das Kapitel Auditing wurde aktualisiert.

18

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence nderungen am Dokument

Version

Datum

Beschreibung Das Kapitel berwachung wurde aktualisiert. Das Handbuch zum Repository Diagnostic Tool ist nun in dieses Handbuch integriert. Der Anhang "Servermetrik" wurde aktualisiert.

SAP BusinessObjects August 2013 Business Intelligence 4.0 Support Package 7

nderungen in dieser Version: Das Kapitel Versionsverwaltung wurde aktualisiert. Das Kapitel Hochstufverwaltung wurde aktualisiert. Das Kapitel Grafischer Vergleich wurde aktualisiert. Das Kapitel Verwalten von Lizenzen wurde aktualisiert. Das Kapitel Sichern und Wiederherstellen wurde aktualisiert. Das Kapitel Kopieren der Implementierung wurde aktualisiert.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence nderungen am Dokument

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

19

2
2.1

Erste Schritte
Informationen zu dieser Hilfe

In dieser Hilfe finden Sie Informationen und Verfahren zur Implementierung und Konfiguration Ihres BI-PlattformSystems. Gngige Ablufe werden in schrittweisen Anleitungen beschrieben. Diese werden durch ausfhrliche Hintergrundinformationen und technische Erluterungen zu komplexeren Themenbereichen und Fragestellungen ergnzt. Informationen zur Installation dieses Produkts finden Sie im Installationshandbuch fr SAP BusinessObjects Business Intelligence.

2.1.1

An wen richtet sich diese Hilfe?

In dieser Hilfe werden Implementierungs- und Konfigurationsaufgaben erlutert. Lesen Sie dieses Handbuch, wenn Sie fr folgende Aufgaben verantwortlich sind: Planen der ersten Implementierung Konfigurieren der ersten Implementierung Umfangreiche nderungen an der Architektur vorhandener Implementierungen Optimieren der Systemleistung

Diese Hilfe richtet sich an Systemadministratoren, die mit der Konfiguration, Verwaltung und Wartung einer BIPlattform-Installation betraut sind. Es ist vorteilhaft, wenn Sie mit Ihrem Betriebssystem und Ihrer Netzwerkumgebung vertraut sind und ber Kenntnisse in Bezug auf die Verwaltung der Webanwendungsserver und Scripting-Technologien verfgen. Um Administratoren mit einem unterschiedlichem Erfahrungshintergrund zu untersttzen, bietet diese Hilfe jedoch detaillierte Hintergrundinformationen und Begriffserluterungen, durch die smtliche Verwaltungsaufgaben und -funktionen veranschaulicht werden.

2.1.2 Informationen zu SAP BusinessObjects Business Intelligence


Die BI-Plattform ist eine flexible, skalierbare und zuverlssige Lsung, mit der leistungsstarke, interaktive Berichte fr Endbenutzer ber eine beliebige Webanwendung Intranet, Extranet, Internet oder Unternehmensportal bereitgestellt werden knnen. Die BI-Plattform eignet sich fr unterschiedlichste Aufgaben von der Verteilung wchentlicher Umsatzstatistiken ber die Erstellung individueller Serviceangebote fr den Kunden bis hin zur Integration geschftskritischer Informationen in Unternehmensportale. Von den vielfltigen Vorteilen profitieren sowohl die Systemverwalter und Benutzer innerhalb des Unternehmens als auch externe Benutzer. Als integriertes Paket fr Berichterstellung, Analyse und die Zustellung von Informationen stellt die Plattform eine Lsung fr erhhte Endbenutzerproduktivitt und reduzierten Verwaltungsaufwand dar.

20

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Erste Schritte

2.1.3

Variablen

In diesem Handbuch werden die folgenden Variablen verwendet: Variable


<<INSTALLVERZ>>

Beschreibung
Das Installationsverzeichnis der BI-Plattform. Unter Windows lautet das Standardverzeichnis C:\Programme

(x86)\SAP BusinessObjects\.
<<PLATTFORM64VERZ>> Der Name Ihres Unix-Betriebssystems. Die folgenden Werte sind zulssig: <<SKRIPTVERZ>> aix_rs6000_64 linux_x64 solaris_sparcv9 hpux_ia64

Das Verzeichnis, in dem Skripte zur Verwaltung der BIPlattform gespeichert sind. Unter Windows: <<INSTALLVERZ>>\SAP

BusinessObjects Enterprise XI 4.0\win64_x64\scripts


Unter Unix: <<INSTALLVERZ>>/sap_bobj/

enterprise_xi40/<<PLATTFORM64VERZ>>/ scripts

2.2 2.2.1

Vor dem Beginn Grundlegende Begriffe

2.2.1.1

Dienste und Server

Die BI-Plattform verweist mithilfe der Termini Dienst und Server auf die beiden Arten von Software, die auf einem BI-Plattform-Rechner ausgefhrt werden. Ein Dienst ist ein Serveruntersystem, das eine bestimmte Funktion ausfhrt. Der Dienst wird im Arbeitsspeicherbereich des zugehrigen Servers und unter der Prozess-ID des bergeordneten Containers (Servers) ausgefhrt. Der Dienst zur zeitgesteuerten Verarbeitung von Web Intelligence ist beispielsweise ein Untersystem, das auf dem Adaptive Job Server ausgefhrt wird. Ein Server ist ein Prozess auf Betriebssystemebene (wird auf manchen Systemen Daemon genannt), der einen oder mehrere Dienste hostet. Der Central Management Server (CMS) und der Adaptive Processing Server sind

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Erste Schritte

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

21

beispielsweise Server. Ein Server wird unter einem bestimmten Betriebssystemkonto ausgefhrt und verfgt ber eine eigene PID. Ein Knoten entspricht einer Gruppe von BI-Plattform-Servern, die alle auf demselben Host ausgefhrt und vom selben Server Intelligence Agent (SIA) verwaltet werden. Auf einem einzelnen Host knnen sich ein oder mehrere Knoten befinden. Die BI-Plattform kann auf einem einzelnen Rechner installiert, ber verschiedene Rechner in einem Intranet verteilt oder in einem Wide Area Network (WAN) installiert werden.

Dienste, Server, Knoten und Hosts


Das folgende Diagramm zeigt eine hypothetische Installation der BI-Plattform. Die Anzahl der Dienste, Server, Knoten und Hosts sowie der Typ der Server und Dienste unterscheiden sich je nach Installation.

Zwei Hosts bilden ein Cluster mit der Bezeichnung ProductionBISystem, das zwei Hosts besitzt:

22

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Erste Schritte

Auf dem Host namens HostAlpha ist die BI-Plattform installiert. Er ist mit zwei Knoten konfiguriert: NodeMercury enthlt einen Adaptive Job Server (NodeMercury.AJS) mit Diensten zum zeitgesteuerten Verarbeiten und Verffentlichen von Berichten, einen Input File Repository Server (NodeMercury.IFRS) mit einem Dienst zum Speichern von Eingabeberichten sowie einen Output File Repository Server (NodeMercury.OFRS) mit einem Dienst zum Speichern der Berichtsausgabe. NodeVenus enthlt einen Adaptive Processing Server (NodeVenus.APS) mit Diensten zur Bereitstellung von Verffentlichungs-, berwachungs- und bersetzungsfunktionen, einen Adaptive Processing Server (NodeVenus.APS2) mit einem Dienst fr das Client-Auditing und einen Central Management Server (NodeVenus.CMS) mit einem Dienst zur Bereitstellung der CMS-Dienste.

Auf dem Host namens HostBeta ist die BI-Plattform installiert. Er ist mit drei Knoten konfiguriert: NodeMars enthlt einen Central Management Server (NodeMars.CMS) mit einem Dienst zur Bereitstellung der CMS-Dienste. Da der CMS auf zwei Rechnern installiert ist, stehen Lastausgleich, Abwehr- und Failover-Fhigkeiten zur Verfgung. NodeJupiter enthlt einen Web Intelligence Processing Server (NodeJupiter.Web Intelligence) mit einem Dienst zur Bereitstellung von Web-Intelligence-Berichtserstellungsfunktionen und einen Event Server (NodeJupiter.EventServer) zur Bereitstellung von Funktionen zur berwachung von Berichten. NodeSaturn enthlt einen Adaptive Processing Server (NodeSaturn.APS) mit einem Dienst zur Bereitstellung des Client-Auditings.

Zugehrige Links Serververwaltung

2.2.1.2

Server Intelligence

Server Intelligence ist eine zentrale Komponente der Business-Intelligence-Plattform. In der Central Management Console (CMC) angewendete nderungen an Serverprozessen werden vom CMS an die entsprechenden Serverobjekte bergeben. Der Server Intelligence Agent (SIA) wird verwendet, um Server automatisch neu zu starten oder herunterzufahren, wenn eine unerwartete Bedingung eintritt. Auerdem wird er vom Administrator zum Verwalten von Knoten genutzt. Der CMS archiviert Informationen zu Servern in der CMS-Systemdatenbank, sodass Sie problemlos Standardservereinstellungen wiederherstellen oder redundante Instanzen von Serverprozessen mit identischen Einstellungen erstellen knnen. Da der SIA regelmig Abfragen an den CMS sendet, um Informationen zu den von ihm verwalteten Servern anzufordern, wei der SIA, welchen Status Server aufweisen sollten und wann Manahmen zu ergreifen sind.

Hinweis
Eine BI-Plattform-Installation ist eine eindeutige Instanz von BI-Plattform-Dateien, die vom Installationsprogramm auf einem Rechner erstellt werden. Die Instanz einer BI-Plattform-Installation kann nur innerhalb eines einzigen Clusters verwendet werden. Knoten, die zu verschiedenen Clustern gehren und dieselbe BI-Plattform-Installation verwenden, werden nicht untersttzt, da diese Art der Implementierung nicht gepatcht oder aktualisiert werden kann. Nur Unix-Plattformen untersttzen mehrere Installationen der Software auf demselben Rechner, und zwar nur, wenn die Installation unter einem eindeutigen Benutzerkonto durchgefhrt und in einem eigenen Ordner installiert wird, sodass die Installationen keine Dateien gemeinsam

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Erste Schritte

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

23

nutzen. Beachten Sie, dass alle Rechner im Cluster dieselbe Version und denselben Patch-Level aufweisen mssen.

2.2.2

Schlsselprogramme fr die Verwaltung

2.2.2.1

Central Management Console (CMC)

Die Central Management Console (CMC) ist ein webbasiertes Tool, mit dem Sie administrative Aufgaben (z.B. Benutzer-, Inhalt- und Serververwaltung) ausfhren und Sicherheitseinstellungen konfigurieren knnen. Da es sich bei der CMC um eine webbasierte Anwendung handelt, knnen Sie alle administrativen Aufgaben in einem Webbrowser auf jedem Computer ausfhren, der eine Verbindung mit dem Webanwendungsserver herstellen kann.

Alle Benutzer knnen sich an der CMC anmelden, um ihre eigenen Einstellungen zu ndern. Verwaltungseinstellungen knnen nur von Mitgliedern der Gruppe "Administratoren" gendert werden, es sei denn, anderen Benutzern werden diese Rechte explizit gewhrt. In der CMC knnen Rollen zugewiesen werden, um Benutzerrechte fr die Ausfhrung kleinerer administrativer Aufgaben zu gewhren, z.B. Verwalten der Benutzer in Ihrer Gruppe oder Verwalten von Berichten in Ordnern, die Ihrem Team gehren.

2.2.2.2

Central Configuration Manager

Der Central Configuration Manager (CCM) ist ein Tool fr die Fehlerbehebung auf Servern und die Knotenverwaltung, das in zwei Varianten bereitgestellt wird. Unter Windows verwenden Sie den CCM, um lokale

24

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Erste Schritte

und Remote-Server ber die CCM-Benutzeroberflche oder eine Befehlszeile zu verwalten. Unter UNIX verwalten Sie Server mithilfe des CCM-Shell-Skripts (ccm.sh) ber eine Befehlszeile. Sie knnen mit dem CCM Knoten erstellen und konfigurieren sowie den Webanwendungsserver starten oder stoppen, sofern es der gebndelte standardmige Tomcat-Webanwendungsserver ist. Unter Windows ermglicht der CCM Ihnen die Konfiguration von Netzwerkparametern, z.B. der Secure-Socket-LayerVerschlsselung (SSL-Verschlsselung). Die Parameter gelten fr alle Server im Knoten.

Hinweis
Die meisten Serververwaltungsaufgaben werden ber die CMC und nicht im CCM ausgefhrt. Der CCM wird fr die Fehlerbehebung und die Knotenkonfiguration verwendet.

2.2.2.3

Repository Diagnostic Tool

Mit dem Repository Diagnostic Tool (RDT) knnen Sie Inkonsistenzen zwischen der CMS-Systemdatenbank und dem FRS-Dateispeicher (File Repository Server) suchen, diagnostizieren und reparieren. Der Benutzer kann einen Grenzwert fr die Anzahl der Fehler festlegen, die das RDT vor Ende der Ausfhrung findet und repariert. Das RDT sollte nach der Wiederherstellung Ihres BI-Plattform-Systems verwendet werden.

2.2.2.4

Upgrade-Management-Tool

Das Upgrade-Management-Tool (frher Import-Assistent) wird als Teil von SAP BusinessObjects Business Intelligence installiert und fhrt Administratoren durch den Prozess des Imports von Benutzern, Gruppen und Ordnern aus frheren Versionen von SAP BusinessObjects Business Intelligence. Auerdem knnen mit dem Tool Objekte, Ereignisse, Servergruppen, Repository-Objekte und Kalender importiert und aktualisiert werden. Informationen ber das Upgrade von einer frheren Version von SAP BusinessObjects Business Intelligence finden Sie im Aktualisierungshandbuch fr SAP BusinessObjects Business Intelligence.

2.2.3

Schlsselaufgaben

Je nach Situation mchten Sie sich vielleicht auf bestimmte Abschnitte dieser Hilfe konzentrieren. Auerdem kann es sein, dass andere Ressourcen fr Sie verfgbar sind. Fr jede der folgenden Situationen gibt es eine Liste, in der Aufgaben- und Themenvorschlge aufgefhrt sind. Zugehrige Links Planen oder Ausfhren der ersten Implementierung [Seite 26] Konfigurieren der Implementierung [Seite 26] Optimieren der Systemleistung [Seite 26] Central Management Console (CMC) [Seite 24]

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Erste Schritte

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

25

2.2.3.1

Planen oder Ausfhren der ersten Implementierung

Wenn Sie Ihre Erstimplementierung der BI-Plattform planen oder ausfhren, sollten Sie folgende Aufgaben ausfhren und die entsprechenden Abschnitte lesen: berblick ber die Architektur Erluterung der Kommunikation zwischen BI-Plattform-Komponenten. berblick zum Thema Sicherheit Authentifizierungsoptionen in BI-Plattform (falls Sie Drittherstellerauthentifizierung verwenden mchten) Serververwaltung (nach der Installation)

Weitere Informationen zur Installation dieses Produkts finden Sie im Installationshandbuch fr SAP BusinessObjects Business Intelligence. Informationen zum Beurteilen Ihrer Anforderungen und Gestalten einer Implementierungsarchitektur finden Sie im Planungshandbuch fr SAP BusinessObjects Business Intelligence. Zugehrige Links berblick ber die Architektur [Seite 28] Erluterung der Kommunikation zwischen BI-Plattform-Komponenten [Seite 162] berblick zum Thema Sicherheit [Seite 136] Authentifizierungsoptionen in BI-Plattform [Seite 199] Serververwaltung

2.2.3.2

Konfigurieren der Implementierung

Wenn Sie die Installation der BI-Plattform gerade abgeschlossen haben und erste Konfigurationsaufgaben wie Firewall-Konfiguration und Benutzerverwaltung ausfhren mchten, sollten Sie die folgenden Abschnitte lesen: Zugehrige Links Serververwaltung Kommunikation zwischen BI-Plattform-Komponenten [Seite 165] berblick zum Thema Sicherheit [Seite 136] Informationen zur berwachung [Seite 586]

2.2.3.3

Optimieren der Systemleistung

Um die Effizienz der Implementierung zu ermitteln und zu optimieren und Ressourcen maximal zu nutzen, sollten Sie folgende Abschnitte lesen: Wenn Sie eine Systemberwachung fr Ihr System einrichten mchten, sollten Sie den Abschnitt zur berwachung lesen. Informationen zu tglichen Wartungsaufgaben und Verfahren zum Arbeiten mit Servern in der CMC finden Sie im Abschnitt zur Serverwartung.

Zugehrige Links Informationen zur berwachung [Seite 586] Serververwaltung

26

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Erste Schritte

2.2.3.4

Arbeiten mit Objekten in der CMC

Wenn Sie mit Objekten in der CMC arbeiten, sollten Sie die folgenden Abschnitte lesen: Informationen ber das Einrichten von Benutzern und Gruppen in der CMC finden Sie unter bersicht ber die Kontoverwaltung. Informationen zum Einstellen der Sicherheit fr Objekte finden Sie unter Berechtigungen in BusinessObjects Enterprise. Allgemeine Informationen zum Arbeiten mit Objekten finden Sie im Benutzerhandbuch fr SAP BusinessObjects Business Intelligence.

Zugehrige Links bersicht ber die Kontoverwaltung [Seite 84] Funktionsweise von Rechten in der BI-Plattform [Seite 108]

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Erste Schritte

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

27

3
3.1

Architektur
berblick ber die Architektur

In diesem Abschnitt werden die gesamte Plattformarchitektur sowie System- und Dienstkomponenten erlutert, aus denen sich SAP BusinessObjects Business Intelligence zusammensetzt. Die Informationen sollen Administratoren helfen, die Grundlagen des Systems zu verstehen und einen Plan fr die Implementierung, Verwaltung und Wartung des Systems zu entwickeln.

Hinweis
Eine Liste der untersttzten Plattformen, Sprachen, Datenbanken, Webanwendungsserver, Webserver und der anderen von diesem Release untersttzten Systemen finden Sie in der Product Availability Matrix (Supported Platforms/PAR) im Bereich "SAP BusinessObjects" auf dem SAP Support Portal unter: https:// service.sap.com/bosap-support. SAP BusinessObjects Business Intelligence ist fr hohe Leistung in einem breiten Spektrum von Benutzer- und Implementierungsszenarios ausgelegt. Beispielsweise stehen spezialisierte Plattformdienste entweder fr Datenzugriff auf Abruf und Berichtgenerierung oder fr die zeitgesteuerte Berichtverarbeitung auf Zeit- bzw. Ereignisbasis zur Verfgung. Sie knnen prozessorintensive Zeitsteuerungs- und Verarbeitungsaufgaben verlagern, indem Sie dedizierte Server zum Hosten von spezifischen Diensten erstellen. Die Architektur ist so konzipiert, dass sie die Anforderungen praktisch jeder BI-Implementierung erfllt und flexibel mitwchst von einigen Benutzern mit einem Tool bis hin zu Tausenden Benutzern mit mehreren Tools und Benutzeroberflchen. Entwickler knnen die Plattform SAP BusinessObjects Business Intelligence in andere Technologiesysteme Ihres Unternehmens mit Webdiensten, Java- oder .NET-APIs (Application Programming Interfaces) integrieren. Endbenutzer knnen unter anderem ber die folgenden spezialisierten Tools und Anwendungen auf Berichte zugreifen sowie Berichte erstellen, bearbeiten und mit ihnen interagieren: Vom Installationsprogramm der Clienttools von Business Intelligence installierte Clients: Web-Intelligence-Rich-Client Business View Manager Berichtskonvertierungstool Universe-Design-Tool Query as a Web Service Information-Design-Tool (frher Information Designer) bersetzungsmanagement-Tool (frher bersetzungsmanager) Widgets (frher BI Widgets) SAP Crystal Reports SAP BusinessObjects Dashboards (frher Xcelsius) SAP BusinessObjects Analysis (frher Voyager) BI-Arbeitsbereiche (frher Dashboard Builder)

Separat erhltliche Clients:

IT-Abteilungen knnen Daten- und Systemverwaltungstools mit folgenden Komponenten verwenden: Bericht-Viewer

28

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

Central Management Console (CMC) Central Configuration Manager (CCM) Repository Diagnostic Tool (RDT) Datenfderations-Administrationstool Upgrade-Management-Tool (frher Import-Assistent) Universe-Design-Tool (frher Universe Designer) SAP BusinessObjects Mobile

Um fr Flexibilitt, Zuverlssigkeit und Skalierbarkeit zu sorgen, knnen SAP BusinessObjects Business Intelligence-Komponenten auf einem oder ber mehrere Rechner verteilt installiert werden. Sie knnen sogar zwei verschiedene Versionen von Business Intelligence gleichzeitig auf demselben Computer installieren. Diese Konfiguration wird jedoch nur im Rahmen des Upgrade-Prozesses oder zu Testzwecken empfohlen. Serverprozesse knnen aus Kostenersparnisgrnden vertikal skaliert werden (wobei auf einem Computer mehrere oder alle serverseitigen Prozesse ausgefhrt werden), oder sie knnen zur Leistungssteigerung horizontal skaliert werden (wobei Serverprozesse auf zwei oder mehr Netzwerkrechner verteilt werden). Es knnen auch mehrere redundante Versionen desselben Serverprozesses auf mehr als einem Rechner ausgefhrt werden, so dass die Verarbeitung fortgesetzt werden kann, wenn beim Primrprozess Probleme auftreten.

Hinweis
Es kann zwar eine Kombination aus Windows- und Unix-Plattformen verwendet werden, von der Verwendung unterschiedlicher Betriebssysteme fr CMS-Prozesse wird jedoch abgeraten.

3.1.1

Architekturdiagramm

SAP BusinessObjects Business Intelligence ist eine BI-Plattform (Business Intelligence), die Analyse- und Berichterstellungstools auf Unternehmensebene zur Verfgung stellt. Daten knnen aus einer Vielzahl untersttzter Datenbanksysteme analysiert werden (einschlielich Text- oder mehrdimensionalen OLAPSystemen), und BI-Berichte knnen in vielen verschiedenen Formaten in zahlreichen Publikationssystemen verffentlicht werden. Im folgenden Diagramm werden die Komponenten der BI-Plattform, darunter Server und Clienttools, sowie zustzliche Analyseprodukte, Webanwendungskomponenten und Datenbanken veranschaulicht, die Bestandteil einer BI-Plattform-Landschaft sein knnen.

Tipp
Interagieren Sie mithilfe des http://scn.sap.com/docs/DOC-26788 im SAP Community Network mit einer detaillierteren Ansicht aller Komponenten und Server der BI-Plattform.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

29

Die BI-Plattform stellt Berichte ber eine schreibgeschtzte Verbindung mit den Datenbanken Ihres Unternehmens zur Verfgung und verwendet eigene Datenbanken, in denen seine Konfigurations-, berwachungs- und andere operative Daten gespeichert werden. Die vom System erstellten BI-Berichte knnen an eine Vielzahl von Zielen, z.B. Dateisysteme und E-Mail, gesendet oder ber Websites oder Portale aufgerufen werden. Die BI-Plattform ist ein eigenstndiges System, das auf einem Einzelrechner (z.B. einer kleinen Entwicklungsoder Testumgebung im Vorfeld der Produktion) installiert oder auf einem Cluster von zahlreichen Rechnern, auf denen unterschiedliche Komponenten ausgefhrt werden (z.B. als umfangreiche Produktionsumgebung), verteilt werden kann.

3.1.2

Architekturschichten

SAP BusinessObjects Business Intelligence kann als eine Reihe von konzeptionellen Schichten verstanden werden.

30

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

Clientschicht
Die Clientschicht enthlt alle Desktop-Clientanwendungen, die mit SAP BusinessObjects Business Intelligence interagieren, um eine Vielzahl von Berichts-, Analyse- und Verwaltungsfunktionen bereitzustellen. Beispiele sind der Central Configuration Manager (BI-Plattform-Installationsprogramm), das Information-Design-Tool (Installationsprogramm fr BI-Plattform-Clienttools) und SAP Crystal Reports 2011 (getrennt verfgbar und installiert).

Webschicht
Die Webschicht enthlt Webanwendungen, die auf einem Java-Webanwendungsserver implementiert wurden. Webanwendungen bieten Endbenutzern ber einen Webbrowser SAP BusinessObjects Business IntelligenceFunktionalitt. Beispiele von Webanwendungen sind die administrative Webschnittstelle Central Management Console (CMC) und BI-Launchpad. Auerdem enthlt die Webschicht Webdienste. Webdienste bieten Softwaretools SAP BusinessObjects Business Intelligence-Funktionalitt ber den Webanwendungsserver, beispielsweise Sitzungsauthentifizierung, Management von Benutzerrechten, zeitgesteuerte Verarbeitung, Suchen, Verwaltung, Berichterstellung und Abfragemanagement. Beispielsweise ist Live Office ein Produkt, das mit Webdiensten das SAP BusinessObjects Business Intelligence-Reporting in Microsoft Office-Produkte integriert.

Verwaltungsschicht
Die Verwaltungsschicht (auch Intelligence-Schicht genannt) koordiniert und steuert alle Komponenten, aus denen sich SAP BusinessObjects Business Intelligence zusammensetzt. Sie besteht aus dem Central Management Server (CMS) und dem Event Server sowie zugehrigen Diensten. Der CMS enthlt Sicherheits- und Konfigurationsinformationen, sendet Dienstanforderungen an Server, verwaltet die berwachung und die CMSSystemdatenbank. Der Event Server verwaltet dateibasierte Ereignisse, die auf der Speicherschicht eintreten.

Speicherschicht
Die Speicherschicht ist fr die Verwaltung von Dateien, z.B. Dokumente und Berichte, zustndig. Der Input File Repository-Server verwaltet Dateien mit Informationen, die in Berichten wie den folgenden Dateitypen verwendet werden sollen: .rpt, .car, .exe, .bat, .js, .xls, .doc, .ppt, .rtf, .txt, .pdf, .wid, .rep, .unv. Der Output File Repository-Server verwaltet vom System erstellte Berichte wie die folgenden Dateitypen: .rpt, .csv, .xls, .doc, .rtf, .txt, .pdf, .wid, .rep. Die Speicherschicht bernimmt auerdem das Berichtscaching, um Systemressourcen zu sparen, wenn Benutzer auf Berichte zugreifen.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

31

Verarbeitungsschicht
Die Verarbeitungsschicht analysiert Daten und erzeugt Berichte. Dies ist die einzige Schicht, die auf die Datenbanken zugreift, die Berichtsdaten enthalten. Diese Schicht besteht aus dem Adaptive Job Server, Connection Server (32- und 64-Bit-Versionen) und Verarbeitungsservern wie dem Adaptive Processing Server oder Crystal Reports Processing Server.

Datenschicht
In der Datenschicht sind die eigentlichen Berichts- und Systemdaten angesiedelt. Beispielsweise Berichtsdaten in relationalen Datenbanken, OLAP-Datenquellen und die eigentlichen Universumsdateien (.unx und .unv). Oder Systemdatenbanken fr den CMS, den Audit-Datenspeicher, die Hochstufverwaltung und das berwachungstool.

3.1.3

Datenbanken

SAP BusinessObjects Business Intelligence verwendet mehrere unterschiedliche Datenbanken. Reporting-Datenbank Dies bezieht sich auf die Informationen des Unternehmens. Es handelt sich dabei um die Quellinformationen, die von Produkten der SAP BusinessObjects Business Intelligence Suite analysiert und in Berichten erfasst werden. Meist sind die Informationen in einer Datenbank gespeichert, sie knnen jedoch auch in Textdateien, Microsoft Office-Dokumenten oder OLAP-Systemen enthalten sein. CMS-Systemdatenbank In der CMS-Systemdatenbank werden Informationen von SAP BusinessObjects Business Intelligence gespeichert, zum Beispiel zu Benutzern, Servern, Ordnern, Dokumenten, Konfigurationen und Authentifizierungen. Sie wird vom Central Management Server (CMS) verwaltet und manchmal als SystemRepository bezeichnet. Audit-Datenspeicher Im Audit-Datenspeicher werden Informationen zu verfolgbaren Ereignissen gespeichert, die in SAP BusinessObjects Business Intelligence auftreten. Anhand dieser Informationen knnen Sie die Nutzung von Systemkomponenten, die Benutzeraktivitt oder andere Aspekte des tglichen Betriebs berwachen. Versionsverwaltungsdatenbank Mit der Versionsverwaltungsdatenbank werden Konfigurations- und Versioninformationen im Zusammenhang mit einer SAP-BusinessObjects-Business-Intelligence-Installation sowie Updates verfolgt. berwachungsdatenbank Die berwachung speichert mit der Java Derby-Datenbank Systemkonfigurations- und Komponenteninformationen fr die SAP-Untersttzbarkeit.

Wenn Sie nicht ber einen Datenbankserver zur Verwendung mit der CMS-System- und der AuditDatenspeicherdatenbank verfgen, kann ein Server vom Installationsprogramm von SAP BusinessObjects Business Intelligence installiert und konfiguriert werden. Es empfiehlt sich, die Unternehmensanforderungen auf Basis der Informationen des Datenbankserverproviders zu bewerten. So knnen Sie feststellen, welche der untersttzten Datenbanken die Anforderungen am besten erfllt.

32

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

3.1.4

Server

SAP BusinessObjects Business Intelligence besteht aus Servergruppen, die auf einem oder mehreren Hosts ausgefhrt werden. Kleine Installationen (wie beispielsweise Test- oder Entwicklungssysteme) knnen einen einzelnen Host fr einen Webanwendungsserver, Datenbankserver und smtliche Server von SAP BusinessObjects Business Intelligence verwenden. Mittlere und groe Installationen knnen ber Server verfgen, die auf mehreren Hosts ausgefhrt werden. So kann ein Webanwendungsserver-Host in Kombination mit einem SAP BusinessObjects Business IntelligenceServerhost verwendet werden. Dadurch werden Ressourcen auf dem SAP BusinessObjects Business IntelligenceServerhost freigesetzt, wodurch dieser in der Lage ist, mehr Informationen zu verarbeiten, als wenn er zustzlich den Webanwendungsserver hosten wrde. Groe Installationen knnen ber mehrere SAP BusinessObjects Business Intelligence-Serverhosts verfgen, die in einem Cluster zusammenarbeiten. Wenn eine Organisation beispielsweise ber eine groe Anzahl an SAPCrystal-Reports-Benutzern verfgt, lassen sich Crystal Reports Processing Server auf mehreren SAP BusinessObjects Business Intelligence-Serverhosts erstellen, um zu gewhrleisten, dass ausreichend Ressourcen zur Verarbeitung von Clientanforderungen verfgbar sind. Die Verwendung mehrerer Server bietet unter anderem folgende Vorteile: Optimierte Leistung Mehrere SAP BusinessObjects Business Intelligence-Serverhosts knnen Berichtsinformationen, die in einer Warteschlange stehen, schneller verarbeiten als ein einziger SAP BusinessObjects Business IntelligenceServerhost. Lastausgleich Wenn die Arbeitslast eines Servers grer ist als die der anderen Server in einem Cluster, sendet der CMS neue Auftrge automatisch an einen Server mit besseren Ressourcen. Hhere Verfgbarkeit Wenn auf einem Server ein unerwarteter Fehlerzustand eintritt, leitet der CMS die Auftrge automatisch an andere Server um, bis der Fehlerzustand korrigiert wurde.

3.1.5

Webanwendungsserver

Ein Webanwendungsserver fungiert als bersetzungsschicht zwischen Webbrowsern oder Rich-Anwendungen und SAP BusinessObjects Business Intelligence. Webanwendungsserver unter Windows, Unix und Linux werden untersttzt. Eine ausfhrliche Liste der untersttzten Webanwendungsserver finden Sie im Dokument Platform Availability Matrix unter http://service.sap.com/bosap-support/. Wenn kein Webanwendungsserver fr den Einsatz mit SAP BusinessObjects Business Intelligence vorhanden ist, kann das Installationsprogramm einen Tomcat 6-Webanwendungsserver fr Sie installieren und konfigurieren. Es empfiehlt sich, die eigenen Anforderungen mit den Informationen von Ihrem Anbieter fr Webanwendungsserver abzugleichen, um unter den untersttzten Webanwendungsservern den fr Ihre Geschftsanforderungen geeignetsten Server zu finden.

Hinweis
Wenn Sie eine Produktionsumgebung konfigurieren, wird empfohlen, den Webanwendungsserver auf einem separaten System zu hosten. Wenn SAP BusinessObjects Business Intelligence und ein

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

33

Webanwendungsserver in einer Produktionsumgebung auf demselben Host ausgefhrt werden, knnen Leistungseinbuen nicht ausgeschlossen werden.

3.1.5.1

Web Application Container Service (WACS)

Zum Hosten von SAP BusinessObjects Business Intelligence-Webanwendungen ist ein Webanwendungsserver erforderlich. Wenn Sie ein erfahrener Administrator von Java-Webanwendungsservern mit erweiterten Verwaltungsanforderungen sind, hosten Sie SAP BusinessObjects Business Intelligence-Webanwendungen mithilfe eines untersttzten Java-Webanwendungsservers. Wenn Sie zum Hosten von SAP BusinessObjects Business Intelligence ein untersttztes Windows-Betriebssystem verwenden und einen einfachen Installationsprozess fr den Webanwendungsserver bevorzugen oder nicht die zur Verwaltung eines JavaWebanwendungsservers bentigten Ressourcen besitzen, knnen Sie bei der Installation von SAP BusinessObjects Business Intelligence einen Web Application Container Service (WACS) installieren. WACS ist ein SAP BusinessObjects Business Intelligence-Server, der die Ausfhrung von SAP BusinessObjects Business Intelligence-Webanwendungen wie die Central Management Console (CMC), BI-Launchpad und Webdiensten ermglicht, ohne dass vorher ein Java-Webanwendungsserver installiert werden muss. Die Verwendung des WACS bietet eine Reihe von Vorteilen: Der WACS erfordert nur ein Minimum an Installations-, Wartungs- und Konfigurationsschritten. Er wird vom SAP BusinessObjects Business Intelligence-Installationsprogramm installiert und konfiguriert. Es sind keine weiteren Schritte erforderlich, um ihn verwenden zu knnen. Die Verwendung eines WACS setzt keine Kenntnisse in der Verwaltung und Wartung eines JavaAnwendungsservers voraus. Der WACS bietet eine Verwaltungsoberflche, die mit der anderer SAP BusinessObjects Business Intelligence-Server bereinstimmt. Der WACS kann wie andere SAP BusinessObjects Business Intelligence-Server auf einem dedizierten Host installiert werden.

Hinweis
Wenn ein WACS anstelle eines dedizierten Java-Webanwendungsservers verwendet wird, sind einige Einschrnkungen gegeben: Der WACS ist nur auf untersttzten Windows-Betriebssystemen verfgbar. Benutzerdefinierte Webanwendungen knnen nicht auf dem WACS implementiert werden, da dieser nur mit SAP BusinessObjects Business Intelligence installierte Webanwendungen untersttzt. Der WACS kann nicht mit einem Apache-Lastausgleichsmodul eingesetzt werden.

Zustzlich zum WACS kann ein dedizierter Webanwendungsserver verwendet werden. Der dedizierte Webanwendungsserver kann dann benutzerdefinierte Webanwendungen hosten, whrend die CMC und andere Webanwendungen von SAP BusinessObjects Business Intelligence vom WACS gehostet werden.

34

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

3.1.6

Software Development Kits

Mithilfe eines Software Development Kits (SDK) knnen Entwickler Elemente von SAP BusinessObjects Business Intelligence in unternehmenseigene Anwendungen und Systeme einbinden. SAP BusinessObjects Business Intelligence bietet SDKs fr die Softwareentwicklung auf Java- und .NETPlattformen.

Hinweis
Die .NET-SDKs von SAP BusinessObjects Business Intelligence werden nicht standardmig installiert, sondern mssen von SAP Service Marketplace heruntergeladen werden. Die folgenden SDKs werden von SAP BusinessObjects Business Intelligence untersttzt: SAP BusinessObjects Business Intelligence Java SDK und .NET SDK Mit den SDKs von SAP BusinessObjects Business Intelligence knnen Anwendungen verschiedene Aufgaben ausfhren, darunter die Authentifizierung, Sitzungsverwaltung, Arbeit mit Repository-Objekten, zeitgesteuerte Verarbeitung von Berichten, Berichtsverffentlichung und Serververwaltung.

Hinweis
Verwenden Sie das Java SDK, um vollen Zugriff auf Sicherheits-, Serververwaltungs- und Auditingfunktionen zu erhalten. RESTful-Webdienste-SDK fr SAP BusinessObjects Business Intelligence Das RESTful-Webdienste-SDK fr die Business-Intelligence-Plattform ermglicht Ihnen den Zugriff auf die BIPlattform anhand des HTTP-Protokolls. Mit diesem SDK knnen Sie sich bei der BI-Plattform anmelden, zum BI-Plattform-Repository navigieren, auf Ressourcen zugreifen und grundlegende Ressourcenplanung durchfhren. Sie knnen auf dieses SDK zugreifen, indem Sie Anwendungen entwickeln, die eine beliebige Programmiersprache verwenden, die das HTTP-Protokoll untersttzt, oder indem Sie ein beliebiges Tool verwenden, das HTTP-Anforderungen untersttzt. SAP BusinessObjects Business Intelligence Java Consumer SDK und .NET SDK Eine Implementierung von SOAP-basierten Webdiensten, mit deren Hilfe Sie die Benutzerauthentifizierung und Sicherheit, den Zugriff auf Dokumente und Berichte, die zeitgesteuerte Verarbeitung, Verffentlichungen und die Serververwaltung handhaben knnen. Die Webdienste von SAP BusinessObjects Business Intelligence verwenden Standards wie XML, SOAP, AXIS 2.0 und WSDL. Die Plattform erfllt die Webdienstspezifikation WS-Interoperability Basic Profile 1.0.

Hinweis
Webdienstanwendungen werden derzeit nur mit den folgenden Konfigurationen fr den Lastausgleich untersttzt: 1. 2. 3. 4. Persistenz der Quell-IP-Adresse Persistenz der Quell-IP und des Zielports (nur auf Cisco Content Services Switch verfgbar) SSL-Persistenz Cookie-basierte Sitzungspersistenz

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

35

Hinweis
Die SSL-Persistenz kann in einigen Webbrowsern zu Problemen in Bezug auf Sicherheit und Zuverlssigkeit fhren. Wenden Sie sich an Ihren Netzwerkadministrator, um zu ermitteln, ob SSLPersistenz fr Ihr Unternehmen geeignet ist. Datenzugriffstreiber- und Verbindungs-Java-SDKs Mit diesen SDKs knnen Sie Datenbanktreiber fr den Connection Server erstellen und Datenbankverbindungen verwalten. Semantic Layer Java SDK Mit dem Semantic Layer Java SDK knnen Sie eine Java-Anwendung entwickeln, die Administrations- und Sicherheitsaufgaben fr Universen und Verbindungen ausfhrt. Sie knnen beispielsweise Dienste fr die Verffentlichung eines Universums auf einem Repository oder zum Abrufen einer gesicherten Verbindung von einem Repository in ihrem Arbeitsbereich implementieren. Diese Anwendung kann in Business-IntelligenceLsungen eingebettet werden, die als OEM in SAP BusinessObjects Business Intelligence integriert sind. Report Application Server Java SDK und .NET SDK Dank der SDKs von Report Application Server knnen Anwendungen vorhandene Crystal-Reports-Berichte ffnen, erstellen und ndern. Dies umfasst unter anderem des Festlegen von Parameterwerten, das ndern von Datenquellen und den Export in andere Formate wie XML, PDF, Microsoft Word und Microsoft Excel. Java- und .NET-Crystal-Reports-Viewer Mithilfe der Viewer knnen Anwendungen Crystal-Reports-Berichte anzeigen und exportieren. Folgende Viewer stehen zur Verfgung: Viewer fr DHTML-Berichtseiten: Stellt Daten dar und ermglicht Drilldowns, Seitennavigation, Zoomen, Eingabeaufforderungen, Suchvorgnge, Hervorhebungen, Export und Druck. Viewer fr Berichtbestandteile: Bietet die Mglichkeit, einzelne Bestandteile eines Berichts wie Diagramme, Text und Felder anzuzeigen.

Report Engine Java SDK und .NET SDK Die Report Engine-SDKs ermglichen Anwendungen die Interaktion mit Berichten, die mit SAP BusinessObjects Web Intelligence erstellt wurden. Diese SDKs beinhalten Bibliotheken, mit deren Hilfe sich ein Designtool fr Webberichte erstellen lsst. Die mit den SDKs erstellten Anwendungen knnen eine Vielzahl verschiedener Dokumente von SAP BusinessObjects Web Intelligence anzeigen, erstellen oder ndern. Benutzer knnen Dokumente bearbeiten, indem sie Objekte wie Tabellen, Diagramme, Bedingungen und Filter hinzufgen, entfernen und ndern. Plattformsuche-SDK: Das Plattformsuche-SDK ist die Schnittstelle zwischen der Clientanwendung und dem Plattformsuchdienst. Die Plattformsuche untersttzt das Public SDK, das mit dem Plattformsuche-SDK ausgeliefert wird. Wenn ein Suchanfrageparameter ber die Clientanwendung an die SDK-Schicht gesendet wird, konvertiert die SDK-Schicht den Anfrageparameter in ein XML-codiertes Format und bermittelt ihn an den Plattformsuchdienst.

Die SDKs knnen in Kombination verwendet werden, um Anwendungen mit einer breiten Palette an BI-Funktionen auszustatten. Weitere Informationen ber diese SDKs, einschlielich Entwicklerhandbcher und API-Referenzen, finden unter http://help.sap.com.

36

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

3.1.7 3.1.7.1

Data sources Universen

Das Universum abstrahiert komplexe Daten durch die Verwendung einer Geschfts- anstatt einer Datensprache, um auf Daten zuzugreifen, sie zu bearbeiten und zu organisieren. Diese Geschftssprache wird in Form von Objekten in einer Universumsdatei gespeichert. Web Intelligence und Crystal Reports verwenden Universen, um die Benutzererstellung zu vereinfachen, die fr einfache und komplexe Endbenutzerabfragen und -analysen erforderlich ist. Universen sind Kernkomponenten von SAP BusinessObjects Business Intelligence. Alle Universumsobjekte und verbindungen werden vom Connection Server im zentralen Repository gespeichert und gesichert. UniverseDesign-Tools mssen sich bei SAP BusinessObjects Business Intelligence anmelden, um auf das System zuzugreifen und Universen zu erstellen. Der Universumszugriff und die Sicherheit auf Zeilenebene knnen auch auf Ebene von Gruppen oder einzelnen Benutzern innerhalb der Entwurfsumgebung verwaltet werden. Die semantische Ebene ist die Voraussetzung dafr, dass Web-Intelligence-Dokumente unter Verwendung mehrerer synchronisierter Datenprovider, einschlielich OLAP (Online Analytical Processing) und CWM (Common Warehousing Metamodel), bereitstellen kann.

3.1.7.2

Business Views

Business Views vereinfachen die Berichterstellung und Interaktion, indem die Komplexitt von Daten fr Berichtsentwickler abstrahiert wird. Business Views helfen, Datenverbindungen, Datenzugriff, Business Elements und Zugriffskontrolle zu trennen. Business Views knnen nur von Crystal-Reports-Berichten verwendet werden und vereinfachen den Datenzugriff und die Sicherheit zur Ansichtszeit, die fr die Erstellung von Crystal Reports-Berichten erforderlich ist. Business Views untersttzen die Kombination mehrerer Datenquellen in einer einzelnen Ansicht. Business Views werden in SAP BusinessObjects Business Intelligence voll untersttzt. SAP BusinessObjects Business Intelligence umfasst eine Reihe dedizierter, vorab konfigurierter Plattformverwaltungsdienste fr Aufgaben wie Kennwortverwaltung, Servermetriken und die Benutzerzugriffssteuerung, um dezentrale Verwaltungsfunktionen zu untersttzen.

3.1.8

Authentifizierung und Einzelanmeldung

Die Systemsicherheit wird vom Central Management Server (CMS), von Sicherheits-Plugins und von Authentifizierungstools von Drittherstellern verwaltet, z.B. SiteMinder oder Kerberos. Durch diese Komponenten werden Benutzer authentifiziert und der Benutzerzugriff fr SAP BusinessObjects Business Intelligence, zugehrige Ordner und weitere Objekte autorisiert. Folgende Sicherheits-Plugins fr die Einzelanmeldungs-Benutzerauthentifizierung stehen zur Verfgung: Enterprise (Standard), einschlielich Untersttzung fr die vertrauenswrdige Authentifizierung zur Drittherstellerauthentifizierung

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

37

LDAP Windows Active Directory (AD)

Bei Verwendung eines ERP-Systems (Enterprise Resource Planning) wird der Benutzerzugriff auf das ERPSystem ber die Einzelanmeldung authentifiziert, sodass sich Berichte fr ERP-Daten erstellen lassen. Fr ERPSysteme werden folgende Einzelanmeldungs-Benutzerauthentifizierungsarten untersttzt: SAP ERP und Business Warehouse (BW) Oracle E-Business Suite (EBS) Siebel Enterprise JD Edwards Enterprise One PeopleSoft Enterprise

3.1.8.1

Sicherheits-Plugins

Sicherheits-Plugins automatisieren die Kontoerstellung und -verwaltung, indem sie Ihnen erlauben, Benutzerkonten von Fremdsystemen der Business-Intelligence-Plattform (BI-Plattform) zuzuordnen. Sie knnen Benutzerkonten von Drittherstellern vorhandenen Enterprise-Benutzerkonten zuordnen. Auerdem knnen Sie neue Enterprise-Benutzerkonten erstellen, die jedem zugeordneten Objekt im externen System entsprechen. Die Sicherheits-Plugins verwalten die Benutzer- und Gruppenlisten von Drittherstellern dynamisch. Nachdem Sie eine LDAP-Gruppe (Lightweight Directory Access Protocol) oder AD-Gruppe (Windows Active Directory) der BIPlattform zugeordnet haben, knnen sich alle Benutzer, die zu dieser Gruppe gehren, an der BI-Plattform anmelden. Nachfolgende nderungen an Gruppenmitgliedschaften des Drittherstellerprodukts werden automatisch weitergegeben. Die BI-Plattform untersttzt folgende Sicherheits-Plugins: Enterprise-Sicherheits-Plugin Der Central Management Server (CMS) verwaltet Sicherheitsdaten, z.B. Benutzerkonten, Gruppenmitgliedschaften und Objektrechte, die Benutzer- und Gruppenberechtigungen definieren. Dies wird als Enterprise-Authentifizierung bezeichnet. Die Enterprise-Authentifizierung ist immer aktiviert und kann nicht deaktiviert werden. Verwenden Sie die vom System vorgegebene Enterprise-Authentifizierung, wenn Sie fr die Arbeit mit SAP BusinessObjects Business Intelligence eindeutige Konten und Gruppen erstellen mchten oder noch keine Benutzer- und Gruppenhierarchie auf einem LDAP- oder Windows AD-Server erstellt wurde. Die vertrauenswrdige Authentifizierung gehrt zur Enterprise-Authentifizierung und ist in Einzelanmeldungslsungen von Drittherstellern integriert, einschlielich Java Authentication and Authorization Service (JAAS). Anwendungen, die eine Vertrauensstellung beim Central Management Server haben, knnen die vertrauenswrdige Authentifizierung verwenden, damit sich Benutzer ohne Angabe ihrer Kennwrter anmelden knnen. LDAP-Sicherheits-Plugin Windows AD

Hinweis
Obwohl ein Benutzer die Windows AD-Authentifizierung fr SAP BusinessObjects Business Intelligence und benutzerdefinierte Anwendungen ber die CMC konfigurieren kann, untersttzen die CMC und BILaunchpad selbst keine Windows AD-Authentifizierung mit NTLM. Die einzigen

38

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

Authentifizierungsmethoden, die von der CMC und BI-Launchpad untersttzt werden, sind Windows AD mit Kerberos, LDAP, Enterprise und die vertrauenswrdige Authentifizierung.

3.1.8.2

ERP-Integration (Enterprise Resource Planning)

ERP-Anwendungen untersttzen die wesentlichen Funktionen der Prozesse einer Organisation, indem sie Echtzeitdaten ber tgliche Geschftsoperationen erfassen. SAP BusinessObjects Business Intelligence untersttzt die Einzelanmeldung und Berichterstellung aus einer Reihe von ERP-Systemen. Weitere Informationen finden Sie in der Product Availability Matrix (PAM) von SAP BusinessObjects BI 4.0 auf http:// service.sap.com/pam. Die SAP ERP- und BW-Untersttzung ist standardmig installiert. Mit der Installationsoption Benutzerdefiniert/ Erweitert knnen Sie die Auswahl der SAP-Integrationsuntersttzung aufheben, wenn Sie keine Untersttzung fr SAP ERP oder BW wnschen. Die Untersttzung fr andere ERP-Systeme wird nicht standardmig installiert. Mit der Installationsoption Benutzerdefiniert/Erweitert knnen Sie die Integration fr SAP-fremde ERP-Systeme auswhlen und installieren. Informationen zur Konfiguration der ERP-Integration finden Sie im Administratorhandbuch fr SAP BusinessObjects Business Intelligence.

3.1.9

SAP-Integration

SAP BusinessObjects Business Intelligence ist mit den folgenden SAP-Tools in die vorhandene SAP-Infrastruktur integriert: SAP System Landscape Directory (SLD) System Landscape Directory von SAP NetWeaver ist die zentrale Quelle von Systemlandschaftsinformationen, die fr die Verwaltung des Softwarelebenszyklus relevant sind. Durch Bereitstellung eines Verzeichnisses, das Informationen ber die gesamte von SAP verfgbare installierbare Software sowie automatisch aktualisierte Daten ber die bereits in einer Landschaft installierten Systeme enthlt, erhalten Sie die Grundlage fr die Tooluntersttzung zur Planung von Softwarelebenszyklusaufgaben in der Systemlandschaft. Das SAP BusinessObjects Business Intelligence-Installationsprogramm registriert mit SLD die Hersteller- und Produktnamen, Versionen, Server- und Frontend-Komponentennamen, Versionen und den Speicherort. SAP Solution Manager SAP Solution Manager ist eine Plattform, die integrierte Inhalte, Tools und Methodiken zur Implementierung, zur Untersttzung, zum Betrieb und zur berwachung von SAP-Systemen und anderen Systemen zur Verfgung stellt. Software, die nicht von SAP stammt und eine von SAP zertifizierte Integration beinhaltet, wird in ein zentrales Repository eingetragen und automatisch in SAP System Landscape Directory (SLD) bertragen. SAP-Kunden knnen einfach ermitteln, welche Version der Drittanbieter-Produktintegration von SAP innerhalb der SAPSystemumgebung zertifiziert wurde. Dieser Dienst bietet neben unseren Onlinekatalogen fr Drittherstellerprodukte zustzliche Informationen zu Drittherstellerprodukten. SAP Solution Manager steht SAP-Kunden ohne zustzliche Gebhren zur Verfgung und ermglicht direkten Zugang zum SAP Support und zu Informationen ber SAP-Produkt-Upgrade-Verzeichnisse. Weitere Informationen zu SLD finden Sie im Abschnitt zur Registrierung von SAP BusinessObjects Business

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

39

Intelligence in der Systemlandschaft im Administratorhandbuch fr SAP BusinessObjects Business Intelligence. CTS Transport (CTS+) Mit Change and Transport System (CTS) knnen Sie Entwicklungsprojekte in der ABAP Workbench und in Customizing organisieren und dann die nderungen zwischen den SAP-Systemen in der Systemlandschaft transportieren. Wie ABAP-Objekte knnen Sie auch Java-Objekte (J2EE, JEE) und SAP-spezifische NichtABAP-Technologien (z.B. Web Dynpro Java oder SAP NetWeaver Portal) in der Landschaft transportieren. berwachen mit CA Wily Introscope CA Wily Introscope ist ein Webanwendungsmanagement-Produkt, mit dem Leistungsprobleme berwacht und diagnostiziert werden knnen, die in Java-basierten SAP-Modulen in der Produktion auftreten knnen. Dazu gehren die Transparenz von benutzerdefinierten Java-Anwendungen und Verbindungen zu Backendsystemen. Auerdem knnen Sie Leistungsengpsse in NetWeaver-Modulen, einschlielich einzelner Servlets, JSPs, EJBs, JCOs, Klassen und Methoden, isolieren. Das Produkt bietet Echtzeitberwachung mit geringem Overhead, End-to-End-Transaktionstransparenz, historische Daten fr Analysen oder Kapazittsplanung, anpassbare Dashboards, automatisierte Grenzwertalarme und eine offene Architektur fr eine ber NetWeaver-Umgebungen hinausgehende berwachung.

3.1.10 Hochstufverwaltung
Mit der Hochstufverwaltung knnen Sie BI-Objekte von einem System in ein anderes System verschieben, ohne dass sich dies auf die Abhngigkeiten dieser Objekte auswirkt. Auerdem knnen Sie mit dem Tool verschiedene Versionen verwalten, Abhngigkeiten verwalten oder einen Rollback eines hochgestuften Objekts in seinen frheren Zustand durchfhren. Sie knnen ein BI-Objekt nur dann von einem System auf ein anderes hochstufen, wenn sowohl auf dem Quell- als auch auf dem Zielsystem dieselbe Version der Anwendung installiert ist. Weitere Informationen finden Sie im Abschnitt Hochstufverwaltung dieses Handbuchs.

3.1.11

Integrierte Versionskontrolle

Die Dateien, aus denen sich SAP BusinessObjects Business Intelligence auf einem Serversystem zusammensetzt, unterliegen jetzt der Versionskontrolle. Das Installationsprogramm installiert und konfiguriert das SubversionVersionskontrollsystem. Sie knnen stattdessen auch Details zur Verwendung eines vorhandenen Subversionoder ClearCase-Versionskontrollsystems eingeben. Versionskontrollsysteme dienen der Speicherung und dem Wiederherstellen verschiedener Revisionen von Konfigurations- und anderen Dateien, d.h. das System kann in einen bekannten Status in der Vergangenheit zurckversetzt werden.

40

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

3.1.12

Upgrade-Pfad

Es ist mglich, ein Upgrade von einem vorherigen Release von SAP BusinessObjects Enterprise (z.B. XI 3.x durchzufhren. Dafr mssen Sie jedoch zunchst SAP BusinessObjects Business Intelligence 4.x installieren und dann die Einstellungen und Daten vom bestehenden System mithilfe des Upgrade-Management-Tools migrieren. Informationen zum Durchfhren eines Upgrades aus einer frheren Version finden Sie im Aktualisierungshandbuch fr SAP BusinessObjects Business Intelligence.

3.2

Dienste und Server

Die BI-Plattform verweist mithilfe der Termini Dienst und Server auf die beiden Arten von Software, die auf einem BI-Plattform-Rechner ausgefhrt werden. Ein Dienst ist ein Serveruntersystem, das eine bestimmte Funktion ausfhrt. Der Dienst wird im Arbeitsspeicherbereich des zugehrigen Servers und unter der Prozess-ID des bergeordneten Containers (Servers) ausgefhrt. Der Dienst zur zeitgesteuerten Verarbeitung von Web Intelligence ist beispielsweise ein Untersystem, das auf dem Adaptive Job Server ausgefhrt wird. Ein Server ist ein Prozess auf Betriebssystemebene (wird auf manchen Systemen Daemon genannt), der einen oder mehrere Dienste hostet. Der Central Management Server (CMS) und der Adaptive Processing Server sind beispielsweise Server. Ein Server wird unter einem bestimmten Betriebssystemkonto ausgefhrt und verfgt ber eine eigene PID. Ein Knoten entspricht einer Gruppe von BI-Plattform-Servern, die alle auf demselben Host ausgefhrt und vom selben Server Intelligence Agent (SIA) verwaltet werden. Auf einem einzelnen Host knnen sich ein oder mehrere Knoten befinden. Die BI-Plattform kann auf einem einzelnen Rechner installiert, ber verschiedene Rechner in einem Intranet verteilt oder in einem Wide Area Network (WAN) installiert werden.

Dienste, Server, Knoten und Hosts


Das folgende Diagramm zeigt eine hypothetische Installation der BI-Plattform. Die Anzahl der Dienste, Server, Knoten und Hosts sowie der Typ der Server und Dienste unterscheiden sich je nach Installation.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

41

Zwei Hosts bilden ein Cluster mit der Bezeichnung ProductionBISystem, das zwei Hosts besitzt: Auf dem Host namens HostAlpha ist die BI-Plattform installiert. Er ist mit zwei Knoten konfiguriert: NodeMercury enthlt einen Adaptive Job Server (NodeMercury.AJS) mit Diensten zum zeitgesteuerten Verarbeiten und Verffentlichen von Berichten, einen Input File Repository Server (NodeMercury.IFRS) mit einem Dienst zum Speichern von Eingabeberichten sowie einen Output File Repository Server (NodeMercury.OFRS) mit einem Dienst zum Speichern der Berichtsausgabe. NodeVenus enthlt einen Adaptive Processing Server (NodeVenus.APS) mit Diensten zur Bereitstellung von Verffentlichungs-, berwachungs- und bersetzungsfunktionen, einen Adaptive Processing Server (NodeVenus.APS2) mit einem Dienst fr das Client-Auditing und einen Central Management Server (NodeVenus.CMS) mit einem Dienst zur Bereitstellung der CMS-Dienste. Auf dem Host namens HostBeta ist die BI-Plattform installiert. Er ist mit drei Knoten konfiguriert: NodeMars enthlt einen Central Management Server (NodeMars.CMS) mit einem Dienst zur Bereitstellung der CMS-Dienste. Da der CMS auf zwei Rechnern installiert ist, stehen Lastausgleich, Abwehr- und Failover-Fhigkeiten zur Verfgung. NodeJupiter enthlt einen Web Intelligence Processing Server (NodeJupiter.Web Intelligence) mit einem Dienst zur Bereitstellung von Web-Intelligence-Berichtserstellungsfunktionen und einen Event

42

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

Server (NodeJupiter.EventServer) zur Bereitstellung von Funktionen zur berwachung von Berichten. NodeSaturn enthlt einen Adaptive Processing Server (NodeSaturn.APS) mit einem Dienst zur Bereitstellung des Client-Auditings. Zugehrige Links Serververwaltung

3.2.1

Servernderungen seit XI 3.1

In der Tabelle unten sind die Hauptnderungen an den BI-Plattform-Servern seit XI 3.1 aufgefhrt, unter anderem folgende: Server, deren Name sich von Version zu Version gendert hat, obgleich dieselbe oder hnliche Funktionalitt bereitgestellt wird Server, die nicht mehr in neueren Versionen zur Verfgung stehen Gemeinsame oder verwandte Dienste, die in den Adaptive Servern konsolidiert wurden Beispielsweise wurden die Dienste fr die zeitgesteuerte Verarbeitung, die von einzelnen Job Servern in XI 3.1 bereitgestellt wurden, in der 4.0-Version in den Adaptive Job Server verschoben. Neu eingefhrte Server

Tabelle 1: Servernderungen XI 3.1 Connection Server [1] 4.0 Connection Server Connection Server 32 Crystal Reports Job Server Crystal Reports Processing Server Adaptive Job Server Crystal Reports 2011 Processing Server Crystal Reports Processing Server (fr SAP-Crystal-Reports-frEnterprise-Berichte) Dashboard Server (Dashboard Builder) [2] Dashboard Analytics Server (Dashboard Builder) [2] Desktop Intelligence Cache Server [3] Desktop Intelligence Job Server [3] Desktop Intelligence Processing Server [3] Destination Job Server Dashboard Server (BIArbeitsbereiche) Dashboard Analytics Server (BIArbeitsbereiche) Ab 4.0 nicht mehr verfgbar Ab 4.0 nicht mehr verfgbar Ab 4.0 nicht mehr verfgbar Adaptive Job Server 4.0 Feature Pack 3 Connection Server Connection Server 32 Adaptive Job Server Crystal Reports 2011 Processing Server Crystal Reports Processing Server (fr SAP-Crystal-Reports-frEnterprise-Berichte) Ab 4.0 Feature Pack 3 nicht mehr verfgbar Ab 4.0 Feature Pack 3 nicht mehr verfgbar Ab 4.0 nicht mehr verfgbar Ab 4.0 nicht mehr verfgbar Ab 4.0 nicht mehr verfgbar Adaptive Job Server

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

43

XI 3.1 List of Values Server (LOV)

4.0 Web Intelligence Processing Server

4.0 Feature Pack 3 Web Intelligence Processing Server Adaptive Processing Server Adaptive Job Server Crystal Reports 2011 Report Application Server (RAS) Adaptive Job Server Dashboards Cache Server (Xcelsius) Dashboards Processing Server (Xcelsius)

Multi-Dimensional Analysis Services Adaptive Processing Server Server Program Job Server Report Application Server (RAS) Web Intelligence Job Server Xcelsius-Cache-Server [4] Xcelsius-Verarbeitungsserver [4] Adaptive Job Server Crystal Reports 2011 Report Application Server (RAS) Adaptive Job Server Dashboard Design Cache Server (Xcelsius) [5] Dashboard Design Processing Server (Xcelsius) [5]

[1] In 4.0 ist Connection Server 32 ein 32-Bit-Server, der Verbindungen speziell mit Datenquellen herstellt, die 64-Bit-Middleware nicht untersttzen. Connection Server ist ein 64-Bit-Server, der Verbindungen mit allen anderen Datenquellen herstellt. Weitere Informationen finden Sie im Datenzugriffshandbuch. [2] Der Dashboard Server und der Dashboard Analytics Server wurden aus 4.0 Feature Pack 3 entfernt. Fr die BI-Arbeitsbereichfunktionalitt ist keine Serverkonfiguration mehr ntig (frher Dashboard Builder in XI 3.1). [3] Desktop Intelligence steht seit Version 4.0 nicht mehr zur Verfgung. Desktop-Intelligence-Berichte knnen mithilfe des Berichtskonvertierungstools in Web-Intelligence-Dokumente konvertiert werden. Die Cache- und Verarbeitungsdienste von Xcelsius wurden mit XI 3.1 Service Pack 3 eingefhrt, um Query-asa-Web-Service-Anforderungen fr relationale Datenquellen aus Xcelsius zu optimieren. quivalente Cacheund Verarbeitungsdienste stehen auf dem Dashboards Cache Server und dem Dashboards Processing Server im 4.0 Feature Pack 3 zur Verfgung. [5] Dashboard Design Server aus 4.0 wurden in 4.0 Feature Pack 3 in Dashboards umbenannt, um die Produktnamennderung in SAP BusinessObjects Dashboards widerzuspiegeln.

3.2.2

Dienste

Beim Hinzufgen von Servern mssen Sie verschiedene Dienste auf dem Adaptive Job Server einbeziehen, beispielsweise den Dienst fr die zeitgesteuerte Verarbeitung der Zielbereitstellung.

Hinweis
In knftigen Wartungsversionen knnen neue Dienst- oder Servertypen hinzugefgt werden. Dienst Adaptiver Konnektivittsdienst Dienstkategorie Konnektivittsdienste Servertyp Adaptive Processing Server Dienstbeschreibung Stellt Konnektivittsdienste fr Java-basierte Treiber bereit

44

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

Dienst

Dienstkategorie

Servertyp Adaptive Job Server

Dienstbeschreibung Stellt Synchronisierung von Updates fr Sicherheits-Plugins von Drittherstellern bereit Ermglicht die Integration von SAP Business Warehouse (BW) Business Explorer (BEx) Web Applications in BI-Launchpad Stellt Webanwendungen fr den WACS bereit, z.B. die Central Management Console (CMC), BI-Launchpad und OpenDocument Stellt Business-ProcessBI-Webdienste fr den WACS bereit und ermglicht so die Einbindung von BITechnologie in Webanwendungen. Der Business Process BIDienst ist veraltet. Stellt Server-, Benutzerund Sitzungsverwaltung sowie Sicherheitsverwaltung (Zugriffsrechte und Authentifizierung) zur Verfgung. Fr ein funktionsfhiges Cluster muss mindestens ein Central Management Service zur Verfgung stehen. Sammelt AuditingEreignisse von Clients und leitet sie an den CMS-Server weiter Akzeptiert und verarbeitet CrystalReports-2011-Berichte

Dienst fr die Kerndienste zeitgesteuerte Verarbeitung von Authentifizierungsaktual isierungen BEx-Web-ApplicationsDienst Analysis Services

Adaptive Processing Server

BOEWebanwendungsdienst

Kerndienste

Web Application Container Server

Business Process BIDienst

Kerndienste

Web Application Container Server

Central Management Service

Kerndienste

Central Management Server

Proxydienst fr die Clientberwachung

Kerndienste

Adaptive Processing Server

Crystal Reports 2011Verarbeitungsdienst

Crystal-Reports-Dienste Crystal Reports Processing Server

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

45

Dienst

Dienstkategorie

Servertyp

Dienstbeschreibung und kann Daten in Berichten gemeinsam nutzen, um die Anzahl der Datenbankzugriffe zu verringern

Dienst fr die zeitgesteuerte Verarbeitung von Crystal Reports 2011Berichten

Crystal-Reports-Dienste Adaptive Job Server

Fhrt zeitgesteuerte Crystal-ReportsAuftrge lterer Versionen aus und verffentlicht die Ergebnisse an einem Ausgabespeicherort

Anzeige- und nderungsdienst von Crystal Reports 2011 Crystal-Reports-CacheDienst

Crystal-Reports-Dienste Report Application Server (RAS)

Crystal-Reports-Dienste Crystal Reports Cache Server

Begrenzt die Anzahl der durch Crystal-ReportsBerichte verursachte Datenbankzugriffe und beschleunigt die Berichtserstellung durch Verwaltung eines Berichts-Caches Akzeptiert und verarbeitet CrystalReports-Berichte und kann Daten in Berichten gemeinsam nutzen, um die Anzahl der Datenbankzugriffe zu verringern Fhrt zeitgesteuerte neue Crystal-ReportsAuftrge aus und verffentlicht die Ergebnisse an einem Ausgabespeicherort Bereitstellen dynamischer Verbindungen zu Datenquellen, die keinen Connection Server bentigen. Dieser Dienst ermglicht den Abruf und die Regenerierung

Dienst fr die Verarbeitung von Crystal-ReportsBerichten

Crystal-Reports-Dienste Crystal Reports Processing Server

Dienst fr die zeitgesteuerte Verarbeitung von Crystal-ReportsBerichten Benutzerdefinierter Datenzugriffsdienst

Crystal-Reports-Dienste Adaptive Job Server

Web-IntelligenceDienste

Adaptive Processing Server

46

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

Dienst

Dienstkategorie

Servertyp

Dienstbeschreibung von Berichten, die mit einem bestimmten persnlichen Datenprovider wie CSVDateien erstellt wurden. Weitere Informationen zum Erstellen einer Abfrage oder Regenerieren eines Dokuments auf Basis einer Textdatei finden Sie im Benutzerhandbuch fr den Web-IntelligenceRich-Client von SAP BusinessObjects.

Dashboard-CacheDienst

Dashboards-Dienste

Dashboards Cache Server

Begrenzt die Anzahl der durch DashboardsBerichte verursachten Datenbankzugriffe und beschleunigt die Berichtserstellung durch Verwaltung eines Berichts-Caches Akzeptiert und verarbeitet DashboardsBerichte und kann Daten in Berichten gemeinsam nutzen, um die Anzahl der Datenbankzugriffe zu verringern

DashboardsVerarbeitungsdienst

Dashboards-Dienste

Dashboards Processing Server

DatenfderationsDienst Dienst fr die zeitgesteuerte Verarbeitung der Zielbereitstellung

DatenfderationsDienste Kerndienste

Adaptive Processing Server Adaptive Job Server Fhrt zeitgesteuerte Auftrge aus und verffentlicht die Ergebnisse an einem Ausgabespeicherort, z.B. dem Dateisystem, FTP-Server, E-MailClient oder Posteingang eines Benutzers

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

47

Dienst

Dienstkategorie

Servertyp

Dienstbeschreibung

Hinweis
Beim Hinzufgen von Servern mssen Sie verschiedene Adaptive-Job-ServerDienste einbeziehen, einschlielich diesen Dienst DokumentWiederherstellungsdien st Web-IntelligenceDienste Adaptive Processing Server Automatisches Speichern und Wiederherstellen von Web-IntelligenceDokumenten Sitzungsuntersttzung der dimensionalen semantischen Ebene (DSL) berwacht Dateiereignisse auf einem File Repository Server (FRS) und lst bei Bedarf die Ausfhrung von Berichten aus Untersttzt ExcelDateien, die zur Business-IntelligencePlattform als Datenquellen hochgeladen wurden. Weitere Informationen zum Erstellen einer Abfrage oder Regenerieren eines Dokuments auf Basis einer Excel-Datei finden Sie im Benutzerhandbuch fr den Web-IntelligenceRich-Client von SAP BusinessObjects. Erforderlicher Dienst zur Verarbeitung von Web-

DSL-Bridge-Dienst

Web-IntelligenceDienste

Adaptive Processing Server

Ereignisdienst

Kerndienste

Event Server

ExcelDatenzugriffsdienst

Web-IntelligenceDienste

Adaptive Processing Server

Information EngineDienst

Web-IntelligenceDienste

Web Intelligence Processing Server

48

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

Dienst

Dienstkategorie

Servertyp

Dienstbeschreibung IntelligenceDokumenten

InputDateispeicherdienst

Kerndienste

Input File Repository Server

Verwaltet verffentlichte Berichts- und Programmobjekte, mit denen beim Empfang einer Eingabedatei neue Berichte generiert werden knnen Ermglicht das Aufrufen von Aktionen und bietet Untersttzung fr RRI Bietet ClearCaseUntersttzung fr LCM Fhrt zeitgesteuerte Lifecycle-ManagementAuftrge aus Lifecycle-ManagementKerndienst Stellt berwachungsfunktione n bereit Stellt Zugriff auf mehrdimensionale Online-AnalyticalProcessing-Daten (OLAP-Daten) bereit und konvertiert die Rohdaten in das XMLFormat zur Ausgabe in Excel, als PDF oder als Advanced-AnalysisKreuztabellen und Diagramme (frher Voyager) Stellt systemeigene Konnektivittsdienste fr 64-Bit-Architekturen bereit Stellt systemeigene Konnektivittsdienste fr 32-Bit-Architekturen bereit

Dienst "Insight to Action" Lifecycle-ManagementClearCase-Dienst Lifecycle-ManagementDienst fr die zeitgesteuerte Verarbeitung Lifecycle-ManagementDienst berwachungsdienst

Kerndienste

Adaptive Processing Server

Lifecycle-ManagementDienste Lifecycle-ManagementDienste

Adaptive Processing Server Adaptive Job Server

Lifecycle-ManagementDienste Kerndienste

Adaptive Processing Server Adaptive Processing Server

Multi Dimensional Analysis Service

Analysis Services

Adaptive Processing Server

Systemeigener Konnektivittsdienst

Konnektivittsdienste

Connection Server

Systemeigener Konnektivittsdienst (32-Bit)

Konnektivittsdienste

Connection Server

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

49

Dienst OutputDateispeicherdienst

Dienstkategorie Kerndienste

Servertyp Output File Repository Server

Dienstbeschreibung Verwaltet eine Sammlung abgeschlossener Dokumente Fhrt eine zeitgesteuerte Suche zur Indizierung des gesamten Inhalts des Central-ManagementServer-Repositorys (CMS-Repositorys) durch Stellt der BI-Plattform Suchfunktionalitt bereit Stellt zeitgesteuerte Diagnoseauftrge bereit und verffentlicht die Ergebnisse an einem Ausgabespeicherort Fhrt Programme aus, die fr einen bestimmten Zeitpunkt terminiert wurden Fhrt zeitgesteuerte Verffentlichungsauftr ge aus und verffentlicht die Ergebnisse an einem Ausgabespeicherort Fhrt Aktionen fr abgeschlossene Berichte aus, z.B. das Senden eines Berichts an einen Ausgabespeicherort Kooperiert mit dem Dienst zur Nachverarbeitung von Verffentlichungen und dem Destination Job Server, um Berichte an einem Ausgabespeicherort wie einem Dateisystem, FTP-Server, E-MailClient oder Posteingang

Dienst zur zeitgesteuerten Verarbeitung der Plattformsuche

Kerndienste

Adaptive Job Server

Plattformsuchdienst Dienst fr die zeitgesteuerte Verarbeitung von Diagnosen Dienst zur zeitgesteuerten Verarbeitung von Programmen Dienst zur zeitgesteuerten Verarbeitung von Verffentlichungen Dienst zur Nachverarbeitung von Verffentlichungen

Kerndienste Kerndienste

Adaptive Processing Server Adaptive Job Server

Kerndienste

Adaptive Job Server

Kerndienste

Adaptive Job Server

Kerndienste

Adaptive Processing Server

Publishing-Dienst

Kerndienste

Adaptive Processing Server

50

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

Dienst

Dienstkategorie

Servertyp

Dienstbeschreibung eines Benutzers zu verffentlichen

Rebean-Dienst

Web-IntelligenceDienste Kerndienste

Adaptive Processing Server

Von Web Intelligence und Explorer verwendetes SDK Fhrt zeitgesteuerte DatenfderationsAuftrge aus, um Inhalte zwischen fderierten Websites zu replizieren Stellt Sitzungsverarbeitung fr Anforderungen des RESTful-Webdiensts bereit Fhrt die zeitgesteuerte Verarbeitung von SicherheitsabfragenAuftrgen aus Untersttzung fr SAPEinzelanmeldung bersetzt InfoObjects mit Eingaben vom bersetzungsmanagerClient Fhrt zeitgesteuerte Auftrge fr den grafischen Vergleich (Lifecycle-Management) aus und verffentlicht die Ergebnisse an einem Ausgabespeicherort Ermittelt, ob Dokumente grafisch identisch fr die Hochstufung von Dokumenten und das Lifecycle-Management sind Von Web Intelligence verwendeter gemeinsamer Visualisierungsdienst fr Objektmodelle

Replikationsdienst

Adaptive Job Server

RESTful-Webdienst

Kerndienste

Web Application Container Server (WACS)

Dienst zur zeitgesteuerten Verarbeitung von Sicherheitsabfragen Sicherheitstokendienst bersetzungsdienst

Kerndienste

Adaptive Job Server

Kerndienste Kerndienste

Adaptive Processing Server Adaptive Processing Server

Dienst zur zeitgesteuerten Verarbeitung fr den grafischen Vergleich

Lifecycle-ManagementDienste

Adaptive Job Server

Grafischer Vergleichsdienst

Lifecycle-ManagementDienste

Adaptive Processing Server

Visualisierungsdienst

Web-IntelligenceDienste

Adaptive Processing Server

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

51

Dienst Gemeinsamer WebIntelligence-Dienst

Dienstkategorie Web-IntelligenceDienste

Servertyp Web Intelligence Processing Server

Dienstbeschreibung Untersttzt die Verarbeitung von WebIntelligenceDokumenten Untersttzt die Verarbeitung von WebIntelligenceDokumenten Akzeptiert und verarbeitet WebIntelligence-Dokumente Bietet Untersttzung fr zeitgesteuerte WebIntelligence-Auftrge Webdienste auf dem WACS

Web-IntelligenceKerndienst

Web-IntelligenceDienste

Web Intelligence Processing Server

Web-IntelligenceVerarbeitungsdienst Web-Intelligence-Dienst fr zeitgesteuerte Verarbeitung Web Services SDK und QaaWS

Web-IntelligenceDienste Web-IntelligenceDienste Kerndienste

Web Intelligence Processing Server Adaptive Job Server

Web Application Container Server

3.2.3

Dienstkategorien

Hinweis
In knftigen Wartungsversionen knnen neue Dienst- oder Servertypen hinzugefgt werden. Dienstkategorie Analysis Services Analysis Services Konnektivittsdienste Konnektivittsdienste Konnektivittsdienste Kerndienste Dienst BEx-Web-Application-Dienst Multi Dimensional Analysis Service Adaptiver Konnektivittsdienst Systemeigener Konnektivittsdienst Systemeigener Konnektivittsdienst (32-Bit) Dienst fr die zeitgesteuerte Verarbeitung von Authentifizierungsaktualisierungen Central Management Service Proxydienst fr die Clientberwachung Dashboard-Dienst Servertyp Adaptive Processing Server Adaptive Processing Server Adaptive Processing Server Connection Server Connection Server Adaptive Job Server

Kerndienste Kerndienste Kerndienste

Central Management Server Adaptive Processing Server Dashboard Server

52

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

Dienstkategorie Kerndienste Kerndienste Kerndienste Kerndienste Kerndienste Kerndienste Kerndienste Kerndienste Kerndienste Kerndienste Kerndienste

Dienst Dienst fr die zeitgesteuerte Verarbeitung der Zielbereitstellung Ereignisdienst Dienst "Insight to Action" Input-Dateispeicherdienst berwachungsdienst Output-Dateispeicherdienst Dienst zur zeitgesteuerten Verarbeitung der Plattformsuche Plattformsuchdienst Dienst fr die zeitgesteuerte Verarbeitung von Diagnosen Dienst zur zeitgesteuerten Verarbeitung von Programmen Dienst zur zeitgesteuerten Verarbeitung von Verffentlichungen Dienst zur Nachverarbeitung von Verffentlichungen Publishing-Dienst Replikationsdienst RESTful-Webdienst Dienst zur zeitgesteuerten Verarbeitung von Sicherheitsabfragen Sicherheitstokendienst bersetzungsdienst Crystal Reports 2011Verarbeitungsdienst Dienst fr die zeitgesteuerte Verarbeitung von Crystal Reports 2011-Berichten Anzeige- und nderungsdienst von Crystal Reports 2011 Crystal-Reports-Cache-Dienst Dienst fr die Verarbeitung von Crystal-Reports-Berichten

Servertyp Adaptive Job Server Event Server Adaptive Processing Server Input File Repository Server Adaptive Processing Server Output File Repository Server Adaptive Job Server Adaptive Processing Server Adaptive Job Server Adaptive Job Server Adaptive Job Server

Kerndienste Kerndienste Kerndienste Kerndienste Kerndienste

Adaptive Processing Server Adaptive Processing Server Adaptive Job Server Web Application Container Server Adaptive Job Server

Kerndienste Kerndienste Crystal-Reports-Dienste Crystal-Reports-Dienste

Adaptive Processing Server Adaptive Processing Server Crystal Reports Processing Server Adaptive Job Server

Crystal-Reports-Dienste Crystal-Reports-Dienste Crystal-Reports-Dienste

Report Application Server (RAS) Crystal Reports Cache Server Crystal Reports Processing Server

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

53

Dienstkategorie Crystal-Reports-Dienste

Dienst Dienst fr die zeitgesteuerte Verarbeitung von Crystal-ReportsBerichten Dashboard-Cache-Dienst Dashboards-Verarbeitungsdienst Datenfderations-Dienst LifeCycle-Management-ClearCaseDienst Lifecycle-Management-Dienst fr die zeitgesteuerte Verarbeitung Lifecycle-Management-Dienst Dienst zur zeitgesteuerten Verarbeitung fr den grafischen Vergleich Grafischer Vergleichsdienst Benutzerdefinierter Datenzugriffsdienst DokumentWiederherstellungsdienst DSL-Bridge-Dienst Excel-Datenzugriffsdienst Information Engine-Dienst Rebean-Dienst Visualisierungsdienst Gemeinsamer Web-IntelligenceDienst Web-Intelligence-Kerndienst Web-IntelligenceVerarbeitungsdienst Web-Intelligence-Dienst fr zeitgesteuerte Verarbeitung

Servertyp Adaptive Job Server

Dashboards-Dienste Dashboards-Dienste Datenfderations-Dienste Lifecycle-Management-Dienste Lifecycle-Management-Dienste Lifecycle-Management-Dienste Lifecycle-Management-Dienste

Dashboards Cache Server Dashboards Processing Server Adaptive Processing Server Adaptive Processing Server Adaptive Job Server Adaptive Processing Server Adaptive Job Server

Lifecycle-Management-Dienste Web-Intelligence-Dienste Web-Intelligence-Dienste Web-Intelligence-Dienste Web-Intelligence-Dienste Web-Intelligence-Dienste Web-Intelligence-Dienste Web-Intelligence-Dienste Web-Intelligence-Dienste Web-Intelligence-Dienste Web-Intelligence-Dienste Web-Intelligence-Dienste

Adaptive Processing Server Adaptive Processing Server Adaptive Processing Server Adaptive Processing Server Adaptive Processing Server Web Intelligence Processing Server Adaptive Processing Server Adaptive Processing Server Web Intelligence Processing Server Web Intelligence Processing Server Web Intelligence Processing Server Adaptive Job Server

Zugehrige Links Dienste [Seite 44] Servertypen [Seite 55]

54

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

3.2.4

Servertypen

Hinweis
In knftigen Wartungsreleases knnen neue Dienst- oder Servertypen hinzugefgt werden. Servertyp Adaptive Job Server Dienst Dienst fr die zeitgesteuerte Verarbeitung von Authentifizierungsaktualisierungen Dienst fr die zeitgesteuerte Verarbeitung von Crystal Reports 2011-Berichten Dienst fr die zeitgesteuerte Verarbeitung von Crystal-ReportsBerichten Dienst fr die zeitgesteuerte Verarbeitung der Zielbereitstellung Lifecycle-Management-Dienst fr die zeitgesteuerte Verarbeitung Dienst zur zeitgesteuerten Verarbeitung der Plattformsuche Dienst fr die zeitgesteuerte Verarbeitung von Diagnosen Dienst zur zeitgesteuerten Verarbeitung von Programmen Dienst zur zeitgesteuerten Verarbeitung von Verffentlichungen Replikationsdienst Dienst zur zeitgesteuerten Verarbeitung von Sicherheitsabfragen Dienst zur zeitgesteuerten Verarbeitung fr den grafischen Vergleich Web-Intelligence-Dienst fr zeitgesteuerte Verarbeitung Adaptiver Konnektivittsdienst BEx-Web-Applications-Dienst Dienstkategorie Kerndienste

Adaptive Job Server

Crystal-Reports-Dienste

Adaptive Job Server

Crystal-Reports-Dienste

Adaptive Job Server Adaptive Job Server Adaptive Job Server Adaptive Job Server Adaptive Job Server Adaptive Job Server

Kerndienste Lifecycle-Management-Dienste Kerndienste Kerndienste Kerndienste Kerndienste

Adaptive Job Server Adaptive Job Server

Kerndienste Kerndienste

Adaptive Job Server

Lifecycle-Management-Dienste

Adaptive Job Server Adaptive Processing Server Adaptive Processing Server

Web-Intelligence-Dienste Konnektivittsdienste Analysis Services

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

55

Servertyp Adaptive Processing Server Adaptive Processing Server Adaptive Processing Server Adaptive Processing Server Adaptive Processing Server Adaptive Processing Server Adaptive Processing Server Adaptive Processing Server Adaptive Processing Server Adaptive Processing Server Adaptive Processing Server Adaptive Processing Server Adaptive Processing Server Adaptive Processing Server Adaptive Processing Server Adaptive Processing Server Adaptive Processing Server Adaptive Processing Server Adaptive Processing Server Central Management Server Connection Server Connection Server Crystal Reports Cache Server Crystal Reports Processing Server Crystal Reports Processing Server Dashboards Cache Server

Dienst Proxydienst fr die Clientberwachung Benutzerdefinierter Datenzugriffsdienst Datenfderations-Dienst DokumentWiederherstellungsdienst DSL-Bridge-Dienst Excel-Datenzugriffsdienst Dienst "Insight to Action" Lifecycle-Management-ClearCaseDienst Lifecycle-Management-Dienst berwachungsdienst Multi Dimensional Analysis Service Plattformsuchdienst Dienst zur Nachverarbeitung von Verffentlichungen Publishing-Dienst Rebean-Dienst Sicherheitstokendienst bersetzungsdienst Grafischer Vergleichsdienst Visualisierungsdienst Central Management Service Systemeigener Konnektivittsdienst Systemeigener Konnektivittsdienst (32-Bit) Crystal-Reports-Cache-Dienst Crystal Reports 2011Verarbeitungsdienst Dienst fr die Verarbeitung von Crystal-Reports-Berichten Dashboard-Cache-Dienst

Dienstkategorie Kerndienste Web-Intelligence-Dienste Datenfderations-Dienste Web-Intelligence-Dienste Web-Intelligence-Dienste Web-Intelligence-Dienste Kerndienste Lifecycle-Management-Dienste Lifecycle-Management-Dienste Kerndienste Analysis Services Kerndienste Kerndienste Kerndienste Web-Intelligence-Dienste Kerndienste Kerndienste Lifecycle-Management-Dienste Web-Intelligence-Dienste Kerndienste Konnektivittsdienste Konnektivittsdienste Crystal-Reports-Dienste Crystal-Reports-Dienste Crystal-Reports-Dienste Dashboards-Dienste

56

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

Servertyp Dashboards Processing Server Dashboard Server Event Server Input File Repository Server Output File Repository Server Report Application Server (RAS) Web Application Container Server Web Intelligence Processing Server Web Intelligence Processing Server Web Intelligence Processing Server Web Intelligence Processing Server

Dienst Dashboards-Verarbeitungsdienst Dashboard-Dienst Ereignisdienst Input-Dateispeicherdienst Output-Dateispeicherdienst Anzeige- und nderungsdienst von Crystal Reports 2011 RESTful-Webdienst Information Engine-Dienst Gemeinsamer Web-IntelligenceDienst Web-Intelligence-Kerndienst Web-IntelligenceVerarbeitungsdienst

Dienstkategorie Dashboards-Dienste Kerndienste Kerndienste Kerndienste Kerndienste Crystal-Reports-Dienste Kerndienste Web-Intelligence-Dienste Web-Intelligence-Dienste Web-Intelligence-Dienste Web-Intelligence-Dienste

Zugehrige Links Dienste [Seite 44] Dienstkategorien [Seite 52]

3.2.5

Server

Server sind Zusammenstellungen von Diensten, die unter einem Server Intelligence Agent (SIA) auf einem Host ausgefhrt werden. Der Servertyp wird durch die auf diesem ausgefhrten Dienste festgelegt. Server knnen in der Central Management Console (CMC) erstellt werden. In der folgenden Tabelle sind die verschiedenen Servertypen aufgefhrt, die in der CMC erstellt werden knnen. Server
Adaptive Job Server

Beschreibung
Allgemeiner Server, der zeitgesteuerte Auftrge verarbeitet. Wenn Sie einen Job Server zu SAP BusinessObjects Business Intelligence hinzufgen, knnen Sie den Job Server fr die Verarbeitung von Berichten, Dokumenten, Programmen oder Publikationen konfigurieren und die Ergebnisse an verschiedene Ziele senden.

Adaptive Processing Server

Generischer Server, auf dem Dienste fr die Verarbeitung von Anforderungen aus unterschiedlichen Quellen gehostet werden.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

57

Server

Beschreibung

Hinweis
Mit dem Installationsprogramm wird ein Adaptive Processing Server (APS) pro Hostsystem installiert. Je nach installierten Funktionen kann dieser APS eine groe Anzahl von Diensten hosten, beispielsweise den berwachungsdienst, Lifecycle-Management-Dienst, Multi-Dimensional Analysis Service (MDAS), Verffentlichungsdienst und andere. Wenn Sie eine Produktionsumgebung installieren, verwenden Sie den Standard-APS nicht. Stattdessen wird dringend geraten, nach Abschluss des Installationsprozesses eine Systemgrenanpassung durchzufhren, um Folgendes zu ermitteln: Typ und Anzahl der APS-Dienste. Verteilung der Dienste auf mehreren APS-Servern. Optimale Anzahl von APS-Servern. Mehrere Server bieten Redundanz, eine bessere Leistung und hhere Zuverlssigkeit. Verteilung von APS-Servern auf mehreren Knoten.

Erstellen Sie neue APS-Serverinstanzen gem den Ergebnissen des Grenanpassungsprozesses. Wenn beispielsweise als Ergebnis der Grenpassung ein APS fr jede Dienstkategorie erstellt werden soll, mssen u.U. acht APS-Server erstellt werden. Einer pro Dienstkategorie: Analysis-Dienste, Konnektivittsdienste, Kerndienste, Crystal-Reports-Dienste, DashboardsDienste, Datenfderationsdienste, LifecycleManagement-Dienste und Web-Intelligence-Dienste. Central Management Server (CMS) Verwaltet eine Datenbank mit Informationen zu Business Intelligence (in der CMS-Systemdatenbank) und auditierte Benutzeraktionen (im Audit-Datenspeicher). Alle Plattformdienste werden ber den CMS verwaltet. Der CMS steuert auch den Zugriff auf die Systemdateien, in denen Dokumente gespeichert sind, und auf Informationen ber Benutzer, Benutzergruppen, Sicherheitsebenen (einschl. Authentifizierung) und Inhalte. Ermglicht den Datenbankzugriff auf Quelldaten. Bietet Untersttzung fr relationale Datenbanken sowie OLAP und andere Formate. Der Connection Server ist fr die Verbindung und die Interaktion mit den unterschiedlichen Datenquellen und die Bereitstellung eines gemeinsamen Funktionssatzes fr die Clients zustndig. Fngt Berichtsanforderungen ab, die von Clients an den Page Server gesendet werden. Wenn der Cache Server die Anforderung nicht mit einer zwischengespeicherten

Connection Server

Crystal Reports Cache Server

58

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

Server

Beschreibung
Berichtseite erfllen kann, bergibt er die Anforderung an den Crystal Reports Processing Server, der den Bericht ausfhrt und Ergebnisse zurckgibt. Der Cache Server fhrt eine Zwischenspeicherung der Berichtsseite fr eine mgliche sptere Verwendung aus.

Crystal Reports Processing Server

Beantwortet Seitenanforderungen, indem Berichte verarbeitet und EPF-Seiten (Encapsulated Page Format) erzeugt werden. Der Hauptvorteil von EPF besteht darin, dass es den Zugriff auf Berichtsseiten auf Abruf untersttzt, sodass nur die angeforderte Seite, aber nicht der gesamte Bericht zurckgegeben wird. Dadurch wird die Leistung erhht und unntiger Netzwerkdatenverkehr bei umfangreichen Berichten reduziert. Fngt Berichtsanforderungen ab, die von Clients an den Dashboard Server gesendet werden. Wenn der Cache Server die Anforderung nicht mit einer zwischengespeicherten Berichtseite erfllen kann, bergibt er die Anforderung an den Dashboard Server, der den Bericht ausfhrt und Ergebnisse zurckgibt. Der Cache Server fhrt eine Zwischenspeicherung der Berichtsseite fr eine mgliche sptere Verwendung aus. Beantwortet Dashboards-Anforderungen, indem Berichte verarbeitet und EPF-Seiten (Encapsulated Page Format) erzeugt werden. Der Hauptvorteil von EPF besteht darin, dass es den Zugriff auf Berichtsseiten auf Abruf untersttzt, sodass nur die angeforderte Seite, aber nicht der gesamte Bericht zurckgegeben wird. Dadurch wird die Leistung erhht und unntiger Netzwerkdatenverkehr bei umfangreichen Berichten reduziert. berwacht das System auf Ereignisse, die als Trigger fr die Berichtsausfhrung dienen knnen. Wenn Sie einen EreignisTrigger einrichten, berwacht der Event Server dessen Status und benachrichtigt den CMS, wenn das Ereignis eingetreten ist. Anschlieend kann der CMS alle Auftrge starten, die bei Eintreten des Ereignisses ausgefhrt werden sollen. Der Event Server verwaltet dateibasierte Ereignisse, die auf der Speicherschicht eintreten. Verantwortlich fr die Erstellung von Dateisystemobjekten, z.B. exportierten Berichten und importierten Dateien in systemfremden Formaten. Ein Input FRS speichert Berichtsund Programmobjekte, die von Administratoren oder Endbenutzern auf dem System verffentlicht wurden. Ein Output FRS speichert alle vom Job Server generierten Berichtsinstanzen. Verarbeitet Dokumente von SAP BusinessObjects Web Intelligence. Bietet Ad-hoc-Berichterstellungsfunktionen, mit denen Benutzer Crystal-Reports-Berichte ber das SAP Crystal Reports Server Embedded Software Development Kit (SDK) erstellen und ndern knnen.

Dashboards Cache Server

Dashboards Processing Server

Event Server

File Repository Server

Web Intelligence Processing Server Report Application Server

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

59

3.3

Clientanwendungen

Sie knnen ber zwei Hauptarten von Clientanwendungen mit SAP BusinessObjects Business Intelligence interagieren: Desktopanwendungen Diese Anwendungen mssen unter einem untersttzten Microsoft Windows-Betriebssystem installiert sein und ermglichen die lokale Datenverarbeitung und Berichtserstellung.

Hinweis
Das SAP BusinessObjects Business Intelligence-Installationsprogramm installiert keine Desktopanwendungen mehr. Verwenden Sie zur Installation von Desktopanwendungen auf einem Server das eigenstndige Installationsprogramm der Clienttools von SAP BusinessObjects Business Intelligence. Desktopclients ermglichen es Ihnen, bestimmte BI-Berichtsverarbeitungsvorgnge auf einzelne Clientcomputer auszulagern. Die meisten Desktopanwendungen greifen direkt ber Treiber, die auf dem Desktop installiert sind, auf die Daten Ihres Unternehmens zu und kommunizieren ber CORBA oder verschlsseltes CORBA SSL mit der SAP BusinessObjects Business Intelligence-Implementierung. Beispiele fr diesen Anwendungstyp sind SAP Crystal Reports 2011 und Live Office.

Hinweis
Obwohl es sich bei Live Office um eine Anwendung mit vielfltiger Funktionalitt handelt, kommuniziert sie ber HTTP mit SAP BusinessObjects Business Intelligence-Webdiensten. Webanwendungen Diese Anwendungen werden von einem Webanwendungsserver gehostet und sind ber einen untersttzten Webbrowser unter Windows-, Macintosh-, Unix- und Linux-Betriebssystemen zugnglich. Auf diese Weise haben groe Benutzergruppen Zugriff auf Business Intelligence (BI), ohne dass DesktopSoftwareprodukte implementiert werden mssen. Die Kommunikation erfolgt ber HTTP mit oder ohne SSLVerschlsselung (HTTPS). Beispiele fr diesen Anwendungstyp sind BI-Launchpad, SAP BusinessObjects Web Intelligence, die Central Management Console (CMC) und Berichtsviewer.

3.3.1 Installed with SAP BusinessObjects Business Intelligence Platform Client Tools 3.3.1.1 Web Intelligence Desktop

Web Intelligence Desktop ist ein Ad-hoc-Analyse- und fr Geschftsbenutzer mit oder ohne Zugriff auf SAP BusinessObjects Business Intelligence. Es ermglicht Geschftsbenutzern den Zugriff auf und die Kombination von Daten aus relationalen Quellen, OLAP-Quellen (Online Analytical Processing), Arbeitsblatt- oder Textdatei-Quellen unter Verwendung vertrauter Geschftsbegriffe in einer Drag-und-Drop-Schnittstelle. Workflows ermglichen die Analyse sehr weit- oder enggefasster Fragen sowie das Stellen weiterer Fragen zu einem beliebigen Zeitpunkt im Analyseworkflow.

60

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

Web Intelligence Desktop-Benutzer knnen weiterhin mit Web-Intelligence-Dokumentdateien (.wid) arbeiten, auch wenn sie keine Verbindung zum Central Management Server (CMS) herstellen knnen.

3.3.1.2

Business View Manager

Mit Business View Manager knnen Benutzer Objekte der semantischen Ebene erstellen, durch die die Komplexitt der zugrunde liegenden Datenbank vereinfacht wird. Business View Manager kann normale und dynamische Datenverbindungen, Datengrundlagen, Business Elements, Business Views und relationale Ansichten erstellen. Es bietet Ihnen auerdem die Mglichkeit, detaillierte Spalten- und Zeilensicherheit fr die Objekte in einem Bericht festzulegen. Designer knnen Verbindungen zu mehreren Datenquellen, Verknpfungstabellen und Aliasfeldnamen erstellen, berechnete Felder erzeugen und anschlieend diese vereinfachte Struktur als Business View verwenden. Berichtsdesigner und Benutzer haben dann die Mglichkeit, die Business View als Basis fr ihre Berichte einzusetzen, anstatt ihre eigenen Abfragen fr die Daten direkt zu erstellen.

3.3.1.3

Berichtskonvertierungstool

Das Berichtskonvertierungstool konvertiert Berichte in das Web-Intelligence-Format und verffentlicht die Berichte auf einem Central Management Server (CMS). Berichte knnen aus den CMS-Ordnern ffentlich, Favoriten oder Posteingang abgerufen werden. Nach der Konvertierung werden Berichte entweder im selben Ordner wie die ursprnglichen Web-Intelligence-Berichte oder in einem anderen Ordner verffentlicht. Das Tool konvertiert nicht alle Web-Intelligence-Funktionen und Berichte. Wie viel konvertiert wird, hngt von den Funktionen im Originalbericht ab. Bestimmte Funktionen verhindern eine vollstndige Konvertierung eines Berichts. Andere wiederum werden beim Konvertieren durch das Tool gendert, neu implementiert oder entfernt. Auerdem dient das Berichtskonvertierungstool auch zum berwachen der konvertierten Berichte. Auf diese Weise knnen Sie Berichte identifizieren, die vom Berichtskonvertierungstool nicht vollstndig konvertiert werden konnten, und die Ursachen analysieren.

3.3.1.4

Universe-Design-Tool

Mit dem Universe-Design-Tool (frher Universe Designer) knnen Datendesigner Daten aus mehreren Quellen auf einer semantischen Ebene kombinieren, die die komplexe Datenbankstruktur fr die Endbenutzer ausblendet. Sie abstrahiert komplexe Daten durch die Verwendung einer Geschftssprache anstelle einer technischen Sprache, um auf Daten zuzugreifen, sie zu bearbeiten und zu organisieren. Mit seiner grafischen Benutzeroberflche ermglicht das Universe-Design-Tool die Auswahl und Anzeige von Tabellen in einer Datenbank. Die Datenbanktabellen werden als Tabellensymbole in einem Schema dargestellt. Designer knnen diese Oberflche zum Bearbeiten von Tabellen, Erstellen von Joins zwischen Tabellen, Aliastabellen und Kontexten sowie zur Schleifenunterdrckung in einem Schema verwenden.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

61

Sie knnen Universen auch aus Metadatenquellen erstellen. Das Universe-Design-Tool wird fr die Universumsgenerierung am Ende des Erstellungsprozesses verwendet.

3.3.1.5

Query as a Web Service

Query as a Web Service ist eine assistentenhnliche Anwendung, mit der Abfragen in einem Webdienst erstellt und in webfhige Anwendungen integriert werden knnen. Abfragen knnen gespeichert werden, um einen Katalog von Standardabfragen zu erstellen, die dann von Anwendungserstellern nach Bedarf ausgewhlt werden knnen. BI-Inhalte (Business Intelligence) sind normalerweise an eine bestimmte Benutzeroberflche von BI-Tools gebunden. Query as a Web Service ndert dieses Verhalten, indem es zulsst, dass BI-Inhalt an jede Benutzeroberflche gesendet werden kann, die Webdienste untersttzt. Query as a Web Service wurde so konzipiert, dass es wie andere Webdienste auf Microsoft-WindowsAnwendungen aufsetzt. Query as a Web Service basiert auf den W3C-Webdienst-Spezifikationen SOAP, SDL und XML. Es besteht aus zwei Hauptkomponenten: Serverkomponente Die (im Lieferumfang von Business Intelligence enthaltene) Serverkomponente speichert den Katalog von Query as a Web Service und hostet die verffentlichten Webdienste. Clienttool Wird von Geschftsbenutzern verwendet, um Abfragen als Webdienst auf dem Server zu erstellen und zu verffentlichen. Das Clienttool kann auf mehreren Rechnern installiert werden, die dann auf denselben auf dem Server gespeicherten Katalog zugreifen und diesen gemeinsam nutzen knnen. Das Clienttool kommuniziert ber Webdienste mit den Serverkomponenten.

Durch Query as a Web Service knnen Webabfragen als Teil unterschiedlicher Clientlsungen verwendet werden. Dazu gehren: Microsoft Office, Excel und InfoPath SAP NetWeaver OpenOffice Geschftsregeln und Prozessverwaltungsanwendungen Enterprise-Dienst-Bus-Plattformen

3.3.1.6

Information-Design-Tool

Das Information-Design-Tool (frher Information Designer) ist eine SAP BusinessObjects-MetadatenEntwicklungsumgebung, in der Designer Metadaten aus relationalen und OLAP-Quellen extrahieren, definieren und bearbeiten knnen, um SAP BusinessObjects-Universen zu erstellen und zu implementieren.

3.3.1.7

bersetzungsmanagement-Tool

SAP BusinessObjects Business Intelligence bietet Untersttzung fr mehrsprachige Dokumente und Universen. Ein mehrsprachiges Dokument enthlt lokalisierte Versionen von Universum-Metadaten und

62

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

Dokumentaufforderungen. Benutzer knnen Berichte erstellen, z.B. von einem einzigen Universum, aber in ausgewhlten Sprachen. Mit dem bersetzungsmanagement-Tool (frher bersetzungsmanager) werden mehrsprachige Universen definiert und die bersetzung von Universen und anderen Berichts- und analytischen Ressourcen im CMSRepository definiert. bersetzungsmanagement-Tool: bersetzt Universen oder Dokumente fr ein mehrsprachiges Publikum. Definiert sprachbezogene Metadaten eines Dokuments und der entsprechenden bersetzung. Generiert das externe XLIFF-Format und importiert XLIFF-Dateien mit den bersetzungen. Zeigt die Struktur des zu bersetzenden Universums oder Dokuments an. Sie knnen die Metadaten ber die Benutzeroberflche oder ein externes bersetzungstool bersetzen, indem Sie XLIFF-Dateien importieren und exportieren. Erstellt mehrsprachige Dokumente.

3.3.1.8

Datenfderations-Administrationstool

Das Datenfderations-Administrationstool (frher Data Federator) ist eine Rich-Client-Anwendung mit benutzerfreundlichen Funktionen zur Verwaltung des Datenfderations-Dienstes. Der Datenfderations-Dienst ist in SAP BusinessObjects Business Intelligence integriert und ermglicht durch die Verteilung von Abfragen auf verschiedene Datenquellen die Erstellung von Universen mit mehreren Quellen. Darber hinaus knnen Sie mit diesem Dienst Daten durch eine einzelne Datengrundlage fderieren. Mit dem Datenfderations-Administrationstool knnen Sie Datenfderations-Abfragen optimieren und die Datenfderations-Abfrage-Engine zur bestmglichen Leistung abstimmen. Mit dem Datenfderations-Administrationstool knnen Sie folgende Aufgaben ausfhren: Testen von SQL-Abfragen. Anzeigen von Optimierungsplnen, die genaue Informationen darber enthalten, wie fderierte Abfragen auf die einzelnen Quellen verteilt werden. Berechnen von Statistiken und Festlegen von Systemparametern zur Feineinstellung der DatenfderationsDienste und eine bestmgliche Leistung. Verwalten der Eigenschaften zur Steuerung der Abfragenausfhrung in jeder einzelnen Datenquelle auf Connector-Ebene. berwachen von SQL-Abfragen, die aktuell ausgefhrt werden. Den Verlauf ausgefhrter Abfragen durchsuchen

3.3.1.9 Widgets fr SAP BusinessObjects Business Intelligence


Widgets sind Minianwendungen, die schnellen und einfachen Zugriff auf hufig verwendete Funktionen ermglichen und visuelle Informationen auf Ihrem Desktop anzeigen. Mit Widgets fr SAP BusinessObjects Business Intelligence (frher BI Widgets) kann Ihr Unternehmen den Zugriff auf vorhandene BI-Inhalte auf SAP

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

63

BusinessObjects Business Intelligence bereitstellen, oder Sie knnen Web Dynpro-Anwendungen, die als XBCMLWidgets ((Extensible Business Client Markup Language) registriert sind, auf SAP NetWeaver Application Servern als Desktop-Widgets hinzufgen. Die XBCML-Widgets werden mit SAP Web Dynpro Flex Client auf dem Desktop des Benutzers gerendert. SAP Web Dynpro Flex Client ist eine auf Adobe Flex, das zum Rendern von Widgets verwendet wird, basierende Rendering-Engine. Einzelheiten zum Konfigurieren von Web Dynpro-Anwendungen finden Sie unter dem Thema Aktivieren von Widgets auf dem SAP NetWeaver Application Server im Widgets fr SAP BusinessObjectsBenutzerhandbuch.

Hinweis
Die SAP Web Dynpro Flex Client-Untersttzung fr XBCML-Widgets ist ab Release 7.0 EhP2 SP3 verfgbar. Die Flex Client-Warteschlangenuntersttzung ist auf Flex Client-Probleme beschrnkt, die in VBCML-Widgets in den angegebenen Releases auftreten. Mit Widgets fr SAP BusinessObjects Business Intelligence knnen Sie nach vorhandenen Inhalten suchen, z.B. nach Web-Intelligence-Dokumenten, Dashboards-Modellen sowie Web-Dynpro-Anwendungen, und die Informationen anschlieend auf dem Desktop einfgen, damit sie bei Bedarf sofort verfgbar sind. Als Widget bernehmen die Inhalte folgende Funktionen aus dem Widget-Framework: Benutzergesteuerte Gre und Positionierung Automatische Regenerierung Optionale Einstellung als oberstes Anwendungsfenster Umfassende Sicherheit von SAP BusinessObjects Business Intelligence (nur fr Web-IntelligenceBerichtsteile und Dashboards-Modelle) Gespeicherte Anzeige Gespeicherter Datenkontextstatus (nur Web-Intelligence-Berichtsteile) Web-Intelligence-OpenDocument-Verknpfungen zu detaillierten Berichten (nur Web-Intelligence-Berichte) Registerkarten-Ansichten (nur Dashboards-Modelle)

3.3.2 Installed with SAP BusinessObjects Business Intelligence Platform 3.3.2.1 Central Configuration Manager

Der Central Configuration Manager (CCM) ist ein Tool fr die Fehlerbehebung auf Servern und die Knotenverwaltung, das in zwei Varianten bereitgestellt wird. Unter Windows verwenden Sie den CCM, um lokale und Remote-Server ber die CCM-Benutzeroberflche oder eine Befehlszeile zu verwalten. Unter UNIX verwalten Sie Server mithilfe des CCM-Shell-Skripts (ccm.sh) ber eine Befehlszeile. Sie knnen mit dem CCM Knoten erstellen und konfigurieren sowie den Webanwendungsserver starten oder stoppen, sofern es der gebndelte standardmige Tomcat-Webanwendungsserver ist. Unter Windows ermglicht der CCM Ihnen die Konfiguration von Netzwerkparametern, z.B. der Secure-Socket-LayerVerschlsselung (SSL-Verschlsselung). Die Parameter gelten fr alle Server im Knoten.

64

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

Hinweis
Die meisten Serververwaltungsaufgaben werden ber die CMC und nicht im CCM ausgefhrt. Der CCM wird fr die Fehlerbehebung und die Knotenkonfiguration verwendet.

3.3.2.2

Upgrade-Management-Tool

Das Upgrade-Management-Tool (frher Import-Assistent) wird als Teil von SAP BusinessObjects Business Intelligence installiert und fhrt Administratoren durch den Prozess des Imports von Benutzern, Gruppen und Ordnern aus frheren Versionen von SAP BusinessObjects Business Intelligence. Auerdem knnen mit dem Tool Objekte, Ereignisse, Servergruppen, Repository-Objekte und Kalender importiert und aktualisiert werden. Informationen ber das Upgrade von einer frheren Version von SAP BusinessObjects Business Intelligence finden Sie im Aktualisierungshandbuch fr SAP BusinessObjects Business Intelligence.

3.3.2.3

Repository Diagnostic Tool

Das Repository Diagnostic Tool (RDT) sucht nach Inkonsistenzen zwischen der Systemdatenbank des Central Management Servers (CMS) und dem Dateispeicher des File Repository Servers (FRS) und diagnostiziert und repariert diese. Sie knnen mit dem RDT das Dateisystem und die Datenbank synchronisieren, nachdem ein Benutzer das System aus einem Hotbackup zurckgeschrieben oder eine Wiederherstellung durchgefhrt hat (vor dem Start der Business-Intelligence-Plattform-Dienste). Benutzer haben die Mglichkeit, einen Grenzwert fr die Anzahl der Fehler festzulegen, die das RDT vor Ende der Ausfhrung findet und repariert.

3.3.3 3.3.3.1 Office

Available separately SAP BusinessObjects Analysis, Edition fr Microsoft

SAP BusinessObjects Analysis, Edition fr Microsoft Office ist eine hervorragende Alternative zu Business Explorer (BEx) und bietet Business-Analysten die Mglichkeit, mehrdimensionale OLAP-Daten (Online Analytical Processing) zu durchsuchen. Analysten knnen Geschftsfragen rasch beantworten und ihre Auswertung und den Arbeitsbereich anschlieend gemeinsam mit anderen als Analysen nutzen. Mit SAP BusinessObjects Analysis, Edition fr Microsoft Office knnen Analysten Folgendes ausfhren: Aufdecken von Trends, Ausreiern und Details in den Finanzsystemen ohne die Hilfe eines Datenbankadministrators. Beantwortung von Geschftsfragen beim effizienten Anzeigen groer oder kleiner mehrdimensionaler Datenstze.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

65

Zugriff auf smtliche OLAP-Datenquellen innerhalb der Organisation und gemeinsame Nutzung der Ergebnisse ber eine einfache, intuitiv zu bedienende Oberflche. Zugriff auf mehrere unterschiedliche OLAP-Quellen in derselben Analyse fr eine umfassende bersicht ber das Unternehmen und die Art und Weise, wie sich die verschiedenen Trends gegenseitig beeinflussen. Abfragen, analysieren, vergleichen und prognostizieren von Einflussfaktoren. Verwendung einer breit gefcherten Auswahl von Geschfts- und Zeitberechnungen.

3.3.3.2

SAP Crystal Reports

Mit der Software SAP Crystal Reports knnen Benutzer interaktive Berichte aus einer Datenquelle erstellen.

3.3.3.3

SAP BusinessObjects Dashboards

SAP BusinessObjects Dashboards (vormals Xcelsius) ist ein Tool zur Datenvisualisierung und zur Erstellung von dynamischen, interaktiven Dashboards. Daten und Formeln werden importiert oder direkt in ein eingebettetes Excel-Arbeitsblatt eingegeben. Eine Flash-Oberflche stellt einen Grafikbereich bereit, in dem eine Vielzahl von Analysen und Dashboards angezeigt werden knnen. Die Daten lassen sich dynamisch aus SAP BusinessObjects Business Intelligence aktualisieren und dann in viele unterschiedliche Formate exportieren, sodass Nutzer der Daten diese in Standardformaten wie PowerPoint, PDF oder Flash anzeigen knnen.

3.3.3.4

SAP BusinessObjects Explorer

SAP BusinessObjects Explorer ist eine Datensuchanwendung, die anhand einer leistungsstarken Suchfunktion schnell und direkt Antworten auf Geschftsfragen aus Ihren Unternehmensdaten abruft. Wenn Sie SAP BusinessObjects Explorer installieren, werden folgende Server zu Central Configuration Manager (CCM) und zur Central Management Console (CMC) von SAP BusinessObjects Business Intelligence hinzugefgt: Explorer-Masterserver: Verwaltet alle Explorer-Server. Explorer-Indizierungsserver: Ermglicht und verwaltet das Indizieren von Information-Space-Daten und Metadaten. Explorer-Suchserver: Verarbeitet Suchanfragen und gibt die Ergebnisse zurck. Explorer-Explorationsserver: Ermglicht und verwaltet die Funktionen zur Information-Space-Exploration und -Analyse einschlielich der Datensuche, Filterung und Aggregation.

3.3.4

Webanwendungsclients

Webanwendungsclients befinden sich auf einem Webanwendungsserver. Der Zugriff auf sie erfolgt ber einen Client-Webbrowser. Webanwendungen werden bei der Installation von SAP BusinessObjects Business Intelligence automatisch implementiert.

66

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

Auf Webanwendugen kann einfach ber einen Webbrowser zugegriffen werden. Die Kommunikation erfolgt mit SSL-Verschlsselung, wenn Sie planen, Benutzern den Zugriff von auerhalb des Unternehmens zu ermglichen. Java-Webanwendungen knnen Sie auch nach der Erstinstallation neu konfigurieren oder implementieren, indem Sie das gebndelte WDeploy-Befehlszeilenwerkzeug verwenden, mit dem Sie Webanwendungen auf zwei verschiedene Arten auf einem Webanwendungsserver implementieren knnen: 1. Eigenstndiger Modus Alle Webanwendungsressourcen werden auf einem Webanwendungsserver implementiert, der sowohl dynamische als auch statische Inhalte verarbeitet. Diese Vorgehensweise eignet sich fr kleine Installationen. Split-Modus Der statische Inhalt der Webanwendung (HTML, Bilder, CSS) wird auf einem dedizierten Webserver implementiert, whrend der dynamische Inhalt (JSPs) auf einem Webanwendungsserver implementiert wird. Diese Vorgehensweise eignet sich fr grere Installationen, die davon profitieren, dass der Webanwendungsserver von der Verwaltung statischer Webinhalte befreit wird.

2.

Weitere Informationen zu WDeploy finden Sie im Handbuch fr die Implementierung von Webanwendungen fr SAP BusinessObjects Business Intelligence.

3.3.4.1

Central Management Console (CMC)

Die Central Management Console (CMC) ist ein webbasiertes Tool, mit dem Sie administrative Aufgaben (z.B. Benutzer-, Inhalt- und Serververwaltung) ausfhren und Sicherheitseinstellungen konfigurieren knnen. Da es sich bei der CMC um eine webbasierte Anwendung handelt, knnen Sie alle administrativen Aufgaben in einem Webbrowser auf jedem Computer ausfhren, der eine Verbindung mit dem Webanwendungsserver herstellen kann.

Alle Benutzer knnen sich an der CMC anmelden, um ihre eigenen Einstellungen zu ndern. Verwaltungseinstellungen knnen nur von Mitgliedern der Gruppe "Administratoren" gendert werden, es sei denn, anderen Benutzern werden diese Rechte explizit gewhrt. In der CMC knnen Rollen zugewiesen werden, um Benutzerrechte fr die Ausfhrung kleinerer administrativer Aufgaben zu gewhren, z.B. Verwalten der Benutzer in Ihrer Gruppe oder Verwalten von Berichten in Ordnern, die Ihrem Team gehren.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

67

3.3.4.2

BI-Launchpad

BI-Launchpad (frher InfoView) ist eine webbasierte Schnittstelle, auf die Endbenutzer zugreifen, um verffentlichte Business-Intelligence-Berichte (BI-Berichte) anzuzeigen, zeitgesteuert zu verarbeiten und zu verfolgen. BI-Launchpad ist in der Lage, auf jeden Business-Intelligence-Dokumenttyp zuzugreifen, diesen zu exportieren und damit zu interagieren, einschlielich Berichte, Analysen und Dashboards. Mit BI-Launchpad knnen Benutzer Folgendes durchfhren: Navigieren und Suchen in BI-Inhalt Zugriff auf BI-Inhalt (Erstellen, Bearbeiten, Anzeigen) Zeitgesteuerte Verarbeitung und Verffentlichung von BI-Inhalt

3.3.4.3

BI-Arbeitsbereiche

Mithilfe von BI-Arbeitsbereichen (frher Dashboard Builder) knnen Sie Ihre Geschftsaktivitten und Ihre Leistung verfolgen. Hierzu kommen Module (Vorlagen fr Daten) und BI-Arbeitsbereiche (Anzeige von Daten in einem oder mehreren Modulen) zum Einsatz. Module und BI-Arbeitsbereiche stellen die ntigen Informationen bereit, die zum Anpassen von Geschftsregeln an wechselnde Bedingungen erforderlich sind. Die BIArbeitsbereiche und -Module fr die Verwaltung helfen Ihnen dabei, wichtige Geschftsdaten zu verfolgen und zu analysieren. Diese Produkte vereinfachen auch die Entscheidungsfindung und Analyseprozesse innerhalb von Gruppen, indem sie integrierte Funktionen fr Zusammenarbeit und Workflows bieten. BI-Arbeitsbereiche stellen die folgenden Funktionen bereit: Auf Registerkarten basierende Suche Seitenerstellung: Verwalten von BI-Arbeitsbereichen und -Modulen Anwendungs-Generator mit Zeigen- und Klicken-Funktionen Inhaltsverknpfung zwischen Modulen fr eine ausfhrliche Datenanalyse

Hinweis
BI-Arbeitsbereiche sind ein integraler Bestandteil der BI-Launchpad-Anwendung. Zur Nutzung der Funktionen von BI-Arbeitsbereichen erwerben Sie daher eine Lizenz fr SAP BusinessObjects Business Intelligence, in der BI-Launchpad als Teil der Softwarelizenzvereinbarung enthalten ist.

3.3.4.4

Berichtsviewer

Jeder Berichtsviewer untersttzt eine andere Plattform und einen anderen Browser. Zur Auswahl stehen zwei Viewer-Kategorien: Clientseitige Berichtsviewer (Active-X-Viewer und Java-Viewer) Clientseitige Berichtsviewer werden mithilfe des Browsers der Benutzer heruntergeladen und installiert. Wenn Benutzer einen Bericht anfordern, verarbeitet der Anwendungsserver die Anforderung und ruft die Berichtsseiten von SAP BusinessObjects Business Intelligence ab. Der Webanwendungsserver bergibt die Berichtsseiten anschlieend an den clientseitigen Viewer, der diese verarbeitet und direkt in einem

68

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

Webbrowser anzeigt. Um einen clientseitigen Berichtsviewer zu whlen, whlen Sie Reports Web ActiveX (ActiveX erforderlich) oder Web Java (Java erforderlich) aus.

Einstellungen

Crystal

Zero-Client-Berichtsviewer (DHTML-Viewer) Zero-Client-Berichtsviewer befinden sich auf dem Webanwendungsserver. Wenn Benutzer einen Bericht anfordern, ruft der Webanwendungsserver die Berichtsseiten von der BI-Plattform ab und erstellt DHTMLSeiten, die in einem Browser angezeigt werden. Um den Zero-Client-Berichtsviewer (DHTML) zu whlen, whlen Sie Einstellungen Crystal Reports Web (kein Download erforderlich) .

Alle Berichtsviewer verarbeiten Berichtsanforderungen und stellen Berichtsseiten dar, die in einem Webbrowser angezeigt werden. Weitere Informationen zur Untersttzung spezifischer Funktionen oder Plattformen durch die Berichtsviewer finden Sie im Benutzerhandbuch fr BI-Launchpad, im Report Application Server .NET SDK Developer Guide oder im Entwicklerhandbuch fr das Viewer-Java-SDK.

3.3.4.5

SAP BusinessObjects Web Intelligence

SAP BusinessObjects Web Intelligence ist ein webbasiertes Tool, das Abfrage-, Berichterstellungs- und Analysefunktionen fr relationale Datenquellen in einem einzigen webbasierten Produkt liefert. Sie ermglicht Benutzern, Berichte zu erstellen, Ad-hoc-Analysen auszufhren, Daten zu analysieren und Berichte in einer Drag-and-Drop-Oberflche zu formatieren. Web Intelligence kaschiert die Komplexitt zugrunde liegender Datenquellen. Berichte knnen mithilfe von SAP BusinessObjects Live Office in einem untersttzten Webportal oder in Microsoft Office-Anwendungen verffentlicht werden.

3.3.4.6

SAP BusinessObjects Analysis, Edition fr OLAP

SAP BusinessObjects Analysis, Edition fr OLAP (frher Voyager) ist ein OLAP-Tool ((Online Analytical Processing) im BI-Launchpad-Portal, mit dem mehrdimensionale Daten bearbeitet werden knnen. Darber hinaus kann es Informationen aus unterschiedlichen OLAP-Datenquellen in einem einzigen Arbeitsbereich kombinieren. Zu den untersttzten OLAP-Providern gehren SAP BW und Microsoft Analysis Services. Der OLAP-Funktionssatz von Analysis kombiniert Elemente von SAP Crystal Reports (direkter Datenzugriff auf OLAP-Cubes zur Produktionsberichterstellung) und von SAP BusinessObjects Web Intelligence (analytische Adhoc-Berichterstellung mit Universen aus OLAP-Datenquellen). Er bietet eine Reihe von Geschfts- und Zeitberechnungen und umfasst Features wie Zeitspannen, mit denen die Analyse von OLAP-Daten so einfach wie mglich gestaltet wird.

Hinweis
Die Webanwendung von Analysis, Edition fr OLAP, ist nur als Java-Webanwendung verfgbar. Fr .NET ist keine entsprechende Anwendung verfgbar.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

69

3.3.4.7

SAP BusinessObjects Mobile

Mit SAP BusinessObjects Mobile knnen Ihre Benutzer ber ein drahtloses Gert remote auf die gleichen BIBerichte, -Metriken und -Echtzeitdaten zugreifen wie ber den Desktop-Client. Der Inhalt ist fr mobile Gerte optimiert, damit die Benutzer auf einfache Weise und ohne zustzliches Training auf vertraute Berichte zugreifen, in diesen navigieren und sie analysieren knnen. Mit SAP BusinessObjects Mobile bleiben Fhrungskrfte und Mitarbeiter immer auf dem neuesten Stand. So knnen sie Entscheidungen stets aufgrund der neuesten Informationen treffen. Vertriebs- und Auendienstmitarbeiter liefern die richtigen Kunden-, Produkt- und Auftragsinformationen wo und wann diese bentigt werden. SAP BusinessObjects Mobile untersttzt eine breite Palette von mobilen Gerten, darunter BlackBerry, Windows Mobile und Symbian. Informationen zur Mobile-Installation, -Konfiguration und -Implementierung finden Sie im Installations- und Implementierungshandbuch fr SAP BusinessObjects Mobile. Informationen zur Verwendung von SAP BusinessObjects Mobile finden Sie im Benutzerhandbuch fr SAP BusinessObjects Mobile.

3.4

Prozess-Workflows

Bei der Ausfhrung von Aufgaben wie der Anmeldung und der zeitgesteuerte Verarbeitung oder Anzeige von Berichten flieen Informationen durch das System und die Server kommunizieren miteinander. Im folgenden Abschnitt werden einige Prozessablufe beschrieben, so wie sie in der BI-Plattform vorkommen knnten. Um zustzliche Prozess-Workflows mit visuellen Hilfsmitteln anzuzeigen, sehen Sie sich die offiziellen Produktlernprogramme von SAP BusinessObjects Business Intelligence 4.x unter folgender Adresse an: http:// scn.sap.com/docs/DOC-8292

3.4.1

Startup and authentication

3.4.1.1 Anmelden bei SAP BusinessObjects Business Intelligence


Dieser Workflow beschreibt die Anmeldung eines Benutzers an einer Webanwendung von SAP BusinessObjects Business Intelligence ber einen Webbrowser. Dieser Workflow lsst sich auf Webanwendungen wie BILaunchpad und der Central Management Console (CMC) bertragen. 1. 2. Der Browser (Webclient) sendet die Anmeldeanforderung ber den Webserver an den Webanwendungsserver, auf dem die Webanwendung ausgefhrt wird. Der Webanwendungsserver stellt fest, ob es sich bei der Anforderung um eine Anmeldeanforderung handelt. Der Webanwendungsserver sendet den Benutzernamen, das Kennwort und den Authentifizierungstyp zur Authentifizierung an den CMS.

70

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

3.

Der CMS validiert den Benutzernamen und das Kennwort gegenber der geeigneten Datenbank. In diesem Fall wird die Enterprise-Authentifizierung verwendet, und die Anmeldedaten werden gegenber der CMSSystemdatenbank authentifiziert. Nach erfolgreicher berprfung erstellt der CMS eine Benutzersitzung im Arbeitsspeicher. Der CMS sendet eine Antwort an den Webanwendungsserver, um ihm mitzuteilen, dass die berprfung erfolgreich war. Der Webanwendungsserver generiert ein Anmeldetoken fr die Benutzersitzung im Arbeitsspeicher. Im weiteren Verlauf dieser Sitzung verwendet der Webanwendungsserver das Anmeldetoken, um den Benutzer gegenber dem CMS zu authentifizieren. Der Webanwendungsserver generiert die nchste, an den Webclient zu sendende Webseite. Der Webanwendungsserver sendet die nchste Webseite an den Webserver. Der Webanwendungsserver sendet die Webseite an den Webclient, wo sie im Browser des Benutzers wiedergegeben wird.

4. 5. 6.

7. 8.

3.4.1.2

Starten von SIA

Ein Server Intelligence Agent (SIA) kann so konfiguriert werden, dass er automatisch mit dem Hostbetriebssystem gestartet wird, oder kann manuell mit dem Central Configuration Manager (CCM) gestartet werden. Ein SIA ruft von einem Central Management Server (CMS) Informationen ber die von ihm verwalteten Server ab. Verwendet der SIA einen lokalen CMS, und wird dieser CMS nicht ausgefhrt, startet der SIA den CMS. Verwendet ein SIA einen Remote-CMS, versucht er, eine Verbindung zum CMS herzustellen. Nach dem Start eines SIA wird die folgende Reihe von Ereignissen ausgefhrt. 1. Der SIA sucht einen CMS in seinem Cache. a) Wenn der SIA fr den Start eines lokalen CMS konfiguriert und dieser nicht ausgefhrt wird, startet der SIA den CMS in seinem Cache und stellt die Verbindung her. b) Wenn der SIA fr die Verwendung eines CMS (lokal oder remote) konfiguriert ist, der ausgefhrt wird, versucht er, eine Verbindung zum ersten CMS in seinem Cache herzustellen. Wenn der CMS gerade nicht verfgbar ist, versucht er, eine Verbindung zum nchsten CMS im Cache herzustellen. Wenn keiner der CMS im Cache verfgbar ist, wartet der SIA so lange, bis einer verfgbar wird. 2. 3. Der CMS besttigt die Identitt des SIA, um dessen Gltigkeit sicherzustellen. Nachdem der SIA die Verbindung zu einem CMS hergestellt hat, fordert er eine Liste der zu verwaltenden Server an.

Hinweis
Ein SIA speichert keine Informationen ber die Server, die er verwaltet. Die Konfigurationsinformationen, die vorgeben, welcher Server von einem SIA verwaltet wird, sind in der CMS-Systemdatenbank gespeichert und werden vom SIA bei dessen Start vom CMS abgerufen. 4. 5. Der CMS fragt eine Liste der vom SIA verwalteten Server aus der CMS-Systemdatenbank ab. Auerdem wird die Konfiguration der einzelnen Server abgerufen. Der CMS gibt die Liste der Server und ihre Konfiguration an den SIA zurck.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

71

6.

Der SIA startet jeden fr den automatischen Start konfigurierten Server mit der entsprechenden Konfiguration und berwacht seinen Status. Alle vom SIA gestarteten Server sind so konfiguriert, dass sie den gleichen CMS wie der SIA verwenden. Smtliche nicht fr den automatischen Start mit dem SIA konfigurierten Server werden nicht gestartet.

3.4.1.3

Herunterfahren von SIA

Sie knnen den Server Intelligence Agent (SIA) automatisch stoppen, indem Sie das Hostbetriebssystem herunterfahren. Alternativ lsst sich der SIA im Central Configuration Manager (CCM) auch manuell stoppen. Wenn der SIA heruntergefahren wird, werden folgende Schritte durchgefhrt. Der SIA benachrichtigt den CMS, dass er heruntergefahren wird. a) Falls der SIA gestoppt wird, weil das Betriebssystem des Hosts heruntergefahren wird, fordert der SIA seine Server zum Stopp auf. Die Beendigung von Servern, die nicht innerhalb von 25 Sekunden gestoppt werden, wird erzwungen. b) Wenn der SIA manuell gestoppt wird, wartet er, bis der verwaltete Server mit der Verarbeitung vorhandener Auftrge fertig ist. Die verwalteten Server akzeptieren keine neuen Auftrge. Wenn alle Auftrge abgeschlossen sind, werden die Server gestoppt. Nachdem alle Server gestoppt wurden, wird auch der SIA gestoppt. Beim erzwungenen Herunterfahren sendet der SIA eine Aufforderung zum sofortigen Stoppen an alle verwalteten Server.

3.4.2

Program objects

3.4.2.1 Festlegen der zeitgesteuerten Verarbeitung fr ein Programmobjekt


Dieser Workflow beschreibt, wie ein Benutzer ein Programmobjekt zeitgesteuert verarbeitet, sodass es zu einem spteren Zeitpunkt von einer Webanwendung, z.B. der Central Management Console (CMC) oder BI-Launchpad, ausgefhrt wird. 1. 2. Der Benutzer sendet die Anforderung zur zeitgesteuerten Verarbeitung vom Webclient ber den Webserver an den Webanwendungsserver. Der Webanwendungsserver interpretiert die Anforderung und stellt fest, ob es sich um eine Anforderung zur zeitgesteuerten Verarbeitung handelt. Der Webanwendungsserver sendet den Zeitpunkt fr die zeitgesteuerte Verarbeitung, Werte fr die Datenbankanmeldung, Parameterwerte, Ziel und Format an den angegebenen Central Management Server (CMS). Der CMS stellt sicher, dass der Anwender zur zeitgesteuerten Verarbeitung des Objekts berechtigt ist. Wenn der Benutzer ber die erforderlichen Rechte verfgt, fgt der CMS der CMS-Systemdatenbank einen neuen Datensatz hinzu. Der CMS fgt die Instanz auerdem der Liste ausstehender zeitgesteuerter Verarbeitungen hinzu. Der CMS sendet eine Antwort an den Webanwendungsserver, um ihm mitzuteilen, dass der Vorgang der zeitgesteuerten Verarbeitung erfolgreich war.

3.

4.

72

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

5.

Der Webanwendungsserver generiert die nchste HTML-Seite und sendet sie ber den Webserver an den Webclient.

3.4.2.2 Ausfhren eines zeitgesteuert verarbeiteten Programmobjekts


Dieser Workflow beschreibt, wie ein zeitgesteuert verarbeitetes Programmobjekt zu einem geplanten Zeitpunkt ausgefhrt wird. 1. 2. Der Central Management Server (CMS) prft die CMS-Systemdatenbank, um festzustellen, ob momentan ein zeitgesteuert verarbeiteter SAP-Crystal-Reports-Bericht ausgefhrt werden muss. Kurz vor der zeitgesteuerten Verarbeitung sucht der CMS einen verfgbaren Dienst zur zeitgesteuerten Verarbeitung von Programmen, der auf einem Adaptive Job Server ausgefhrt wird. Der CMS sendet die Auftragsinformationen an den Dienst zur zeitgesteuerten Verarbeitung von Programmen. Der Dienst zur zeitgesteuerten Verarbeitung von Programmen kommuniziert mit dem Input File Repository Server (FRS), um das Programmobjekt abzurufen.

3.

Hinweis
Dieser Schritt setzt zudem die Kommunikation mit dem CMS voraus, damit die erforderlichen Server und Objekte gesucht werden knnen. 4. 5. 6. Der Dienst zur zeitgesteuerten Verarbeitung von Programmen startet das Programm. Der Dienst zur zeitgesteuerten Verarbeitung von Programmen aktualisiert regelmig den Auftragsstatus auf dem CMS. Der aktuelle Status ist "Verarbeitung". Der Dienst zur zeitgesteuerten Verarbeitung von Programmen sendet eine Protokolldatei an den Output FRS. Der Output FRS benachrichtigt den Dienst zur zeitgesteuerten Verarbeitung von Programmen durch Senden einer Objektprotokolldatei darber, dass das Objekt erfolgreich zeitgesteuert verarbeitet wurde.

Hinweis
Dieser Schritt setzt zudem die Kommunikation mit dem CMS voraus, damit die erforderlichen Server und Objekte gesucht werden knnen. 7. 8. Der Dienst zur zeitgesteuerten Verarbeitung von Programmen aktualisiert den Auftragsstatus auf dem CMS. Der aktuelle Status ist "Erfolg". Der CMS aktualisiert den Auftragsstatus in seinem Arbeitsspeicher und schreibt die Instanzinformationen dann in die CMS-Systemdatenbank.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

73

3.4.3

Crystal Reports

3.4.3.1 Anzeigen einer zwischengespeicherten SAP-CrystalReports-Berichtsseite


Dieser Workflow beschreibt, wie ein Benutzer eine Seite in einem SAP-Crystal-Reports-Bericht (z.B. vom BerichtViewer in BI-Launchpad) anfordert, wenn die Berichtsseite bereits auf einem Cache Server vorliegt. Dieser Workflow gilt sowohl fr SAP Crystal Reports 2011 als auch fr SAP Crystal Reports fr Enterprise. 1. 2. Der Webclient sendet in einer URL eine Anforderung zur Anzeige ber den Webserver an den Webanwendungsserver. Der Webanwendungsserver interpretiert die Anforderung und stellt fest, dass es sich um eine Anforderung zum Anzeigen einer ausgewhlten Berichtsseite handelt. Der Webanwendungsserver sendet eine Anforderung an den Central Management Server (CMS), um sicherzustellen, dass der Benutzer ber ausreichende Rechte zum Anzeigen des Berichts verfgt. Der CMS prft die CMS-Systemdatenbank, um zu verifizieren, dass der Benutzer ber die erforderlichen Rechte zum Anzeigen des Berichts verfgt. Der CMS sendet eine Antwort an den Webanwendungsserver, um zu besttigen, dass der Benutzer ber die erforderlichen Rechte zur Anzeige des Berichts verfgt. Der Webanwendungsserver sendet eine Anforderung an den Crystal Reports Cache Server, in der die Seite des Berichts (.epf) angefordert wird. Der Crystal Reports Cache Server stellt fest, ob die angeforderte .epf-Datei im Cache-Verzeichnis vorhanden ist. In diesem Beispiel wird die .epf-Datei gefunden. 7. 8. Der Crystal Reports Cache Server sendet die angeforderte Seite an den Webanwendungsserver. Der Webanwendungsserver sendet die Seite ber den Webserver an den Webclient, wo sie gerendert und angezeigt wird.

3. 4. 5. 6.

3.4.3.2 Anzeigen einer nicht zwischengespeicherten Seite eines SAP-Crystal-Reports-2011-Berichts


Dieser Workflow beschreibt, wie ein Benutzer eine Seite in einem SAP-Crystal-Reports-2011-Bericht (z.B. vom Berichtsviewer in BI-Launchpad) anfordert, wenn die Datei noch nicht auf einem Cache Server vorhanden ist. 1. 2. Der Benutzer sendet die Anzeigeanforderung ber den Webserver an den Webanwendungsserver. Der Webanwendungsserver interpretiert die Anforderung und stellt fest, ob es sich um eine Anforderung zum Anzeigen einer ausgewhlten Berichtsseite handelt. Der Webanwendungsserver sendet eine Anforderung an den Central Management Server (CMS), um sicherzustellen, dass der Benutzer ber ausreichende Rechte zum Anzeigen des Berichts verfgt. Der CMS prft die CMS-Systemdatenbank, um festzustellen, ob der Benutzer ber ausreichende Rechte zum Anzeigen des Berichts verfgt. Der CMS sendet eine Antwort an den Webanwendungsserver, um zu besttigen, dass der Benutzer ber die ausreichende Rechte zum Anzeigen des Berichts verfgt. Der Webanwendungsserver sendet eine Anforderung an den Crystal Reports Cache Server, in der die erste Seite des Berichts (.epf-Datei) angefordert wird.

3. 4. 5.

74

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

6. 7. 8.

Der Crystal Reports Cache Server stellt fest, ob die angeforderte Datei im Cacheverzeichnis vorhanden ist. In diesem Beispiel befindet sich die angeforderte .epf-Datei nicht im Cacheverzeichnis. Der Crystal Reports Cache Server sendet die Anforderung an den Crystal Reports 2011 Processing Server. Der Crystal Reports 2011 Processing Server fragt den Output File Repository Server (FRS) nach der angeforderten Berichtsinstanz ab. Der Output FRS sendet die angeforderte Berichtsinstanz an den Crystal Reports 2011 Processing Server.

Hinweis
Dieser Schritt setzt zudem die Kommunikation mit dem CMS voraus, damit die erforderlichen Server und Objekte gesucht werden knnen. 9. Der Crystal Reports 2011 Reporting Server ffnet die Berichtsinstanz und berprft, ob der Bericht Daten enthlt. Der Crystal Reports 2011 Reporting Server stellt fest, ob der Bericht Daten enthlt, und erstellt die .epf-Datei fr die angeforderte Berichtsseite. Dazu muss keine Verbindung mit der Produktionsdatenbank hergestellt werden. 10. Der Crystal Reports 2011 Processing Server sendet die .epf-Datei an den Crystal Reports Cache Server. 11. Der Crystal Reports Cache Server schreibt die .epf-Datei in das Cache-Verzeichnis. 12. Der Crystal Reports Cache Server sendet die angeforderte EPF-Seite an den Webanwendungsserver. 13. Der Webanwendungsserver sendet die Seite ber den Webserver an den Webclient, auf dem sie gerendert und angezeigt wird.

3.4.3.3 Anzeigen eines SAP-Crystal-Reports-2011-Berichts auf Abruf


In diesem Workflow wird beschrieben, wie ein Benutzer eine Seite eines SAP-Crystal-Reports-2011-Berichts auf Abruf anfordert, um die neuesten Daten einzusehen. In diesem Beispiel erfolgt dies ber den Bericht-Viewer in BILaunchpad. 1. 2. Der Benutzer sendet die Anzeigeanforderung ber den Webserver an den Webanwendungsserver. Der Webanwendungsserver interpretiert die Anforderung und stellt fest, dass es sich um eine Anforderung zum Anzeigen einer ausgewhlten Berichtsseite handelt. Der Webanwendungsserver sendet eine Anforderung an den Central Management Server (CMS), um sicherzustellen, dass der Benutzer ber die erforderlichen Rechte zum Anzeigen des Berichts verfgt. Der CMS prft die CMS-Systemdatenbank, um zu verifizieren, dass der Benutzer ber die erforderlichen Rechte zum Anzeigen des Berichts verfgt. Der CMS sendet eine Antwort an den Webanwendungsserver, um zu besttigen, dass der Benutzer ber die erforderlichen Rechte zur Anzeige des Berichts verfgt. Der Webanwendungsserver sendet eine Anforderung an den Crystal Reports Cache Server, in der die Seite des Berichts (.epf) angefordert wird. Der Crystal Reports Cache Server berprft, ob die Seite bereits vorhanden ist. Der Crystal Reports Cache Server sendet eine Anforderung zum Generieren der Seite an den Crystal Reports 2011 Processing Server, es sei denn, der Bericht erfllt die Bedingungen fr die Freigabe von Berichten auf Abruf (innerhalb einer festgelegten Zeit einer anderen Auf-Abruf-Anforderung, Datenbankanmeldung oder anderer Parameter).

3. 4. 5. 6.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

75

7.

Der Crystal Reports 2011 Processing Server fordert das Berichtsobjekt vom Input File Repository Server (FRS) an. Der Input FRS bermittelt eine Kopie des Objekts in einem Datenstream an den Crystal Reports 2011 Processing Server.

Hinweis
Dieser Schritt setzt zudem die Kommunikation mit dem CMS voraus, damit die erforderlichen Server und Objekte gesucht werden knnen. 8. Der Crystal Reports 2011 Processing Server ffnet den Bericht in seinem Arbeitsspeicher und prft, ob er Daten enthlt. In diesem Beispiel sind keine Daten im Berichtsobjekt enthalten, sodass der Crystal Reports 2011 Processing Server eine Verbindung mit der Datenquelle herstellt, um Daten abzurufen und den Bericht zu generieren. Der Crystal Reports 2011 Processing Server sendet die Seite (.epf-Datei) an den Crystal Reports Cache Server. Der Crystal Reports Cache Server speichert eine Kopie der .epf-Datei in seinem Cache-Verzeichnis, wo sie fr neue Anzeigeanforderungen zur Verfgung steht. 10. Der Crystal Reports Cache Server sendet die angeforderte Seite an den Webanwendungsserver. 11. Der Webanwendungsserver sendet die Seite ber den Webserver an den Webclient, wo sie gerendert und angezeigt wird.

9.

3.4.3.4 Festlegen einer zeitgesteuerten Verarbeitung fr einen Crystal-Reports-Bericht


Dieser Workflow beschreibt, wie ein Benutzer einen SAP-Crystal-Reports-Bericht zeitgesteuert verarbeitet, sodass dieser zu einem spteren Zeitpunkt von einer Webanwendung, z.B. der Central Management Console (CMC) oder BI-Launchpad, ausgefhrt wird. Dieser Workflow gilt sowohl fr SAP Crystal Reports 2011 als auch fr SAP Crystal Reports fr Enterprise. 1. 2. Der Webclient sendet in einer URL eine Anforderung zur zeitgesteuerten Verarbeitung ber den Webserver an den Webanwendungsserver. Der Webanwendungsserver interpretiert die URL-Anforderung und stellt fest, ob es sich bei der Anforderung um eine Anforderung zur zeitgesteuerten Verarbeitung handelt. Der Webanwendungsserver sendet den Zeitpunkt fr die zeitgesteuerte Verarbeitung, Werte fr die Datenbankanmeldung, Parameterwerte, Ziel und Format an den angegebenen Central Management Server (CMS). Der CMS stellt sicher, dass der Anwender zur zeitgesteuerten Verarbeitung des Objekts berechtigt ist. Wenn der Benutzer ber die erforderlichen Rechte verfgt, fgt der CMS der CMS-Systemdatenbank einen neuen Datensatz hinzu. Der CMS fgt die Instanz auerdem der Liste ausstehender zeitgesteuerter Verarbeitungen hinzu. Der CMS sendet eine Antwort an den Webanwendungsserver, um ihm mitzuteilen, dass der Vorgang der zeitgesteuerten Verarbeitung erfolgreich war. Der Webanwendungsserver generiert die nchste HTML-Seite und sendet sie ber den Webserver an den Webclient.

3.

4. 5.

76

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

3.4.3.5 Ausfhren von zeitgesteuert verarbeiteten SAPCrystal-Reports-2011-Berichten


Dieser Workflow beschreibt, wie ein zeitgesteuert verarbeiteter SAP-Crystal-Reports-2011-Bericht zu einem geplanten Zeitpunkt ausgefhrt wird. 1. 2. Der Central Management Server (CMS) prft die CMS-Systemdatenbank, um festzustellen, ob momentan ein zeitgesteuert verarbeiteter SAP-Crystal-Reports-Bericht ausgefhrt werden muss. Kurz vor der zeitgesteuerten Verarbeitung sucht der CMS (auf der Grundlage des Werts Maximal zulssige Anzahl von Auftrgen, der fr jeden Adaptive Job Server konfiguriert wird) einen verfgbaren Dienst fr die zeitgesteuerte Verarbeitung von Crystal-Reports-2011-Berichten, der auf einem Adaptive Job Server ausgefhrt wird. Der CMS sendet die Auftragsinformationen (Bericht-ID, Format, Ziel, Anmeldeinformationen, Parameter und Auswahlformeln) an den Dienst fr die zeitgesteuerte Verarbeitung von Crystal-Reports-2011Berichten. Der Dienst fr die zeitgesteuerte Verarbeitung von Crystal-Reports-2011-Berichten kommuniziert mit dem Input File Repository Server (FRS), um entsprechend der angeforderten Bericht-ID eine Berichtsvorlage zu erhalten.

3.

Hinweis
Dieser Schritt setzt zudem die Kommunikation mit dem CMS voraus, damit die erforderlichen Server und Objekte gesucht werden knnen. 4. 5. Der Dienst fr die zeitgesteuerte Verarbeitung von Crystal-Reports-2011-Berichten startet den JobChildserver-Prozess. Der untergeordnete Prozess (JobChildserver) startet bei Empfang der Vorlage vom Input File Repository Server die Datei ProcReport.dll. ProcReport.dll enthlt alle Parameter, die vom CMS an den Dienst fr die zeitgesteuerte Verarbeitung von Crystal-Reports-2011-Berichten bergeben wurden. 6. 7. 8. 9. ProcReport.dll startet die Datei crpe32.dll, die den Bericht in bereinstimmung mit den bergebenen Parametern verarbeitet. Whrend der Bericht noch immer von crpe32.dll verarbeitet wird, werden Datenstze gem Definition im Bericht aus der Datenquelle abgerufen. Der Dienst fr die zeitgesteuerte Verarbeitung von Crystal-Reports-2011-Berichten aktualisiert regelmig den Auftragsstatus auf dem CMS. Der aktuelle Status ist "Verarbeitung". Nachdem der Bericht in den Arbeitsspeicher des Diensts fr die zeitgesteuerte Verarbeitung von CrystalReports-2011-Berichten kompiliert wurde, muss er in ein anderes Format, z.B. Portable Document Format (PDF), exportiert werden. Beim Export in das PDF-Format wird crxfpdf.dll verwendet.

10. Der Bericht mit den gespeicherten Daten wird an den geplanten Ort (z.B. E-Mail) und danach an den Output FRS gesendet.

Hinweis
Dieser Schritt setzt zudem die Kommunikation mit dem CMS voraus, damit die erforderlichen Server und Objekte gesucht werden knnen. 11. Der Dienst fr die zeitgesteuerte Verarbeitung von Crystal-Reports-2011-Berichten aktualisiert den Auftragsstatus auf dem CMS. Der aktuelle Status ist "Erfolg". 12. Der CMS aktualisiert den Auftragsstatus in seinem Arbeitsspeicher und schreibt die Instanzinformationen dann in die CMS-Systemdatenbank.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

77

3.4.4

Web Intelligence

3.4.4.1 Anzeigen eines SAP BusinessObjects WebIntelligence-Dokuments auf Abruf


In diesem Workflow wird beschrieben, wie ein Benutzer ein SAP-BusinessObjects-Web-Intelligence-Dokument auf Abruf anzeigt, um die neuesten Daten einzusehen. In diesem Beispiel erfolgt dies ber den Web-IntelligenceViewer in BI-Launchpad. 1. 2. Ein Webbrowser sendet die Anzeigeanforderung ber den Webserver an den Webanwendungsserver. Der Webanwendungsserver interpretiert die Anforderung und stellt fest, dass es sich um eine Anforderung zum Anzeigen eines Web-Intelligence-Dokuments handelt. Der Webanwendungsserver sendet eine Anforderung an den Central Management Server (CMS), um sicherzustellen, dass der Benutzer ber die erforderlichen Rechte zum Anzeigen des Dokuments verfgt. Der CMS prft die CMS-Systemdatenbank, um zu verifizieren, dass der Benutzer ber die erforderlichen Rechte zum Anzeigen des Berichts verfgt. Der CMS sendet eine Antwort an den Webanwendungsserver, um zu besttigen, dass der Benutzer ber die erforderlichen Rechte zur Anzeige des Dokuments verfgt. Der Webanwendungsserver sendet eine Anforderung fr das Dokument an den Web Intelligence Processing Server. Der Web Intelligence Processing Server fordert einerseits das Dokument vom Input File Repository Server (FRS) und andererseits die Universumsdatei an, auf der das angeforderte Dokumente basiert. Die Universumsdatei enthlt Informationen der Metadatenschicht, einschlielich der Sicherheit auf Zeilen- und auf Spaltenebene. Der Input FRS sendet eine Kopie des Dokuments sowie die Universumsdatei, auf der das angeforderte Dokument basiert, in einem Datenstream an den Web Intelligence Processing Server.

3. 4. 5. 6.

7.

Hinweis
Dieser Schritt setzt zudem die Kommunikation mit dem CMS voraus, damit die erforderlichen Server und Objekte gesucht werden knnen. 8. 9. Die Web Intelligence Report Engine (auf dem Web Intelligence Processing Server) ffnet das Dokument im Arbeitsspeicher und startet die Datei QT.dll und einen Connection Server im Prozess. Die Datei QT.dll generiert, validiert und regeneriert den SQL-Code und stellt eine Verbindung mit der Datenbank her, um die Abfrage auszufhren. Der Connectoin Server verwendet den SQL-Code, um die Daten aus der Datenbank auf die Report Engine zu laden, wo das Dokument verarbeitet wird. 10. Der Web Intelligence Processing Server sendet die angeforderte anzeigbare Dokumentseite an den Webanwendungsserver. 11. Der Webanwendungsserver sendet die Dokumentseite ber den Webserver an den Webclient, wo sie gerendert und angezeigt wird.

78

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

3.4.4.2 Festlegen der zeitgesteuerten Verarbeitung fr ein SAP-BusinessObjects-Web-Intelligence-Dokument


Dieser Workflow beschreibt, wie ein Benutzer ein Dokument von SAP BusinessObjects Web Intelligence zeitgesteuert verarbeitet, sodass es zu einem spteren Zeitpunkt von einer Webanwendung, z.B. der Central Management Console (CMC) oder von BI-Launchpad, ausgefhrt wird. 1. 2. Der Webclient sendet in einer URL eine Anforderung zur zeitgesteuerten Verarbeitung ber den Webserver an den Webanwendungsserver. Der Webanwendungsserver interpretiert die URL-Anforderung und stellt fest, ob es sich bei der Anforderung um eine Anforderung zur zeitgesteuerten Verarbeitung handelt. Der Webanwendungsserver sendet den Zeitpunkt fr die zeitgesteuerte Verarbeitung, Werte fr die Datenbankanmeldung, Parameterwerte, Ziel und Format an den angegebenen Central Management Server (CMS). Der CMS stellt sicher, dass der Anwender zur zeitgesteuerten Verarbeitung des Objekts berechtigt ist. Wenn der Benutzer ber die erforderlichen Rechte verfgt, fgt der CMS der CMS-Systemdatenbank einen neuen Datensatz hinzu. Der CMS fgt die Instanz auerdem der Liste ausstehender zeitgesteuerter Verarbeitungen hinzu. Der CMS sendet eine Antwort an den Webanwendungsserver, um ihm mitzuteilen, dass der Vorgang der zeitgesteuerten Verarbeitung erfolgreich war. Der Webanwendungsserver generiert die nchste HTML-Seite und sendet sie ber den Webserver an den Webclient.

3.

4. 5.

3.4.4.3 Ausfhren eines zeitgesteuert verarbeiteten Dokuments von SAP BusinessObjects Web Intelligence
Dieser Workflow beschreibt, wie ein zeitgesteuert verarbeitetes Dokument von SAP BusinessObjects Web Intelligence zu einem geplanten Zeitpunkt ausgefhrt wird. 1. 2. Der Central Management Server (CMS) berprft die CMS-Systemdatenbank, um festzustellen, ob die zeitgesteuerte Ausfhrung eines Web-Intelligence-Dokuments geplant ist. Kurz vor der zeitgesteuerten Verarbeitung sucht der CMS einen verfgbaren Web-Intelligence-Dienst fr zeitgesteuerte Verarbeitung, der auf einem Adaptive Job Server ausgefhrt wird. Der CMS sendet die Anforderung der zeitgesteuerten Verarbeitung und alle zugehrigen Informationen an den Web-IntelligenceDienst fr zeitgesteuerte Verarbeitung. Der Web-Intelligence-Dienst fr zeitgesteuerte Verarbeitung sucht auf der Grundlage des Werts Maximale Verbindungen, der fr jeden Web Intelligence Processing Server konfiguriert wird, einen verfgbaren Web Intelligence Processing Server. Der Web Intelligence Processing Server ermittelt den Speicherort des Input File Repository Servers (FRS), auf dem sich das Dokument und die dem Dokument zugrunde liegende Metalayer-Datei des Universums befinden. Der Web Intelligence Processing Server fordert daraufhin das Dokument vom Input FRS an. Der Input FRS sucht das Web Intelligence-Dokument sowie die Universumsdatei, auf der das Dokument basiert, und sendet diese in einem Datenstream an den Web Intelligence Processing Server.

3.

4.

Hinweis
Dieser Schritt setzt zudem die Kommunikation mit dem CMS voraus, damit die erforderlichen Server und Objekte gesucht werden knnen.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

79

5.

Das Web Intelligence-Dokument wird in einem temporren Verzeichnis auf dem Web Intelligence Processing Server abgelegt. Der Web Intelligence Processing Server ffnet das Dokument im Arbeitsspeicher. QT.dll generiert die SQL auf der Grundlage des Universums, das dem Dokument zugrunde liegt. Die im Web Intelligence Processing Server enthaltenen Connection-Server-Bibliotheken stellen eine Verbindung mit der Datenquelle her. Die Abfragedaten werden ber QT.dll an die Report Engine im Web Intelligence Processing Server zurckgegeben, auf dem das Dokument verarbeitet wird. Eine neue erfolgreiche Instanz wird erstellt.

6.

Der Web Intelligence Processing Server ldt die Dokumentinstanz auf den Output FRS.

Hinweis
Dieser Schritt setzt zudem die Kommunikation mit dem CMS voraus, damit die erforderlichen Server und Objekte gesucht werden knnen. 7. Der Web Intelligence Processing Server benachrichtigt den Web-Intelligence-Dienst fr zeitgesteuerte Verarbeitung (auf dem Adaptive Job Server) ber den Abschluss der Dokumenterstellung. Wenn das Dokument fr die Weitergabe an ein Ziel (Dateisystem, FTP, SMTP oder Posteingang) geplant ist, ruft der Adaptive Job Server das verarbeitete Dokument vom Output FRS ab und sendet es an die angegebenen Ziele. In diesem Beispiel trifft dies nicht zu. Der Web-Intelligence-Dienst fr zeitgesteuerte Verarbeitung aktualisiert den Auftragsstatus auf dem CMS. Der CMS aktualisiert den Auftragsstatus in seinem Arbeitsspeicher und schreibt die Instanzinformationen dann in die CMS-Systemdatenbank.

8. 9.

3.4.5

Analysis

3.4.5.1 Anzeigen eines Arbeitsbereichs von SAP Analysis, OLAP-Edition


In diesem Workflow wird beschrieben, wie ein Benutzer einen Arbeitsbereich von SAP Analysis, Edition fr OLAP, ber BI-Launchpad anfordert, um diesen anzuzeigen. 1. Der Webclient sendet eine Anforderung zur Anzeige eines neuen Arbeitsbereichs ber den Webserver an den Webanwendungsserver. Der Webclient kommuniziert ber die DHTML AJAX-Technologie (Asynchronous JavaScript and XML) mit dem Webanwendungsserver. Die AJAX-Technologie ermglicht die teilweise Aktualisierung von Seiten, sodass nicht bei jeder neuen Anforderung eine neue Seite gerendert werden muss. Der Webanwendungsserver bersetzt die Anforderung und sendet sie an den Central Management Server (CMS), um festzustellen, ob der jeweilige Benutzer zur Anzeige oder Erstellung eines neuen Arbeitsbereichs berechtigt ist. Der CMS ruft die Anmeldedaten des Benutzers aus der CMS-Systemdatenbank ab. Wenn der Benutzer berechtigt ist, einen Arbeitsbereich anzuzeigen oder zu erstellen, sendet der CMS eine Besttigung an den Webanwendungsserver. Gleichzeitig sendet er eine Liste, die einen oder mehrere verfgbare Multi-Dimensional Analysis Services (MDAS) enthlt. Der Webanwendungsserver whlt einen MDAS aus der Liste aus und sendet eine CORBA-Anforderung an den Service, um die geeigneten OLAP-Server zum Erstellen eines neuen bzw. zum Regenerieren eines vorhandenen Arbeitsbereichs zu finden. Um das richtige Arbeitsbereichsdokument mit Informationen zur zugrunde liegenden OLAP-Datenbank sowie einer gespeicherten ersten OLAP-Abfrage abzurufen, muss der MDAS mit dem Input File Repository Server

2.

3. 4.

5.

6.

80

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

(FRS) kommunizieren. Der Input FRS ruft den erforderlichen Advanced Analyzer-Arbeitsbereich aus dem zugrunde liegenden Verzeichnis ab und sendet diesen Arbeitsbereich in einem Datenstream zurck an den MDAS. 7. Der MDAS ffnet den Arbeitsbereich, formuliert eine Abfrage und sendet sie an den OLAP-Datenbankserver. Der MDAS muss ber einen geeigneten OLAP-Datenbankclient verfgen, der fr die OLAP-Datenquelle konfiguriert ist. Die Webclient-Anfrage muss in die entsprechende OLAP-Abfrage bersetzt werden. Der OLAP-Datenbankserver sendet das Abfrageergebnis zurck an den MDAS. Je nach Anforderung d.h. Erstellung, Anzeige, Druck oder Export rendert der MDAS vorab das Ergebnis, um die schnellere Darstellung auf dem Java-Webanwendungsserver zu ermglichen. Der MDAS sendet XMLPakete der gerenderten Ergebnisse zurck an den Webanwendungsserver. Der Webanwendungsserver rendert den Arbeitsbereich und sendet die formatierte Seite oder Teilseite ber den Webserver an den Webclient. Der Webclient zeigt die aktualisierte oder neu angeforderte Seite an. Dabei handelt es sich um eine Zero-Client-Lsung, von der keine Java- oder ActiveX-Komponenten heruntergeladen werden mssen.

8.

9.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Architektur

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

81

4
4.1

Verwalten von Lizenzen


Verwalten von Lizenzschlsseln

In diesem Abschnitt wird beschrieben, wie Sie Lizenzschlssel fr die Implementierung der BI-Plattform verwalten. Zugehrige Links Anzeigen von Lizenzinformationen [Seite 82] Hinzufgen von Lizenzschlsseln [Seite 82] So zeigen Sie die aktuelle Kontoaktivitt an [Seite 83]

4.1.1

Anzeigen von Lizenzinformationen

Der Verwaltungsbereich Lizenzschlssel der CMC zeigt die Anzahl der Zugriffslizenzen, der benannten Lizenzen und der Prozessorlizenzen, die jedem Schlssel zugeordnet sind. 1. 2. Wechseln Sie zum Verwaltungsbereich Lizenzschlssel der CMC. Whlen Sie einen Lizenzschlssel aus. Die zum Schlssel gehrenden Details werden im Bereich Lizenzschlsselinformationen angezeigt. Wenn Sie weitere Lizenzschlssel erwerben mchten, wenden Sie sich an Ihren SAP-Vertreter. Zugehrige Links Verwalten von Lizenzschlsseln [Seite 82] Hinzufgen von Lizenzschlsseln [Seite 82] So zeigen Sie die aktuelle Kontoaktivitt an [Seite 83]

4.1.2

Hinzufgen von Lizenzschlsseln

Bei einer Aktualisierung von einer Testversion des Produkts mssen Sie den Auswertungsschlssel lschen, bevor Sie neue Lizenzschlssel oder Schlsselcodes fr die Produktaktivierung hinzufgen.

Hinweis
Wenn Sie nach einer nderung der Implementierung von BI-Plattform-Lizenzen in Ihrem Unternehmen neue Lizenzschlssel erhalten haben, lschen Sie alle vorherigen Lizenzschlssel aus dem System, damit die Konformitt aufrechterhalten wird. 1. 2. 3. Wechseln Sie zum Verwaltungsbereich Lizenzschlssel der CMC. Geben Sie im Feld Schlssel hinzufgen den Schlssel ein. Klicken Sie auf Hinzufgen.

Der Schlssel wird zu der Liste hinzugefgt.

82

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Verwalten von Lizenzen

Zugehrige Links Anzeigen von Lizenzinformationen [Seite 82] So zeigen Sie die aktuelle Kontoaktivitt an [Seite 83]

4.1.3
1. 2.

So zeigen Sie die aktuelle Kontoaktivitt an

Wechseln Sie zum Verwaltungsbereich Einstellungen der CMC. Klicken Sie auf Globale Systemmetrik anzeigen. In diesem Abschnitt werden die aktuelle Lizenznutzung sowie zustzliche Informationen zur Auftragsmetrik angezeigt.

Zugehrige Links Verwalten von Lizenzschlsseln [Seite 82] Hinzufgen von Lizenzschlsseln [Seite 82] Anzeigen von Lizenzinformationen [Seite 82]

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Verwalten von Lizenzen

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

83

5
5.1

Verwalten von Benutzern und Gruppen


bersicht ber die Kontoverwaltung

Sie knnen sich die Kontoverwaltung als die Gesamtheit der Aufgaben vorstellen, die sich auf das Erstellen, Zuordnen, ndern und Organisieren von Benutzer- und Gruppeninformationen beziehen. Im Verwaltungsbereich Benutzer und Gruppen der Central Management Console (CMC) knnen Sie diese Aufgaben an einem zentralen Ort ausfhren. Nachdem die Benutzerkonten und Gruppen erstellt wurden, knnen Sie Objekte hinzufgen und ihnen Rechte zuweisen. Wenn sich die Benutzer anmelden, knnen sie die Objekte mit BI-Launchpad oder ihrer benutzerdefinierten Webanwendung anzeigen.

5.1.1

Benutzerverwaltung

Im Verwaltungsbereich Benutzer und Gruppen knnen Sie alle erforderlichen Angaben machen, damit ein Benutzer auf die BI-Plattform zugreifen kann. Sie knnen auch die beiden standardmigen Benutzerkonten anzeigen lassen, die in der Tabelle Standard-Benutzerkonten enthalten sind. Tabelle 2: Standard-Benutzerkonten Kontoname Administrator Beschreibung Dieser Benutzer gehrt den Gruppen Administratoren und Alle an. Ein Administrator kann alle Aufgaben in smtlichen BI-Plattform-Anwendungen ausfhren (z.B. in der CMC, in CCM, im Publishing-Assistenten und in BI-Launchpad). Dieser Benutzer gehrt der Gruppe Alle an. Dieses Konto ist standardmig aktiviert und erhlt kein vom System zugewiesenes Kennwort. Wenn Sie diesem Konto ein Kennwort zuweisen, wird die Einzelanmeldung bei BI-Launchpad deaktiviert. Dies ist ein schreibgeschtztes Konto, das von SAP Solution Manager fr den Zugriff auf BI-PlattformKomponenten verwendet wird.

Guest

SMAdmin

Hinweis
Objektmigrationen werden am besten von Mitgliedern der Administratorgruppe, insbesondere dem Administratorbenutzerkonto durchgefhrt. Um ein Objekt zu migrieren, mssen verschiedene zugehrige Objekte u.U. ebenfalls migriert werden. Der Erwerb der erforderlichen Sicherheitsberechtigungen fr smtliche Objekte ist fr ein delegiertes Administratorkonto eventuell nicht mglich.

84

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Verwalten von Benutzern und Gruppen

5.1.2

Gruppenverwaltung

Bei Gruppen handelt es sich um Zusammenstellungen von Benutzern, die ber dieselben Kontoberechtigungen verfgen. Daher knnen Gruppen auf der Basis von Abteilungen, Rollen oder Standorten erstellt werden. Gruppen bieten Ihnen die Mglichkeit, Benutzerrechte an einem zentralen Punkt (der Gruppe) zu ndern, anstatt die Rechte fr jedes Benutzerkonto einzeln zu ndern. Zudem haben Sie die Mglichkeit, einer Gruppe oder Gruppen Objektrechte zuzuweisen. Im Bereich Benutzer und Gruppen knnen Sie Gruppen erstellen, die einer Anzahl von Personen den Zugriff auf den Bericht oder Ordner ermglichen. Dadurch knnen Sie nderungen zentral vornehmen, anstatt jedes Benutzerkonto einzeln zu ndern. Sie knnen auch die verschiedenen standardmigen Gruppenkonten anzeigen lassen, die in der Tabelle Standard-Gruppenkonten enthalten sind. Um verfgbare Gruppen in der CMC anzuzeigen, klicken Sie im Strukturbereich auf Gruppenliste. Alternativ knnen Sie auf Gruppenhierarchie klicken, um eine hierarchische Liste aller verfgbaren Gruppen anzuzeigen. Tabelle 3: Standard-Gruppenkonten Kontoname Administratoren Beschreibung Mitglieder dieser Gruppe knnen smtliche Aufgaben in allen BI-Plattform-Anwendungen ausfhren (CMC, CCM, Publishing-Assistent und BI-Launchpad). Die Gruppe Administratoren enthlt standardmig nur den Benutzer "Administrator". Jeder Benutzer ist Mitglied der Gruppe Alle. Mitglieder dieser Gruppe haben Zugriff auf Query as a Web Service. Mitglieder dieser Gruppe haben Zugriff auf das Berichtskonvertierungstool. Mitglieder dieser Gruppe haben Zugriff auf das bersetzungsmanager-Tool. Benutzer, die dieser Gruppe angehren, erhalten Zugriff auf den Universe Designer-Ordner und den Ordner Verbindungen. Diese Benutzer knnen steuern, wer Zugriff auf Designer erhalten soll. Sie mssen dieser Gruppe bei Bedarf Benutzer hinzufgen. Standardmig enthlt diese Gruppe keine Benutzer.

Alle QaaWS-Gruppendesigner

Benutzer des Berichtskonvertierungstools

bersetzer

Universe Designer-Benutzer

Zugehrige Links Funktionsweise von Rechten in der BI-Plattform [Seite 108] Gewhren von Zugriff fr Benutzer und Gruppen [Seite 96]

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Verwalten von Benutzern und Gruppen

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

85

5.1.3

Verfgbare Authentifizierungstypen

Bevor Sie in der BI-Plattform Benutzkonten und -gruppen einrichten, legen Sie fest, welcher Authentifizierungstyp verwendet werden soll. In der Tabelle Authentifizierungstypen sind die Authentifizierungsoptionen zusammengefasst, die Ihnen zur Verfgung stehen knnen, je nachdem, welche Sicherheitstools Ihr Unternehmen verwendet. Tabelle 4: Authentifizierungstypen Authentifizierungstyp Enterprise Beschreibung Verwenden Sie die vom System vorgegebene Enterprise-Authentifizierung, wenn Sie fr die Arbeit mit der BI-Plattform eindeutige Konten und Gruppen erstellen mchten, oder wenn Sie noch keine Benutzerund Gruppenhierarchie auf einem LDAPVerzeichnisserver oder Windows AD-Server erstellt haben. Wenn Sie einen LDAP-Verzeichnisserver einrichten, knnen Sie bestehende LDAP-Benutzerkonten und Gruppen in der BI-Plattform verwenden. Nach der Zuordnung von LDAP-Konten zur BI-Plattform sind Benutzer in der Lage, mit ihrem LDAP-Benutzernamen und -kennwort auf BI-Plattform-Anwendungen zuzugreifen. Dadurch ist es nicht notwendig, Benutzerund Gruppenkonten in der BI-Plattform neu zu erstellen. Sie knnen vorhandene Windows AD-Benutzerkonten und -gruppen in der BI-Plattform nutzen. Wenn Sie der BI-Plattform AD-Konten zuordnen, knnen sich Benutzer mit ihrem AD-Benutzernamen und -kennwort bei der BI-Plattform anmelden. Dadurch ist es nicht notwendig, Benutzer- und Gruppenkonten in der BIPlattform neu zu erstellen. Sie knnen vorhandene SAP-Rollen den BI-PlattformKonten zuordnen. Nach der Zuordnung der SAP-Rollen sind Benutzer in der Lage, sich mit ihren SAPAnmeldedaten bei BI-Plattform-Anwendungen anzumelden. Dadurch ist es nicht notwendig, Benutzer- und Gruppenkonten in der BI-Plattform neu zu erstellen. Sie knnen vorhandene Oracle EBS-Rollen den BIPlattform-Konten zuordnen. Nach der Zuordnung der Oracle EBS-Rollen sind Benutzer in der Lage, sich mit ihren Oracle EBS-Anmeldedaten bei BI-PlattformAnwendungen anzumelden. Dadurch ist es nicht notwendig, Benutzer- und Gruppenkonten in der BIPlattform neu zu erstellen.

LDAP

Windows AD

SAP

Oracle EBS

86

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Verwalten von Benutzern und Gruppen

Authentifizierungstyp Siebel

Beschreibung Sie knnen vorhandene Siebel-Rollen den BI-PlattformKonten zuordnen. Nach der Zuordnung der SiebelRollen sind Benutzer in der Lage, sich mit ihren SiebelAnmeldedaten bei BI-Plattform-Anwendungen anzumelden. Dadurch ist es nicht notwendig, Benutzer- und Gruppenkonten in der BI-Plattform neu zu erstellen. Sie knnen vorhandene PeopleSoft-Rollen den BIPlattform-Konten zuordnen. Nach der Zuordnung der PeopleSoft-Rollen sind Benutzer in der Lage, sich mit ihren PeopleSoft-Anmeldedaten bei BI-PlattformAnwendungen anzumelden. Dadurch ist es nicht notwendig, Benutzer- und Gruppenkonten in der BIPlattform neu zu erstellen. Sie knnen vorhandene JD Edwards-Rollen den BIPlattform-Konten zuordnen. Nach der Zuordnung der JD Edwards-Rollen sind Benutzer in der Lage, sich mit ihren JD Edwards-Anmeldedaten bei BI-PlattformAnwendungen anzumelden. Dadurch ist es nicht notwendig, Benutzer- und Gruppenkonten in der BIPlattform neu zu erstellen.

PeopleSoft Enterprise

JD Edwards EnterpriseOne

5.2 Verwalten von Enterprise-Konten und allgemeinen Konten


Da die Enterprise-Authentifizierung die standardmige Authentifizierungsmethode fr die BI-Plattform ist, wird sie bei der ersten Installation des Systems automatisch aktiviert. Wenn Sie Benutzer und Gruppen hinzufgen und verwalten, verwaltet die BI-Plattform die Benutzer- und Gruppeninformationen in der eigenen Datenbank.

Hinweis
Wenn ein Benutzer seine Websitzung bei der BI-Plattform abmeldet, indem er zu einer anderen Seite als von der BI-Plattform navigiert oder seinen Webbrowser schliet, wird die Enterprise-Sitzung nicht abgemeldet und weiterhin eine Lizenz beansprucht. Die Enterprise-Sitzung luft nach ungefhr 24 Stunden ab. Um die Enterprise-Sitzung des Benutzers zu beenden und die Lizenz freizugeben, damit sie von anderen Benutzern verwendet werden kann, muss sich der Benutzer von der Plattform abmelden.

5.2.1

So erstellen Sie ein Benutzerkonto

Wenn Sie einen neuen Benutzer erstellen, legen Sie dessen Eigenschaften fest und whlen fr ihn die Gruppe bzw. Gruppen aus.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Verwalten von Benutzern und Gruppen

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

87

1. 2. 3.

Wechseln Sie zum Verwaltungsbereich Benutzer und Gruppen der CMC. Klicken Sie auf Verwalten Neu Neuer Benutzer . Das Dialogfeld Neuer Benutzer wird angezeigt. Zum Erstellen eines Enterprise-Benutzers a) Whlen Sie Enterprise aus der Liste Authentifizierungstyp aus. b) Geben Sie den Kontonamen, den vollstndigen Namen, E-Mail sowie eine Beschreibung ein.

Tipp
Verwenden Sie den Bereich "Beschreibung", um weitere Informationen ber den Benutzer oder das Konto einzufgen. c) Geben Sie die Kennwortinformationen und Einstellungen an. 4. 5. Zum Erstellen eines Benutzers, der sich mit einem anderen Authentifizierungstyp anmeldet, whlen Sie die entsprechende Option in der Liste Authentifizierungstyp aus, und geben Sie den Kontonamen ein. Geben Sie an, wie das Benutzerkonto gem den von Ihrer SAP BusinessObjects Business IntelligenceLizenzvereinbarung vorgegebenen Optionen bezeichnet werden soll. Whlen Sie die Option Zugriffslizenzbenutzer aus, wenn dieser Benutzer zu einer Lizenzvereinbarung gehrt, die angibt, wie viele Benutzer gleichzeitig angemeldet sein drfen. Whlen Sie die Option Namenslizenzbenutzer aus, wenn dieser Benutzer zu einer Lizenzvereinbarung gehrt, bei der der Name eines bestimmten Benutzers mit einer Lizenz verbunden ist. Namenslizenzen sind hilfreich fr Personen, die unabhngig von der Anzahl der derzeit angemeldeten Benutzer Zugriff auf die BI-Plattform bentigen.

6.

Klicken Sie auf Erstellen und schlieen. Der Benutzer wird dem System und automatisch der Gruppe "Alle" hinzugefgt. Fr den Benutzer wird automatisch ein Posteingang sowie ein Enterprise-Alias erstellt. Jetzt knnen Sie den Benutzer nun einer Gruppe hinzufgen oder Rechte fr ihn festlegen.

Zugehrige Links Funktionsweise von Rechten in der BI-Plattform [Seite 108]

5.2.2

So ndern Sie ein Benutzerkonto

Verwenden Sie dieses Verfahren, um die Eigenschaften oder Gruppenmitgliedschaft eines Benutzers zu ndern.

Hinweis
Wenn Sie nderungen vornehmen, wirkt sich dies auf den Benutzer aus, sofern dieser angemeldet ist. 1. 2. 3. 4. Wechseln Sie zum Verwaltungsbereich Benutzer und Gruppen der CMC. Whlen Sie den Benutzer aus, dessen Eigenschaften Sie ndern mchten. Klicken Sie auf Verwalten Eigenschaften . Das Dialogfeld Eigenschaften des Benutzers wird angezeigt. ndern Sie die Eigenschaften fr den Benutzer. Zustzlich zu den Optionen, die beim Erstellen des Kontos verfgbar waren, haben Sie nun die Mglichkeit, das Konto zu deaktivieren, indem Sie das Kontrollkstchen Konto ist deaktiviert aktivieren.

88

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Verwalten von Benutzern und Gruppen

Hinweis
Alle an dem Benutzerkonto vorgenommenen nderungen werden erst angezeigt, wenn sich der Benutzer das nchste Mal anmeldet. 5. Klicken Sie auf Speichern und schlieen.

Zugehrige Links Erstellen eines neuen Alias fr einen vorhandenen Benutzer [Seite 105]

5.2.3

So lschen Sie ein Benutzerkonto

Verwenden Sie dieses Verfahren, um das Konto eines Benutzers zu lschen. Eventuell erhlt der Benutzer eine Fehlermeldung, wenn Sie das Konto lschen, wenn er/sie angemeldet ist. Wenn Sie ein Benutzerkonto lschen, werden auerdem der Favoritenordner, die persnlichen Kategorien und der Posteingang des jeweiligen Benutzers gelscht. Wenn Sie annehmen, dass der Benutzer zu einem spteren Zeitpunkt wieder auf das Konto zugreifen mchte, aktivieren Sie das Kontrollkstchen Konto ist deaktiviert im Dialogfeld Eigenschaften des ausgewhlten Benutzers, anstatt das Konto zu lschen.

Hinweis
Durch das Lschen eines Benutzerkontos wird nicht automatisch verhindert, dass sich der Benutzer erneut bei der BI-Plattform anmelden kann. Falls das Benutzerkonto auch auf einem Dritthersteller-System eingerichtet wurde und einer Dritthersteller-Gruppe angehrt, die der BI-Plattform zugeordnet wurde, ist der Benutzer mglicherweise weiterhin in der Lage, sich anzumelden. 1. 2. 3. Wechseln Sie zum Verwaltungsbereich Benutzer und Gruppen der CMC. Whlen Sie den Benutzer aus, den Sie lschen mchten. Klicken Sie auf Verwalten Lschen .

Das Dialogfeld zum Besttigen des Lschvorgangs wird angezeigt. 4. Klicken Sie auf OK. Das Benutzerkonto wird gelscht.

Zugehrige Links So ndern Sie ein Benutzerkonto [Seite 88] So lschen Sie ein Benutzerkonto [Seite 89] So deaktivieren Sie einen Alias [Seite 107]

5.2.4
1. 2.

Erstellen von neuen Gruppen

Wechseln Sie zum Verwaltungsbereich Benutzer und Gruppen der CMC. Klicken Sie auf Verwalten Neu Neue Gruppe . Das Dialogfeld Neue Benutzergruppe erstellen wird angezeigt.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Verwalten von Benutzern und Gruppen

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

89

3. 4.

Geben Sie Gruppennamen und Beschreibung ein. Klicken Sie auf OK.

Nachdem Sie eine neue Gruppe erstellt haben, knnen Sie Benutzer und Untergruppen hinzufgen oder eine Gruppenmitgliedschaft festlegen, so dass die neue Gruppe eigentlich eine Untergruppe ist. Da Untergruppen Ihnen zustzliche Strukturierungsmglichkeiten bieten, sind sie beim Festlegen von Objektrechten hilfreich, um den Zugriff von Benutzern auf den BI-Plattform-Inhalt zu steuern.

5.2.5

So ndern Sie die Eigenschaften einer Gruppe

Sie knnen die Eigenschaften einer Gruppe ndern, indem Sie nderungen an den gewnschten Einstellungen vornehmen.

Hinweis
Auf Benutzer, die der Gruppe angehren, wirkt sich die nderung bei der nchsten Anmeldung aus. 1. 2. 3. Whlen Sie im Verwaltungsbereich Benutzer und Gruppen der CMC die Gruppe aus. Klicken Sie auf Verwalten Eigenschaften . Das Dialogfeld Eigenschaften wird angezeigt. ndern Sie die Eigenschaften fr die Gruppe. Klicken Sie auf die Links in der Navigationsliste, um die verschiedenen Dialogfelder zu ffnen und unterschiedliche Eigenschaften zu bearbeiten. 4. Wenn Sie den Titel oder die Beschreibung fr die Gruppe ndern mchten, klicken Sie auf Eigenschaften. Wenn Sie die Rechte ndern mchten, die Subjekte fr die Gruppe haben, klicken Sie auf Benutzersicherheit. Wenn Sie Profilwerte fr Gruppenmitglieder ndern mchten, klicken Sie auf Profilwerte. Wenn die Gruppe einer anderen Gruppe als Untergruppe hinzugefgt werden soll, klicken Sie auf Mitglied von.

Klicken Sie auf Speichern.

5.2.6
1. 2. 3.

So zeigen Sie Gruppenmitglieder an

Sie knnen dieses Verfahren verwenden, um die Benutzer anzuzeigen, die zu einer bestimmten Gruppe gehren. Wechseln Sie zum Verwaltungsbereich Benutzer und Gruppen der CMC. Erweitern Sie die Gruppenhierarchie im Strukturbereich. Whlen Sie die Gruppe im Strukturbereich aus.

Hinweis
Das Anzeigen Ihrer Liste kann einige Minuten dauern, wenn die Gruppe eine groe Anzahl von Benutzern enthlt oder einem Dritthersteller-Verzeichnis zugeordnet ist. Es wird eine Liste der Benutzer angezeigt, die der Gruppe angehren.

90

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Verwalten von Benutzern und Gruppen

5.2.7

Hinzufgen von Untergruppen

Sie knnen eine Gruppe einer weiteren Gruppe hinzufgen. Wenn Sie so vorgehen, wird die von Ihnen hinzugefgte Gruppe zu einer Untergruppe.

Hinweis
Das Hinzufgen einer Untergruppe ist mit dem Festlegen einer Gruppenmitgliedschaft vergleichbar. 1. 2. 3. 4. Whlen Sie im Verwaltungsbereich Benutzer und Gruppen der CMC die Gruppe aus, die Sie einer anderen Gruppe als Untergruppe hinzufgen mchten. Klicken Sie auf Aktionen Gruppe beitreten . Das Dialogfeld Gruppe beitreten wird angezeigt. Verschieben Sie die Gruppe, der Sie die erste Gruppe hinzufgen mchten, aus der Liste Verfgbare Gruppen in die Liste Zielgruppe(n). Klicken Sie auf OK.

Zugehrige Links Festlegen von Gruppenmitgliedschaften [Seite 91]

5.2.8

Festlegen von Gruppenmitgliedschaften

Sie knnen festlegen, dass eine Gruppe Mitglied einer anderen Gruppe ist. Die Gruppe, die zum Mitglied wird, wird als Untergruppe bezeichnet. Die Gruppe, der Sie die Untergruppe hinzufgen, ist die bergeordnete Gruppe. Eine Untergruppe bernimmt die Rechte der bergeordneten Gruppe. 1. 2. 3. 4. Klicken Sie im Verwaltungsbereich Benutzer und Gruppen der CMC auf die Gruppe, die Sie einer anderen Gruppe hinzufgen mchten. Klicken Sie auf Aktionen Mitglied von . Das Dialogfeld Mitglied von wird angezeigt. Klicken Sie auf Gruppe beitreten. Das Dialogfeld Gruppe beitreten wird angezeigt. Verschieben Sie die Gruppe, der Sie die erste Gruppe hinzufgen mchten, aus der Liste Verfgbare Gruppen in die Liste Zielgruppe(n). Alle Rechte, die zu der bergeordneten Gruppe gehren, werden von der neuen, von Ihnen erstellten Gruppe bernommen. 5. Klicken Sie auf OK. Sie kehren zum Dialogfeld Mitglied von zurck, und die bergeordnete Gruppe wird in der Liste der bergeordneten Gruppen angezeigt.

5.2.9

So lschen Sie eine Gruppe

Sie knnen eine Gruppe lschen, wenn Sie sie nicht mehr bentigen. Die Standardgruppen "Administratoren" und "Alle" knnen nicht gelscht werden.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Verwalten von Benutzern und Gruppen

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

91

Hinweis
Auf Benutzer, die der gelschten Gruppe angehren, wirkt sich die nderung bei der nchsten Anmeldung aus.

Hinweis
Benutzer, die der gelschten Gruppe angehren, verlieren alle von der Gruppe bernommenen Rechte. Um Dritthersteller-Authentifizierungsgruppen, beispielsweise die Gruppe Windows AD-Benutzer, zu lschen, verwenden Sie den Verwaltungsbereich Authentifizierung in der CMC. 1. 2. 3. 4. Wechseln Sie zum Verwaltungsbereich Benutzer und Gruppen der CMC. Whlen Sie die Gruppe aus, die Sie lschen mchten. Klicken Sie auf Verwalten Lschen . Das Dialogfeld zum Besttigen des Lschvorgangs wird angezeigt. Klicken Sie auf OK. Die Gruppe wird gelscht.

5.2.10 Hinzufgen von Benutzern oder Benutzergruppen in Massenvorgngen


Sie knnen Benutzer oder Benutzergruppen anhand einer CSV-Datei (kommagetrennte Datei) in Massen zur CMC hinzufgen. 1. 2. Melden Sie sich bei der CMC an. Klicken Sie auf der Registerkarte Benutzer und Gruppen auf Benutzer-/Gruppen-/DB-Zugangsdaten . Das Fenster Benutzer-/Gruppen-/DB-Zugangsdaten wird angezeigt. 3. Klicken Sie auf Durchsuchen, whlen Sie eine CSV-Datei und klicken auf Verifizieren. Die Datei wird verarbeitet. Wenn die Daten korrekt formatiert werden, wird die Schaltflche Importieren aktiviert. Klicken Sie auf Importieren. Verwalten Benutzergruppe importieren

4.

Die Benutzer und Gruppen werden in die CMC importiert.

Beispiel
Beispiel fr eine CSV-Datei Add,MyGroup,MyUser1,MyFullName,Password1,My1@example.com,ProfileName,ProfileValue

Nicht vergessen
Folgende Bedingungen gelten fr den Prozess der Massenhinzufgung: Jede Zeile in der CSV-Datei, die einen Fehler enthlt, wird vom Importprozess ausgeschlossen. Benutzerkonten sind nach dem Import anfnglich deaktiviert.

92

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Verwalten von Benutzern und Gruppen

Sie knnen beim Erstellen neuer Benutzer leere Kennwrter verwenden. Sie mssen jedoch ein gltiges Enterprise-Authentifizierungskennwort fr eine nachfolgende Aktualisierung der vorhandenen Benutzer verwenden.

Um die von Ihnen hinzugefgten Benutzer und Benutzergruppen zu berprfen, klicken Sie auf Benutzergruppe importieren Verlauf in der Registerkarte Benutzer und Gruppen.

Verwalten

5.2.11

So aktivieren Sie das Guest-Konto

Das Guest-Konto ist standardmig deaktiviert, um sicherzustellen, dass sich niemand unter diesem Konto bei der BI-Plattform anmelden kann. Durch diese Standardeinstellung wird auch die anonyme Einzelanmeldung der BI-Plattform deaktiviert, sodass Benutzer nur mit einem gltigen Benutzernamen und Kennwort Zugriff auf BILaunchpad erhalten. Fhren Sie diese Aufgabe aus, wenn Sie das Guest-Konto aktivieren mchten, damit Benutzer fr den Zugriff auf BI-Launchpad kein eigenes Konto verwenden mssen. 1. 2. 3. 4. 5. 6. Wechseln Sie zum Verwaltungsbereich Benutzer und Gruppen der CMC. Klicken Sie im Navigationsbereich auf Benutzerliste. Whlen Sie Guest aus. Klicken Sie auf Verwalten Eigenschaften . Das Dialogfeld Eigenschaften wird angezeigt. Deaktivieren Sie das Kontrollkstchen Konto ist deaktiviert. Klicken Sie auf Speichern und schlieen.

5.2.12 Hinzufgen von Benutzern zu Gruppen


Benutzer knnen Gruppen auf folgende Weisen hinzugefgt werden: Whlen Sie die Gruppe aus, und klicken Sie dann auf Whlen Sie den Benutzer aus, und klicken Sie dann auf Whlen Sie den Benutzer aus, und klicken Sie dann auf Aktionen Aktionen Aktionen Elemente zur Gruppe hinzufgen . Mitglied von . Gruppe beitreten .

In den folgenden Verfahren wird beschrieben, wie Sie Gruppen unter Verwendung dieser Methoden Benutzer hinzufgen. Zugehrige Links Festlegen von Gruppenmitgliedschaften [Seite 91]

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Verwalten von Benutzern und Gruppen

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

93

5.2.12.1 Hinzufgen von Benutzern zu einer oder mehreren Gruppen


1. 2. 3. Wechseln Sie zum Verwaltungsbereich Benutzer und Gruppen der CMC. Whlen Sie den Benutzer aus, den Sie einer Gruppe hinzufgen mchten. Klicken Sie auf Aktionen Gruppe beitreten .

Hinweis
Standardmig sind alle BI-Plattform-Benutzer des Systems Mitglied der Gruppe "Alle". Das Dialogfeld Gruppe beitreten wird angezeigt. 4. Verschieben Sie die Gruppe, der Sie den Benutzer hinzufgen mchten, aus der Liste Verfgbare Gruppen in die Liste Zielgruppe(n).

Tipp
Verwenden Sie UMSCHALTTASTE + Klicken oder STRG + Klicken , um mehrere Gruppen auszuwhlen. 5. Klicken Sie auf OK.

5.2.12.2 Hinzufgen von Benutzern zu einer oder mehreren Gruppen


1. 2. 3. 4. Whlen Sie im Verwaltungsbereich Benutzer und Gruppen der CMC die Gruppe aus. Klicken Sie auf Aktionen Elemente zur Gruppe hinzufgen . Das Dialogfeld Hinzufgen wird angezeigt. Klicken Sie auf Benutzerliste. Die Liste Verfgbare Benutzer/Gruppen wird regeneriert und enthlt alle Benutzerkonten im System. Verschieben Sie den Benutzer, den Sie der Gruppe hinzufgen mchten, aus der Liste Verfgbare Benutzer/ Gruppen in die Liste Ausgewhlte Benutzer/Gruppen.

Tipp
Um mehrere Benutzer auszuwhlen, verwenden Sie die Kombination UMSCHALTTASTE + Klicken oder STRG + Klicken .

Tipp
Um einen bestimmten Benutzer zu suchen, verwenden Sie das Suchfeld.

Tipp
Wenn im System viele Benutzer vorhanden sind, klicken Sie auf die Schaltflchen "Zurck" und "Weiter", um durch die Ordnerliste zu navigieren.

94

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Verwalten von Benutzern und Gruppen

5.

Klicken Sie auf OK.

5.2.13 ndern der Kennworteinstellungen


In der CMC knnen Sie die Kennworteinstellungen fr einen bestimmten Benutzer oder fr alle Benutzer im System ndern. Die verschiedenen nachfolgend aufgefhrten Beschrnkungen gelten nur fr Enterprise-Konten, d.h. sie gelten nicht fr Konten, die Sie einer externen Benutzerdatenbank (LDAP oder Windows AD) zugeordnet haben. Normalerweise knnen Sie jedoch im externen System den externen Konten hnliche Beschrnkungen auferlegen.

5.2.13.1
1. 2. 3. 4.

ndern der Benutzerkennworteinstellungen

Wechseln Sie zum Verwaltungsbereich Benutzer und Gruppen der CMC. Whlen Sie den Benutzer aus, dessen Kennworteinstellungen Sie ndern mchten. Klicken Sie auf Verwalten Eigenschaften . Das Dialogfeld Eigenschaften wird angezeigt. Aktivieren oder deaktivieren Sie das Kontrollkstchen, das zu der Kennworteinstellung gehrt, die Sie ndern mchten. Folgende Optionen stehen zur Verfgung: Kennwort ist zeitlich unbegrenzt gltig Benutzer muss Kennwort bei der nchsten Anmeldung ndern Benutzer kann Kennwort nicht ndern

5.

Klicken Sie auf Speichern und schlieen.

5.2.13.2 ndern der allgemeinen Kennworteinstellungen


1. 2. 3. Wechseln Sie zum Verwaltungsbereich Authentifizierung der CMC. Doppelklicken Sie auf Enterprise. Das Dialogfeld Enterprise wird angezeigt. Aktivieren Sie das Kontrollkstchen der gewnschten Kennworteinstellungen und geben Sie ggf. einen Wert ein. Die untenstehende Tabelle gibt den Mindest- und den Hchstwert fr jede Einstellung an.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Verwalten von Benutzern und Gruppen

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

95

Tabelle 5: Kennworteinstellungen Kennworteinstellung Kennwrter mit Gro- und Kleinschreibung obligatorisch machen Mindestens N Zeichen Kennwort muss alle n Tage gendert werden Die letzten N Kennwrter drfen nicht wiederverwendet werden Mindestens N Minuten bis zur nderung des Kennworts warten Konto nach N fehlgeschlagenen Anmeldeversuchen deaktivieren Zhler fr fehlgeschlagene Anmeldungen nach N Minuten zurcksetzen Konto nach N Minuten wieder aktivieren 4. Klicken Sie auf Aktualisieren. Minimum N/A Empfohlener Hchstwert N/A

0 Zeichen 1 Tag

64 Zeichen 100 Tage

1 Kennwort

100 Kennwrter

0 Minuten

100 Minuten

1 Fehlschlge

100 Fehlschlge

1 Minute

100 Minuten

0 Minuten

100 Minuten

Inaktive Benutzerkonten werden nicht automatisch deaktiviert.

5.2.14 Gewhren von Zugriff fr Benutzer und Gruppen


Sie knnen Benutzern und Gruppen Administratorzugriff auf andere Benutzer und Gruppen gewhren. Zu den Administratorrechten zhlen das Anzeigen, Bearbeiten und Lschen von Objekten, das Anzeigen und Lschen von Objektinstanzen sowie das Anhalten von Objektinstanzen. Beispielsweise knnen Sie der IT-Abteilung zu Fehlerbehebungs- und Systemwartungszwecken das Bearbeiten und Lschen von Objekten gestatten. Zugehrige Links So weisen Sie einer Zugriffskontrollliste fr ein Objekt Prinzipale hinzu [Seite 118]

5.2.15 Steuern des Zugriffs auf Posteingnge von Benutzern


Wenn Sie einen Benutzer hinzufgen, wird vom System automatisch ein Posteingang fr diesen Benutzer erstellt. Der Posteingang hat denselben Namen wie der Benutzer. Das Zugriffsrecht fr den Posteingang eines Benutzers ist standardmig dem Benutzer und dem Administrator vorbehalten.

96

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Verwalten von Benutzern und Gruppen

Zugehrige Links Verwalten von Sicherheitseinstellungen fr Objekte in der CMC [Seite 117]

5.2.16 Konfigurieren von BI-Launchpad-Optionen


Administratoren knnen konfigurieren, wie Benutzer auf BI-Launchpad-Anwendungen zugreifen knnen. Bei der Konfiguration der Eigenschaften der BOE.war-Datei knnen Sie angeben, welche Informationen auf dem Anmeldebildschirm des Benutzers angezeigt werden. Sie knnen die BI-Launchpad-Einstellungen fr bestimmte Gruppen auch ber die CMC festlegen.

5.2.16.1

Konfigurieren des BI-Launchpad-Anmeldebildschirms

Am BI-Launchpad-Anmeldebildschirm werden Benutzer standardmig aufgefordert, Benutzernamen und Kennwort einzugeben. Sie knnen Benutzer auch zur Angabe des CMS-Namens und Authentifizierungstyps auffordern. Um diese Einstellung zu ndern, mssen Sie die BI-Launchpad-Eigenschaften fr die Datei BOE.warbearbeiten.

5.2.16.1.1 Konfigurieren des Anmeldebildschirms von BILaunchpad


Damit Sie die Standardeinstellungen von BI-Launchpad ndern knnen, mssen Sie benutzerdefinierte BILaunchpad-Eigenschaften fr die BOE.war-Datei festlegen. Diese Datei ist auf dem Rechner implementiert, der den Webanwendungsserver hostet. 1. Wechseln Sie in Ihrer BI-Plattform-Installation in folgendes Verzeichnis: <INSTALLVERZ>\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF \config\custom\ 2. 3. 4. Erstellen Sie eine neue Datei mit einem Texteditor. Speichern Sie die Datei unter folgendem Namen: BIlaunchpad.properties Um die Authentifizierungsoptionen auf dem BI-Launchpad-Anmeldebildschirm anzuzeigen, fgen Sie die folgende Zeile hinzu: authentication.visible=true 5. Zum ndern der Standardauthentifizierung fgen Sie folgende Zeile hinzu: authentication.default=<authentication> Ersetzen Sie <authentication> durch eine der folgenden Optionen:

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Verwalten von Benutzern und Gruppen

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

97

Authentifizierungstyp
Enterprise LDAP Windows AD SAP

Wert von <authentication> secEnterprise secLDAP secWinAD secSAPR3

6.

Um Benutzer zur Angabe des CMS-Namens auf dem BI-Launchpad-Anmeldebildschirm aufzufordern, fgen Sie die folgende Zeile hinzu: cms.visible=true

7. 8.

Speichern und schlieen Sie die Datei. Starten Sie Ihren Webanwendungsserver neu.

Verwenden Sie zur erneuten Implementierung der BOE.war-Datei auf dem Webanwendungsserver WDeploy. Weitere Informationen ber die Verwendung von WDeploy finden Sie im Handbuch fr die Implementierung von Webanwendungen fr SAP BusinessObjects Business Intelligence.

5.2.16.2 Konfigurieren der BI-Launchpad-Einstellungen fr Gruppen


Die Administratoren knnen die BI-Launchpad-Einstellungen fr bestimmte Benutzergruppen einstellen. Diese Einstellungen dienen dann als BI-Launchpad-Standardeinstellungen fr alle Benutzer in der Gruppe.

Hinweis
Wenn Benutzer eigene Einstellungen definiert haben, werden keine der vom Administrator definierten Einstellungen in der BI-Launchpad-Ansicht der Benutzer widergespiegelt. Die Benutzer knnen jederzeit von ihren eigenen Einstellungen zu den vom Administrator definierten umschalten und die aktualisierten Einstellungen verwenden. Standardmig sind keine BI-Launchpad-Einstellungen fr Benutzergruppen definiert. Administratoren knnen Einstellungen fr Folgendes angeben: Startseite (Registerkarte) Dokumente: Startspeicherort Ordner Kategorien Maximale Anzahl von Objekten pro Seite In der Registerkarte Dokumente angezeigte Spalten Anzeigen von Dokumenten in BI-Launchpad ber Registerkarten oder in einem neuen Fenster

98

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Verwalten von Benutzern und Gruppen

5.2.16.2.1 Gruppe
1. 2. 3. 4. 5.

Festlegen von BI-Launchpad-Einstellungen fr eine

Wechseln Sie zum Verwaltungsbereich Benutzer und Gruppen der CMC. Whlen Sie die Gruppe in der Gruppenliste aus. Klicken Sie auf Aktionen BI-Launchpad-Einstellungen Das Dialogfeld BI-Launchpad-Einstellungen wird angezeigt Deaktivieren Sie Keine Einstellungen definiert. So legen Sie die Startansicht eines Benutzers fest: Damit die Registerkarte Startseite bei der ersten Anmeldung des Benutzers angezeigt wird, klicken Sie auf Startseite, und whlen Sie eine der folgenden Optionen: Option
Standard-Startseite

Beschreibung
Die Standard-Startseite aus dem Lieferumfang der der BI-Plattform wird angezeigt. Eine bestimmte Webseite wird als Startseite angezeigt. Klicken Sie auf Startseite durchsuchen. Whlen Sie im Fenster Benutzerdefinierte Startseite auswhlen ein Repository-Objekt aus, und klicken Sie auf ffnen.

Startseite auswhlen

Hinweis
Sie knnen nur ein Objekt auswhlen, das bereits zum Repository hinzugefgt wurde.

Damit die Registerkarte Dokumente bei der ersten Anmeldung des Benutzers angezeigt wird, klicken Sie auf Dokumente, und geben Sie dann das Fach und den Knoten an, die standardmig geffnet sind. Sie knnen zwischen Folgenden whlen Fach
Eigene Dateien

Knotenoptionen
Whlen Sie eine der folgenden Optionen fr die Anzeige in der Registerkarte Dokumente: Meine Favoriten Persnliche Kategorien Mein Posteingang

Ordner

Whlen Sie eine der folgenden Optionen: ffentliche Ordner: Zeigt die ffentlichen Ordner in der Registerkarte Dokumente an ffentlichen Ordner auswhlen

Klicken Sie auf Ordner durchsuchen, um einen bestimmten ffentlichen Ordner auszuwhlen, der in der Registerkarte Dokumente angezeigt werden soll. Kategorien Whlen Sie eine der folgenden Optionen:

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Verwalten von Benutzern und Gruppen

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

99

Fach

Knotenoptionen
ffentliche Kategorien: Zeigt die ffentlichen Kategorien in der Registerkarte Dokumente an ffentliche Kategorie auswhlen

Klicken Sie auf Ordner durchsuchen, um eine bestimmte ffentliche Kategorie auszuwhlen, die in der Registerkarte Dokumente angezeigt werden soll.

Wenn Sie z.B. wnschen, dass bei der ersten Anmeldung das Fach Meine Dokumente in BI-Posteingang des Benutzers geffnet ist, klicken Sie auf Meine Dokumente und danach auf Mein Posteingang. 6. Whlen Sie unter Whlen Sie die in der Registerkarte "Dokumente" angezeigten Spalten aus die bersichtsinformationen aus, die Sie zu jedem Objekt im Bereich Liste des Benutzers anzeigen mchten: 7. Typ Letzte Ausfhrung Instanzen Beschreibung Erstellt von Erstellt am Speicherort (Kategorien) Empfangen am (Posteingang) Von (Posteingang)

Geben Sie unter Ort fr Dokumentanzeige festlegen an, wie die Benutzer Dokumente anzeigen sollen. Die Benutzer knnen Dokumente ffnen, um sie in neuen Registerkarten in BI-Launchpad oder in neuen Webbrowserfenstern anzuzeigen.

8.

Geben Sie im Feld Maximale Anzahl an Elementen pro Seite festlegen eine Zahl ein, um die die maximale Anzahl von Objekten anzugeben, die pro Seite angezeigt werden sollen, wenn ein Benutzer eine Liste von Objekten anzeigt. Klicken Sie auf Speichern und schlieen.

9.

Die angegebenen Einstellungen dienen als Standardeinstellungen fr Benutzer in der Gruppe, die Sie in Schritt 2 ausgewhlt haben. Allerdings sind die Benutzer in der Lage, eigene BI-Launchpad-Einstellungen zu erstellen, wenn sie die Berechtigung besitzen, ihre Einstellungen festzulegen. Wenn die Benutzer nicht in der Lage sein sollen, die Einstellungen zu ndern, sollten Sie ihnen nicht die Berechtigung erteilen, Einstellungen festzulegen.

5.2.17 Verwalten von Attributen fr Systembenutzer


BI-Plattform-Administratoren definieren und fgen Benutzerattribute Systembenutzern im Bereich Benutzerattributverwaltung in der Central Management Console (CMC) hinzu. Sie knnen Attribute fr folgende Benutzerverzeichnisse verwalten und erweitern: Enterprise SAP LDAP Windows AD

100

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Verwalten von Benutzern und Gruppen

Beim Import von Benutzern von externen Verzeichnissen wie SAP, LDAP und Windows AD stehen im Allgemeinen folgende Attribute fr die Benutzerkonten zur Verfgung: Vollstndiger Name E-Mail-Adresse

Attributnamen
Alle zum System hinzugefgten Attribute mssen folgende Eigenschaften besitzen: Name Interner Name

Die Eigenschaft Name ist die benutzerfreundliche Kennung des Attributs. Mit ihr werden bei der Arbeit mit der semantischen Universumsschicht Filter abgefragt. Weitere Informationen finden Sie in der Dokumentation zum Universe-Design-Tool. Der interne Name wird von Entwicklern bei der Arbeit mit dem BI-Plattform-SDK verwendet. Diese Eigenschaft ist ein automatisch generierter Name. Attributnamen drfen nicht lnger als 256 Zeichen sein und nur alphanumerische Zeichen und Unterstriche enthalten.

Tipp
Wenn Sie ungltige Zeichen fr das Attribut "Name" angeben, wird von der BI-Plattform kein interner Name generiert. Da interne Namen nicht gendert werden knnen, nachdem sie zum System hinzugefgt wurden, wird empfohlen, die geeigneten Attributnamen, bestehend aus alphanumerischen Zeichen und Unterstrichen, sorgfltig auszuwhlen.

Voraussetzungen fr die Erweiterung von zugeordneten Benutzerattributen


Konfigurieren Sie vor dem Hinzufgen von Benutzerattributen zum System alle relevanten AuthentifizierungsPlugins fr externe Benutzerverzeichnisse fr die Zuordnung und den Import von Benutzern. Machen Sie sich auerdem mit dem Schema der externen Verzeichnisse vertraut, insbesondere mit den fr Zielattribute verwendeten Namen.

Hinweis
Fr das SAP-Authentifizierungs-Plugin knnen nur die in der BAPIADDR3-Struktur enthaltenen Attribute angegeben werden. Weitere Informationen finden Sie in der SAP-Dokumentation. Nachdem die BI-Plattform fr die Zuordnung neuer Benutzerattribute konfiguriert wurde, werden die Werte bei der nchsten geplanten Aktualisierung aufgefllt. Alle Benutzerattribute werden im Verwaltungsbereich Benutzer und Gruppen der CMC angezeigt.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Verwalten von Benutzern und Gruppen

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

101

5.2.18 Priorisierung von Benutzerattributen ber mehrere Authentifizierungsoptionen hinweg


Bei der Konfiguration der Authentifizierungs-Plugins fr SAP, LDAP und AD knnen Sie die Priorittsstufen fr jedes Plugin in Bezug auf die anderen beiden angeben. Verwenden Sie beispielsweise im LDAPAuthentifizierungsbereich die Option Prioritt der LDAP-Attributbindung im Verhltnis zu anderen Attributbindungen festlegen, um die LDAP-Prioritt in Bezug auf SAP und AD anzugeben. Der EnterpriseAttributwert hat standardmig Prioritt vor einem Wert eines externen Verzeichnisses. Prioritten fr die Attributbindung werden nicht fr ein bestimmtes Attribut, sondern auf Ebene des Authentifizierungs-Plugins festgelegt. Zugehrige Links To configure the LDAP host [Seite 220] To import SAP roles [Seite 282] Zuordnen von Windows-AD-Benutzern und -Benutzergruppen [Seite 242]

5.2.19 Hinzufgen von neuen Benutzerattributen


Bevor Sie der BI-Plattform ein neues Benutzerattribut hinzufgen, mssen Sie das Authentifizierungs-Plugin fr das externe Verzeichnis, von dem aus Sie Benutzerkonten zuordnen, konfigurieren. Dies gilt fr SAP, LDAP und Windows AD. Insbesondere mssen Sie die Option Vollstndigen Namen, E-Mail-Adresse und andere Attribute importieren fr alle erforderlichen Plugins aktivieren.

Hinweis
Es mssen keine vorbereitenden Aufgaben vor der Erweiterung der Attribute fr Enterprise-Benutzerkonten ausgefhrt werden.

Tipp
Wenn Sie planen, dasselbe Attribut ber mehrere Plugins hinweg zu erweitern, sollten Sie die entsprechende Attributbindungs-Priorittsstufe basierend auf den Anforderungen Ihres Unternehmens festlegen. 1. 2. 3. Wechseln Sie zum Verwaltungsbereich Benutzerattributverwaltung der CMC. Klicken Sie auf das Symbol Neues benutzerdefiniert zugeordnetes Attribut hinzufgen. Das Dialogfeld Attribut hinzufgen wird angezeigt. Geben Sie den Namen fr das neue Attribut in das Feld Name ein. Die BI-Plattform verwendet den als benutzerfreundlichen Namen angegebenen Namen fr das neue Attribut. Bei der Eingabe des benutzerfreundlichen Namens wird das Feld Interner Name automatisch im folgenden Format befllt: SI_[benutzerfreundlicher_Name]. Der Systemadministrator gibt einen "benutzerfreundlichen" Attributnamen ein und die BI-Plattform generiert automatisch den "internen" Namen. 4. ndern Sie das Feld Interner Name nach Bedarf unter Verwendung von Buchstaben, Ziffern oder Unterstrichen.

102

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Verwalten von Benutzern und Gruppen

Tipp
Der Wert des Felds Interner Name kann nur zu diesem Zeitpunkt gendert werden. Der Wert kann nicht mehr gendert werden, nachdem das neue Attribut gespeichert wurde. Falls das neue Attribut fr Enterprise-Konten ist, berspringen Sie Schritt 8. 5. Whlen Sie die entsprechende Option fr Neue Quelle hinzufgen fr aus der Liste aus, und klicken Sie auf das Symbol Hinzufgen. Folgende Optionen stehen zur Verfgung: SAP LDAP AD

Es wird eine Tabellenzeile fr das in der angegebenen Attributquelle angegebene Attribut erstellt. 6. Geben Sie in die Spalte Attributquellenname den Namen des Attributs im Quellverzeichnis ein. Die BI-Plattform verfgt ber keinen Mechanismus zur automatischen Verifizierung, ob der eingegebene Attributname im externen Verzeichnis vorhanden ist. Stellen Sie sicher, dass der angegebene Name richtig und gltig ist. 7. 8. Wiederholen Sie die Schritte 5 bis 6, falls zustzliche Quellen fr das neue Attribut erforderlich sind. Klicken Sie auf OK, um das neue Attribut zu speichern und an die BI-Plattform zu senden. Der Name, der interne Name und die Quelle des neuen Attributs sowie der Attributquellenname werden im Verwaltungsbereich Benutzerattributverwaltung in der CMC aufgefhrt.

Das neue Attribut und sein zugehriger Wert fr jedes betreffende Benutzerkonto wird nach der nchsten geplanten Regenerierung im Verwaltungsbereich Benutzer und Gruppen angezeigt. Wenn Sie mehrere Quellen fr das neue Attribut verwenden, stellen Sie sicher, dass fr jedes AuthentifizierungsPlugin die richtigen Prioritten fr die Attributbindung angegeben werden.

5.2.20 Bearbeiten erweiterter Benutzerattribute


Gegen Sie wie folgt vor, um in der BI-Plattform erstellte Benutzerattribute zu bearbeiten. Sie knnen Folgendes bearbeiten: den Namen des Attributs in der BI-Plattform

Hinweis
Dabei handelt es sich nicht um den internen Namen des Attributs. Nachdem ein Attribut erstellt und der BIPlattform hinzugefgt wurde, kann der interne Name nicht mehr gendert werden. Zum Entfernen eines internen Namens mssen Administratoren das zugehrige Attribut lschen. 1. 2. 3. den Attributquellennamen Zustzliche Quellen fr das Attribut Wechseln Sie zum Verwaltungsbereich Benutzerattributverwaltung der CMC. Whlen Sie das zu bearbeitende Attribut aus. Klicken Sie auf das Symbol Ausgewhltes Attribut bearbeiten. Das Dialogfeld Bearbeiten wird angezeigt.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Verwalten von Benutzern und Gruppen

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

103

4. 5.

ndern Sie den Attributnamen oder die Quellinformationen. Klicken Sie auf OK, um die nderungen zu speichern und an die BI-Plattform zu senden. Die genderten Werte werden im Verwaltungsbereich Benutzerattributverwaltung der CMC angezeigt.

Der genderte Name und die genderten Werte werden nach der nchsten zeitgesteuerten Regenerierung im Verwaltungsbereich Benutzer und Gruppen angezeigt.

5.3

Verwalten von Aliasen

Wenn ein Benutzer in der BI-Plattform ber mehrere Konten verfgt, knnen Sie diese ber die Funktion "Alias zuweisen" verknpfen. Dies ist hilfreich, wenn ein Benutzer ber ein Dritthersteller-Konto verfgt, das Enterprise und einem Enterprise-Konto zugeordnet ist. Indem Sie dem Benutzer einen Alias zuweisen, kann er sich entweder unter Verwendung eines DrittherstellerBenutzernamens und -Kennworts oder eines Enterprise-Benutzernamens und -Kennworts anmelden. Mit einem Alias kann sich ein Benutzer daher ber mehrere Authentifizierungstypen anmelden. In der CMC werden die Aliasinformationen im unteren Bereich des Dialogfelds Eigenschaften eines Benutzers angezeigt. Benutzer knnen ber beliebige Kombinationen von Enterprise-, LDAP- oder Windows AD-Aliase verfgen.

5.3.1 Erstellen von Benutzern und Hinzufgen eines Dritthersteller-Alias


Wenn Sie einen Benutzer erstellen und einen anderen Authentifizierungstyp als "Enterprise" auswhlen, erstellt das System den neuen Benutzer in der BI-Plattform und einen Dritthersteller-Alias fr den Benutzer.

Hinweis
Damit vom System der Dritthersteller-Alias erstellt wird, mssen die folgenden Kriterien erfllt werden: 1. 2. 3. 4. 5. 6. Das Authentifizierungstool muss in der CMC aktiviert sein. Das Format des Kontonamens muss mit dem fr den Authentifizierungstyp erforderlichen Format bereinstimmen. Das Benutzerkonto muss im Authentifizierungstool des anderen Herstellers vorhanden sein und einer Gruppe angehren, die der BI-Plattform bereits zugeordnet wurde. Wechseln Sie zum Verwaltungsbereich Benutzer und Gruppen der CMC. Klicken Sie auf Verwalten Neu Neuer Benutzer . Das Dialogfeld Neuer Benutzer wird angezeigt. Whlen Sie den Authentifizierungstyp fr den Benutzer, beispielsweise "Windows AD". Geben Sie den Namen des Drittherstellerkontos fr den Benutzer ein, beispielsweise bsmith. Whlen Sie den Verbindungstyp fr den Benutzer aus. Klicken Sie auf Erstellen und schlieen.

104

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Verwalten von Benutzern und Gruppen

Der Benutzer wird der BI-Plattform hinzugefgt und ihm wird ein Alias fr den ausgewhlten Authentifizierungstyp zugewiesen, beispielsweise secWindowsAD:ENTERPRISE:bsmith. Falls erforderlich, knnen Sie Benutzern Aliase hinzufgen, zuweisen und neu zuweisen.

5.3.2 Erstellen eines neuen Alias fr einen vorhandenen Benutzer


Sie knnen Aliase fr bestehende BI-Plattform-Benutzer erstellen. Dabei kann es sich um einen Enterprise-Alias oder einen Alias fr ein Authentifizierungstool eines anderen Herstellers handeln.

Hinweis
Damit vom System der Dritthersteller-Alias erstellt wird, mssen die folgenden Kriterien erfllt werden: 1. 2. 3. 4. 5. 6. 7. Das Authentifizierungstool muss in der CMC aktiviert sein. Das Format des Kontonamens muss mit dem fr den Authentifizierungstyp erforderlichen Format bereinstimmen. Das Benutzerkonto muss im Authentifizierungstool des anderen Herstellers vorhanden sein und einer Gruppe angehren, die der Plattform zugeordnet wurde. Wechseln Sie zum Verwaltungsbereich Benutzer und Gruppen der CMC. Whlen Sie den Benutzer aus, dem Sie einen Alias hinzufgen mchten. Klicken Sie auf Verwalten Eigenschaften . Das Dialogfeld Eigenschaften wird angezeigt. Klicken Sie auf Neuer Alias. Whlen Sie den Authentifizierungstyp aus. Geben Sie den Kontonamen fr den Benutzer ein. Klicken Sie auf Aktualisieren. Fr den Benutzer wird ein Alias erstellt. Wenn Sie den Benutzer in der CMC anzeigen lassen, sind mindestens zwei Aliase aufgefhrt, und zwar der dem Benutzer bereits zugewiesene und der von Ihnen gerade erstellte Alias. 8. Klicken Sie auf Speichern und schlieen, um das Dialogfeld Eigenschaften zu schlieen.

5.3.3

So weisen Sie einen Alias eines anderen Benutzers zu

Wenn Sie einem Benutzer einen Alias zuweisen, bertragen Sie einen Dritthersteller-Alias von einem anderen Benutzer auf den aktuell angezeigten Benutzer. Sie knnen keine Enterprise-Aliase zuweisen oder neu zuweisen.

Hinweis
Wenn ein Benutzer nur ber einen Alias verfgt und Sie diesen letzten Alias einem anderen Benutzer zuweisen, werden Benutzerkonto, Favoritenordner, persnliche Kategorien und Posteingang des jeweiligen Kontos vom System gelscht.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Verwalten von Benutzern und Gruppen

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

105

1. 2. 3. 4. 5. 6.

Wechseln Sie zum Verwaltungsbereich Benutzer und Gruppen der CMC. Whlen Sie den Benutzer aus, dem Sie einen Alias zuweisen mchten. Klicken Sie auf Verwalten Eigenschaften . Das Dialogfeld Eigenschaften wird angezeigt. Klicken Sie auf Alias zuweisen. Geben Sie das Benutzerkonto mit dem Alias ein, den Sie zuweisen mchten, und klicken Sie auf Jetzt suchen. Verschieben Sie den Alias, den Sie zuweisen mchten, aus der Liste Verfgbare Aliase in die Liste Aliase, die <Benutzername> hinzugefgt werden sollen. Hier steht der Begriff <Benutzername> fr den Namen des Benutzers, dem Sie einen Alias zuweisen.

Tipp
Um mehrere Aliase auszuwhlen, verwenden Sie die Kombination UMSCHALTTASTE + Klicken oder STRG + Klicken . 7. Klicken Sie auf OK.

5.3.4

Lschen von Aliasen

Wenn Sie einen Alias lschen, wird er aus dem System entfernt. Wenn ein Benutzer nur ber einen Alias verfgt und Sie diesen Alias lschen, werden Benutzerkonto, Favoritenordner, persnliche Kategorien und Posteingang des jeweiligen Kontos automatisch vom System gelscht.

Hinweis
Durch das Lschen eines Benutzeralias wird nicht automatisch verhindert, dass sich der Benutzer erneut bei der BI-Plattform anmelden kann. Wenn das Benutzerkonto weiterhin im Drittherstellersystem vorhanden ist und einer Gruppe angehrt, die der BI-Plattform zugeordnet ist, kann sich der Benutzer noch beim System anmelden. Ob vom System ein neuer Benutzer erstellt oder der Alias einem vorhandenen Benutzer zugewiesen wird, richtet sich danach, welche Aktualisierungsoptionen Sie im Verwaltungsbereich Authentifizierung der CMC fr das Authentifizierungstool ausgewhlt haben. 1. 2. 3. 4. 5. 6. Wechseln Sie zum Verwaltungsbereich Benutzer und Gruppen der CMC. Whlen Sie den Benutzer aus, dessen Alias Sie lschen mchten. Klicken Sie auf Verwalten Eigenschaften . Das Dialogfeld Eigenschaften wird angezeigt. Klicken Sie neben dem Alias, den Sie lschen mchten, auf die Schaltflche Alias lschen. Wenn Sie zum Besttigen aufgefordert werden, klicken Sie auf OK. Der Alias wird gelscht. Klicken Sie auf Speichern und schlieen, um das Dialogfeld Eigenschaften zu schlieen.

106

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Verwalten von Benutzern und Gruppen

5.3.5

So deaktivieren Sie einen Alias

Sie knnen verhindern, dass sich ein Benutzer unter Verwendung einer bestimmten Authentifizierungsmethode bei der BI-Plattform anmeldet, indem Sie den Benutzeralias deaktivieren, der dieser Methode zugeordnet ist. Um einen Benutzer vollstndig am Zugriff auf die Plattform zu hindern, deaktivieren Sie alle Aliase dieses Benutzers.

Hinweis
Durch das Lschen eines Benutzers aus dem System wird nicht automatisch verhindert, dass sich der Benutzer erneut bei der BI-Plattform anmelden kann. Wenn das Benutzerkonto weiterhin im Drittherstellersystem vorhanden ist und einer Gruppe angehrt, die der Plattform zugeordnet ist, kann sich der Benutzer noch beim System anmelden. Um sicherzustellen, dass ein Benutzer keinen seiner Aliase mehr zur Anmeldung bei der Plattform verwenden kann, empfiehlt es sich, die Aliase zu deaktivieren. 1. 2. 3. 4. Wechseln Sie zum Verwaltungsbereich Benutzer und Gruppen der CMC. Whlen Sie den Benutzer aus, dessen Alias Sie deaktivieren mchten. Klicken Sie auf Verwalten Eigenschaften . Das Dialogfeld Eigenschaften wird angezeigt. Deaktivieren Sie das Kontrollkstchen Aktiviert fr den Alias, den Sie deaktivieren mchten. Wiederholen Sie diesen Schritt fr jeden Alias, den Sie deaktivieren mchten. 5. Klicken Sie auf Speichern und schlieen. Der Benutzer ist nicht mehr in der Lage, sich mit dem gerade deaktivierten Authentifizierungstyp anzumelden.

Zugehrige Links Lschen von Aliasen [Seite 106]

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Verwalten von Benutzern und Gruppen

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

107

6
6.1

Festlegen von Rechten


Funktionsweise von Rechten in der BI-Plattform

Rechte bilden die Grundlage fr die Steuerung des Benutzerzugriffs auf Objekte, Benutzer, Anwendungen, Server und andere Funktionen in der BI-Plattform. Sie spielen eine wichtige Rolle bei der Systemsicherheit, da mit Rechten einzelne Aktionen festgelegt werden, die Benutzer fr Objekte ausfhren knnen. Auerdem knnen Sie mit Rechten den Zugriff auf Inhalte in der BI-Plattform steuern, die Benutzer- und Gruppenverwaltung an verschiedene Abteilungen delegieren und den Mitarbeitern der IT-Abteilung die Administratorberechtigung fr Server und Servergruppen gewhren. Beachten Sie, dass Rechte fr Objekte wie Berichte und Ordner und nicht fr die Prinzipale (die Benutzer und Gruppen) festgelegt werden, die darauf zugreifen. Um einem Abteilungsleiter beispielsweise Zugriff auf einen bestimmten Ordner im Bereich Ordner zu gewhren, nehmen Sie den Abteilungsleiter in die Zugriffskontrollliste (die Liste der Prinzipale, die Zugriff auf ein Objekt haben) fr den Ordner auf. Sie knnen einem Abteilungsleiter keinen Zugriff gewhren, indem Sie dessen Rechteeinstellungen im Bereich Benutzer und Gruppen konfigurieren. Die Rechteeinstellungen des Abteilungsleiters im Bereich Benutzer und Gruppen werden verwendet, um anderen Prinzipalen (z.B. delegierten Administratoren) Zugriff auf den Abteilungsleiter als Objekt im System zu gewhren. Auf diese Weise stellen Prinzipale fr andere Benutzer eine Art Objekt dar, das jedoch mit umfangreicheren Verwaltungsrechten ausgestattet ist. Jedes Recht an einem Objekt kann gewhrt, verweigert bzw. nicht angegeben werden. Das BI-PlattformSicherheitsmodell ist so konzipiert, dass ein nicht angegebenes Recht standardmig verweigert wird. Wenn Einstellungen dazu fhren, dass ein Recht einem Benutzer oder einer Gruppe sowohl gewhrt als auch verweigert wird, wird das Recht im Ergebnis verweigert. Mit diesem verweigerungsorientierten Prinzip wird gewhrleistet, dass Benutzer und Gruppen nicht automatisch Rechte erhalten, die ihnen nicht explizit gewhrt wurden. Es gibt eine wichtige Ausnahme von dieser Regel. Wenn ein Recht fr ein untergeordnetes Objekt explizit festgelegt wird und den vom bergeordneten Objekt bernommenen Rechten widerspricht, werden die bernommenen Rechte von dem fr das untergeordnete Objekt festgelegten Recht berschrieben. Diese Ausnahme gilt fr Benutzer, die auch Mitglieder von Gruppen sind. Wenn ein Recht, das der Gruppe eines Benutzers verweigert wurde, einem Benutzer explizit gewhrt wird, werden die bernommenen Rechte durch das fr den Benutzer festgelegte Recht berschrieben. Zugehrige Links Rechte berschreiben [Seite 112]

6.1.1

Zugriffsberechtigungen

Bei Zugriffsberechtigungen werden Rechte, die von Benutzern hufig verwendet werden, in Gruppen zusammengefasst. Sie bieten Administratoren die Mglichkeit, schnell einheitliche Sicherheitsebenen festzulegen, anstatt die einzelnen Rechte nacheinander zu definieren. Die BI-Plattform wird mit mehreren vordefinierten Zugriffsberechtigungen ausgeliefert. Diese vordefinierten Zugriffsberechtigungen basieren auf einem Modell sukzessiv ansteigender Rechte, das mit Ansicht beginnt und mit Voller Zugriff endet. Alle dazwischen liegenden Zugriffsberechtigungen bauen mehr oder weniger auf der vorherigen Zugriffsberechtigung auf.

108

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Festlegen von Rechten

Sie knnen jedoch eigene Zugriffsberechtigungen erstellen und anpassen. Dadurch lassen sich administrative Kosten und Verwaltungskosten in Zusammenhang mit der Sicherheit deutlich reduzieren. Stellen Sie sich eine Situation vor, in der ein Administrator zwei Gruppen verwalten muss: Vertriebsmanager und Vertriebsmitarbeiter. Beide Gruppen mssen auf fnf Berichte im BI-Plattform-System zugreifen, Vertriebsmanager bentigen jedoch mehr Rechte als Vertriebsmitarbeiter. Die vordefinierten Zugriffsberechtigungen erfllen nicht die Anforderungen dieser beiden Gruppen. Anstatt den einzelnen Berichten Gruppen als Subjekte hinzuzufgen und die zugehrigen Rechte an fnf verschiedenen Orten zu ndern, kann der Administrator zwei neue Zugriffsberechtigungen erstellen: Vertriebsmanager und Vertriebsmitarbeiter. Der Administrator fgt den Berichten dann beide Gruppen als Subjekte hinzu und weist den Gruppen die entsprechenden Zugriffsberechtigungen zu. Wenn Rechte gendert werden mssen, kann der Administrator die Zugriffsberechtigungen bearbeiten. Da die Zugriffsberechtigungen fr beide Gruppen in allen fnf Berichten gelten, werden die Rechte, ber die diese Gruppen fr die Berichte verfgen, schnell aktualisiert. Zugehrige Links Arbeiten mit Zugriffsberechtigungen [Seite 122]

6.1.2

Einstellungen fr erweiterte Rechte

Um vollstndige Kontrolle ber die Objektsicherheit zu erhalten, bietet Ihnen die CMC die Mglichkeit, erweiterte Rechte festzulegen. Diese erweiterten Rechte bieten mehr Flexibilitt, da die Sicherheit fr Objekte detaillierter festgelegt werden kann. Sie knnen Einstellungen fr erweiterte Rechte z.B. verwenden, wenn Sie die Rechte eines Prinzipals fr ein bestimmtes Objekt oder eine Gruppe von Objekten anpassen mchten. Setzen Sie insbesondere dann erweiterte Rechte ein, wenn Sie einem Benutzer oder einer Gruppe ein bestimmtes Recht verweigern mchten, das sich nicht ndern soll, wenn Sie zu einem spteren Zeitpunkt nderungen an Gruppenzugehrigkeiten oder Sicherheitsebenen von Ordnern vornehmen. In der folgenden Tabelle sind die Optionen zusammengefasst, die Ihnen beim Festlegen erweiterter Rechte zur Verfgung stehen. Tabelle 6: Rechteoptionen Symbol Rechteoption Gewhrt Verweigert Nicht angegeben Beschreibung Das Recht wird einem Subjekt gewhrt. Das Recht wird einem Subjekt verweigert. Das Recht wird fr ein Subjekt nicht angegeben. Auf Nicht angegeben festgelegte Rechte sind standardmig verweigert. Das Recht wird auf das Objekt angewendet. Diese Option ist verfgbar, wenn Sie auf Gewhrt oder Verweigert klicken. Das Recht wird auf Unterobjekte angewendet. Diese Option ist verfgbar, wenn Sie auf Gewhrt oder Verweigert klicken.

Auf Objekt anwenden

Auf Unterobjekt anwenden

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Festlegen von Rechten

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

109

Zugehrige Links Typspezifische Rechte [Seite 115]

6.1.3

bernahme

Objektrechte werden fr einen Prinzipal festgelegt, um den Zugriff auf das jeweilige Objekt zu steuern. Dabei erweist es sich jedoch als undurchfhrbar, den expliziten Wert jedes mglichen Rechts fr jeden Prinzipal an jedem Objekt zu definieren. Stellen Sie sich beispielsweise ein System mit 100 Rechten, 1000 Benutzern und 10.000 Objekten vor: Um die Rechte explizit fr jedes Objekt festzulegen, mssten im CMS-Speicher zigtausende von Rechten gespeichert werden, die darber hinaus von einem Administrator auch noch einzeln festgelegt werden mssten. Mit bernahmemustern lsst sich dies umgehen. Bei Verwendung der bernahme stammen die Rechte, die Benutzern an den im System enthaltenen Objekten gewhrt werden, aus einer Kombination ihrer Mitgliedschaften in unterschiedlichen Gruppen und Untergruppen mit Objekten, die Rechte von bergeordneten Ordnern und Unterordnern bernommen haben. Diese Benutzer knnen Rechte infolge einer Gruppenmitgliedschaft bernehmen, Untergruppen knnen Rechte von bergeordneten Gruppen bernehmen, und sowohl Benutzer als auch Gruppen knnen Rechte von bergeordneten Ordnern bernehmen. Standardmig bernehmen Benutzer oder Gruppen, die Rechte fr einen Ordner besitzen, dieselben Rechte fr jedes Objekt, das nachfolgend in diesem Ordner verffentlicht wird. Daher ist es strategisch ratsam, zuerst die entsprechenden Rechte fr Benutzer und Gruppen auf Ordnerebene festzulegen und dann die Objekte in diesem Ordner zu verffentlichen. Die BI-Plattform erkennt zwei Arten der bernahme: Gruppenbernahme und Ordnerbernahme.

6.1.3.1

Gruppenbernahme

Bei der Gruppenbernahme knnen Prinzipale Rechte infolge einer Gruppenzugehrigkeit bernehmen. Die Gruppenbernahme ist besonders ntzlich, wenn Sie alle Benutzer in Gruppen organisieren, die den aktuellen Sicherheitskonventionen Ihres Unternehmens entsprechen. Aus Gruppenbernahme: Beispiel 1 ist ersichtlich, wie die Gruppenbernahme funktioniert. Da die rote Gruppe eine Untergruppe der blauen Gruppe ist, bernimmt sie die Rechte der blauen Gruppe. In diesem Fall bernimmt die Gruppe Recht 1 als "Gewhrt" und die brigen Rechte als "Nicht angegeben". Jedes Mitglied der roten Gruppe bernimmt diese Rechte. Darber hinaus werden alle weiteren, fr die Untergruppe festgelegten Rechte von deren Mitgliedern bernommen. Da der grne Benutzer in diesem Beispiel ein Mitglied der roten Gruppe ist, bernimmt er Recht 1 als "Gewhrt", die Rechte 2, 3, 4 und 6 als "Nicht angegeben" und Recht 5 als "Verweigert".

110

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Festlegen von Rechten

Abbildung 1: Gruppenbernahme: Beispiel 1

Wenn die Gruppenbernahme fr einen Benutzer aktiviert ist, der mehreren Gruppen angehrt, werden die Rechte aller bergeordneten Gruppen bercksichtigt, wenn das System die Anmeldedaten prft. Dem Benutzer werden alle Rechte verweigert, die in einer der bergeordneten Gruppen explizit verweigert wurden, sowie jegliche Rechte, deren Status vollstndig "Nicht angegeben" lautet. Folglich werden dem Benutzer nur die Rechte gewhrt, die (explizit oder durch Zugriffsberechtigungen) in einer oder mehreren Gruppen gewhrt und nie explizit verweigert wurden. In Gruppenbernahme: Beispiel 2 ist der grne Benutzer Mitglied in zwei Gruppen, die voneinander unabhngig sind. Der grne Benutzer bernimmt von der blauen Gruppe die Rechte 1 und 5 als "Gewhrt" und die brigen Rechte als "Nicht angegeben". Da der grne Benutzer jedoch auch der roten Gruppe angehrt und der roten Gruppe Recht 5 explizit verweigert wurde, wird die bernahme von Recht 5 aus der blauen Gruppe auer Kraft gesetzt.

Abbildung 2: Gruppenbernahme: Beispiel 2

Zugehrige Links Rechte berschreiben [Seite 112]

6.1.3.2

Ordnerbernahme

Die Ordnerbernahme ermglicht Prinzipalen die bernahme aller Rechte, die fr den bergeordneten Ordner eines Objekts gewhrt wurden. Die Ordnerbernahme erweist sich als besonders leistungsfhig, wenn Sie BIPlattform-Inhalte in einer Ordnerhierarchie organisieren, die die aktuellen Sicherheitskonventionen Ihres Unternehmens widerspiegelt. Angenommen, Sie erstellen einen Ordner namens "Vertriebsberichte" und gewhren der Gruppe "Vertrieb" fr diesen Ordner das Recht Ansicht auf Abruf. Standardmig bernimmt jeder

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Festlegen von Rechten

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

111

Benutzer, der Rechte fr den Ordner "Vertriebsberichte" besitzt, dieselben Rechte fr alle Berichte, die Sie nachfolgend in diesem Ordner verffentlichen. Folglich verfgt die Gruppe "Vertrieb" fr alle Berichte ber den Zugriff Ansicht auf Abruf, und die Objektrechte mssen nur einmal auf der Ordnerebene festgelegt werden. In Beispiel fr die Ordnerbernahme wurden fr die rote Gruppe Ordnerrechte festgelegt. Rechte 1 und 5 wurden gewhrt, whrend die brigen Rechte nicht angegeben wurden. Bei aktivierter Ordnerbernahme verfgen Mitglieder der roten Gruppe ber Rechte auf der Objektebene, die mit den Rechten der Gruppe auf der Ordnerebene identisch sind. Die Rechte 1 und 5 wurden als "Gewhrt" bernommen, whrend die brigen Rechte nicht angegeben wurden.

Abbildung 3: Beispiel fr die Ordnerbernahme

Zugehrige Links Rechte berschreiben [Seite 112]

6.1.3.3

Rechte berschreiben

Das berschreiben von Rechten ist ein Verhalten, bei dem Rechte, die fr untergeordnete Objekte festgelegt wurden, die fr bergeordnete Objekte festgelegten Rechte berschreiben. Das berschreiben von Rechten findet unter folgenden Bedingungen statt: Im Allgemeinen berschreiben die Rechte, die fr untergeordnete Objekte festgelegt werden, die Rechte, die fr bergeordnete Objekte festgelegt werden. Im Allgemeinen berschreiben die Rechte, die fr Untergruppen oder Gruppenelemente festgelegt werden, die Rechte, die fr Gruppen festgelegt werden.

Die bernahme muss nicht deaktiviert werden, um benutzerdefinierte Rechte fr ein Objekt festzulegen. Das untergeordnete Objekt bernimmt die Rechteeinstellungen des bergeordneten Objekts, mit Ausnahme der Rechte, die explizit fr das untergeordnete Objekt festgelegt werden. Alle nderungen an den Rechteeinstellungen fr das bergeordnete Objekt gelten auch fr das untergeordnete Objekt.

112

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Festlegen von Rechten

Rechte berschreiben: Beispiel 1 verdeutlicht, wie das berschreiben von Rechten fr bergeordnete und untergeordnete Objekte funktioniert. Dem blauen Benutzer wird das Recht zur Bearbeitung eines Ordnerinhalts verweigert. Die Rechteeinstellung wird vom Unterordner bernommen. Ein Administrator gewhrt dem blauen Benutzer jedoch Bearbeitungsrechte fr ein Dokument im Unterordner. Das Bearbeitungsrecht, das der blaue Benutzer fr das Dokument erhlt, berschreibt die bernommenen Rechte des Ordners und Unterordners.

Abbildung 4: Rechte berschreiben: Beispiel 1

Rechte berschreiben: Beispiel 2 verdeutlicht, wie das berschreiben von Rechten fr Mitglieder und Gruppen funktioniert. Der blauen Gruppe wird das Recht zur Bearbeitung eines Ordners verweigert. Die blaue Untergruppe bernimmt diese Rechteeinstellung. Ein Administrator gewhrt dem blauen Benutzer, der Mitglied der blauen Gruppe und der blauen Untergruppe ist, jedoch Bearbeitungsrechte fr den Ordner. Die Bearbeitungsrechte, die der blaue Benutzer fr den Ordner erhlt, berschreiben die bernommenen Rechte der blauen Gruppe und der blauen Untergruppe.

Abbildung 5: Rechte berschreiben: Beispiel 2

Komplexes berschreiben von Rechten veranschaulicht eine Situation, in der die Auswirkungen des berschreibens von Rechten weniger transparent sind. Der violette Benutzer ist ein Mitglied der Untergruppen 1A und 2A, die der Gruppe 1 bzw. 2 angehren. Die Gruppen 1 und 2 verfgen ber Bearbeitungsrechte fr den Ordner. 1A bernimmt die Bearbeitungsrechte von Gruppe 1, die Bearbeitungsrechte fr 2A werden jedoch von einem Administrator verweigert. Die Rechteeinstellungen fr 2A berschreiben aufgrund von "Rechte

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Festlegen von Rechten

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

113

berschreiben" die Rechteeinstellungen fr Gruppe 2. Der violette Benutzer bernimmt deshalb widersprchliche Rechteeinstellungen von 1A und 2A. Zwischen 1A und 2A besteht keine Parent-/Child-Beziehung, sodass keine berschreibung von Rechten stattfindet. Die Rechteeinstellungen einer Untergruppe berschreiben also keine Rechteinstellungen einer anderen Gruppe, da sie einen gleichwertigen Status haben. Dem violetten Benutzer werden also aufgrund des auf Verweigerungen basierenden Rechtemodells in der BI-Plattform Bearbeitungsrechte verweigert.

Abbildung 6: Komplexes berschreiben von Rechten

Mit "Rechte berschreiben" knnen Sie geringfgige nderungen an den Rechteeinstellungen fr ein untergeordnetes Objekt vornehmen, ohne smtliche bernommenen Rechteeinstellungen zu ignorieren. Stellen Sie sich eine Situation vor, in der ein Vertriebsmanager Einsicht in vertrauliche Berichte im Ordner "Vertraulich" nehmen muss. Der Vertriebsmanager gehrt der Gruppe "Vertrieb" an, der der Zugriff auf den Ordner und dessen Inhalt verweigert wurde. Der Administrator gewhrt dem Manager Ansichtsrechte fr den Ordner "Vertraulich" und verweigert der Gruppe "Vertrieb" weiterhin den Zugriff. In diesem Fall wird der verweigerte Zugriff, den der Manager durch die Mitgliedschaft in der Gruppe "Vertrieb" bernommen hat, durch die dem Vertriebsmanager gewhrten Ansichtsrechte berschrieben.

6.1.3.4

Gltigkeitsbereich von Rechten

Der Gltigkeitsbereich von Rechten bezieht sich auf die Fhigkeit, das Ausma der bernahme von Rechten einzuschrnken. Um den Gltigkeitsbereich eines Rechts festzulegen, entscheiden Sie, ob das Recht auf das Objekt, seine Unterobjekte oder beides angewendet wird. Der Gltigkeitsbereich eines Rechts erstreckt sich standardmig sowohl auf Objekte als auch auf Unterobjekte. Der Gltigkeitsbereich von Rechten kann verwendet werden, um persnlichen Inhalt an freigegebenen Speicherorten zu schtzen. Stellen Sie sich eine Situation vor, in der die Finanzabteilung einen gemeinsamen Ordner "Kostenabrechnungen" fhrt, der jeweils einen Unterordner "Persnliche Kostenabrechnungen" fr die einzelnen Mitarbeiter enthlt. Die Mitarbeiter mchten in der Lage sein, den Ordner "Kostenabrechnungen" einzusehen und ihm Objekte hinzuzufgen. Gleichzeitig mchten Sie den Inhalt ihrer Unterordner "Persnliche Kostenabrechnungen" schtzen. Der Administrator gewhrt allen Mitarbeitern Ansichts- und Hinzufgerechte fr den Ordner "Kostenabrechnungen" und beschrnkt den Gltigkeitsbereich dieser Rechte auf den Ordner "Kostenabrechnungen". Dies bedeutet, dass die Ansichts- und Hinzufgeberechtigungen nicht fr Unterobjekte im Ordner "Kostenabrechnungen" gelten. Der Administrator gewhrt den Mitarbeitern dann Ansichts- und Hinzufgerechte fr ihre eigenen Unterordner "Persnliche Kostenabrechnungen". Durch den Gltigkeitsbereich von Rechten knnen auch die effektiven Rechte beschrnkt werden, ber die ein delegierter Administrator verfgt. Ein delegierter Administrator kann ber die Rechte Sicher Rechte ndern und

114

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Festlegen von Rechten

Bearbeiten fr einen Ordner verfgen, der Gltigkeitsbereich dieser Rechte ist jedoch nur auf den Ordner beschrnkt und umfasst nicht dessen Unterobjekte. Der delegierte Administrator kann diese Rechte fr eines der Unterobjekte des Ordners keinem anderen Benutzer gewhren.

6.1.4

Typspezifische Rechte

Typspezifische Rechte sind Rechte, die sich nur auf bestimmte Objekttypen wie Crystal-Reports-Berichte, Ordner oder Zugriffsberechtigungen auswirken. Typspezifische Rechte umfassen: Allgemeine Rechte fr den Objekttyp Diese Rechte sind identisch mit allgemeinen globalen Rechten (z.B. dem Recht zum Hinzufgen, Lschen oder Bearbeiten eines Objekts), Sie legen sie jedoch auf spezifische Objekttypen fest, um die allgemeinen globalen Rechteeinstellungen zu berschreiben. Spezifische Rechte fr den Objekttyp Diese Rechte sind nur fr spezifische Objekttypen verfgbar. Das Recht zum Exportieren von Berichtsdaten wird beispielsweise fr Crystal-Reports-Berichte, nicht aber fr Word-Dokumente angezeigt.

Durch das Diagramm Beispiel fr typspezifische Rechte wird veranschaulicht, wie typspezifische Rechte funktionieren. Recht 3 entspricht dem Recht zur Bearbeitung eines Objekts. Der blauen Gruppe werden Bearbeitungsrechte fr Ordner der obersten Ebene verweigert und Bearbeitungsrechte fr Crystal-ReportsBerichte im Ordner und Unterordner gewhrt. Diese Bearbeitungsrechte sind spezifisch fr Crystal-ReportsBerichte und berschreiben die Rechteeinstellungen auf einer allgemeinen globalen Ebene. Folglich verfgen Mitglieder der blauen Gruppe ber Bearbeitungsrechte fr Crystal-Reports-Berichte, aber nicht fr die XLF-Datei im Unterordner.

Abbildung 7: Beispiel fr typspezifische Rechte

Typspezifische Rechte sind hilfreich, da Sie mit ihnen die Rechte von Subjekten auf der Grundlage des Objekttyps beschrnken knnen. Stellen Sie sich eine Situation vor, in der ein Administrator seine Mitarbeiter dazu befhigen mchte, einem Ordner Objekte hinzuzufgen, aber keine Unterordner zu erstellen. Der Administrator gewhrt Hinzufgerechte auf allgemeiner globaler Ebene fr den Ordner und verweigert dann Hinzufgerechte fr den Ordnerobjekttyp.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Festlegen von Rechten

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

115

Rechte werden auf der Grundlage der jeweiligen Objekttypen in die folgenden Sammlungen unterteilt. Allgemein Diese Rechte wirken sich auf alle Objekte aus. Inhalt Diese Rechte werden entsprechend den verschiedenen Inhaltsobjekttypen unterteilt. Beispiele fr Inhaltsobjekttypen sind Crystal-Reports-Berichte und Adobe Acrobat PDFs. Anwendung Diese Rechte werden danach unterteilt, auf welche BI-Plattform-Anwendung sie sich auswirken. Beispiele fr Anwendungen sind CMC und BI-Launchpad. System Diese Rechte werden danach unterteilt, auf welche zentralen Systemkomponenten sie sich auswirken. Beispiele fr zentrale Systemkomponenten sind Kalender, Ereignisse sowie Benutzer und Gruppen.

Typspezifische Rechte befinden sich in der Inhalts-, Anwendungs- und Systemsammlung. In den einzelnen Sammlungen werden sie auf der Grundlage des Objekttyps weiter in Kategorien unterteilt.

6.1.5

Ermitteln effektiver Rechte

Bercksichtigen Sie diese berlegungen beim Festlegen von Rechten fr ein Objekt: Stattdessen gewhrt jede Zugriffsberechtigung bestimmte Rechte, verweigert bestimmte Rechte und behlt fr die brigen Rechte die Einstellung "Nicht angegeben" bei. Wenn einem Benutzer mehrere Zugriffsberechtigungen zugewiesen werden, aggregiert das System die effektiven Rechte und verweigert standardmig alle nicht angegebenen Rechte. Wenn Sie einem Subjekt, das einem Objekt zugeordnet ist, mehrere Zugriffsberechtigungen zuweisen, verfgt das Subjekt ber die Kombination der Rechte fr die einzelnen Zugriffsberechtigungen. Dem Benutzer in Mehrere Zugriffsberechtigungen werden zwei Zugriffsberechtigungen zugewiesen. Durch eine Zugriffsberechtigung werden die Benutzerrechte 3 und 4 und durch die andere Zugriffsberechtigung nur Recht 3 gewhrt. Die effektiven Rechten fr den Benutzer sind die Rechte 3 und 4.

Abbildung 8: Mehrere Zugriffsberechtigungen

Erweiterte Rechte knnen mit Zugriffsberechtigungen kombiniert werden, um die Rechteeinstellungen fr ein einem Objekt zugewiesenes Subjekt anzupassen. Wenn ein erweitertes Recht und eine Zugriffsberechtigung beide explizit einem Prinzipal zugewiesen sind, der einem Objekt zugeordnet ist, und das erweiterte Recht einem Recht in der Zugriffsberechtigung widerspricht, wird das Recht in der Zugriffsberechtigung vom erweiterten Recht berschrieben. Identische Rechte in Zugriffsberechtigungen knnen durch erweiterte Rechte nur berschrieben werden, wenn sie fr dasselbe Objekt desselben Prinzipals festgelegt wurden. Beispiel: Ein erweitertes Hinzufgerecht, das auf der allgemeinen globalen Ebene festgelegt wurde, kann die allgemeine Einstellung fr das Hinzufgerecht in einer Zugriffsberechtigung berschreiben, es kann jedoch keine typspezifische Einstellung fr das Hinzufgerecht in einer Zugriffsberechtigung berschreiben.

116

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Festlegen von Rechten

Zugriffsberechtigungen werden jedoch nicht immer durch erweiterte Rechte berschrieben. Einem Prinzipal wird beispielsweise das Bearbeitungsrecht fr ein bergeordnetes Objekt verweigert. Fr das untergeordnete Objekt wird dem Prinzipal eine Zugriffsberechtigung zugewiesen, durch die ihm das Bearbeitungsrecht gewhrt wird. Der Prinzipal verfgt schlielich ber Bearbeitungsrechte fr das untergeordnete Objekt, da die fr das untergeordnete Objekt festgelegten Rechte die Rechte berschreiben, die fr das bergeordnete Objekt festgelegt sind. Auf diese Weise knnen Rechte, die fr ein untergeordnetes Objekt festgelegt wurden, Rechte berschreiben, die vom bergeordneten Objekt bernommen werden.

6.2 Verwalten von Sicherheitseinstellungen fr Objekte in der CMC


Sie knnen Sicherheitseinstellungen fr die meisten Objekte in der CMC unter Verwendung der Sicherheitsoptionen im Men Verwalten verwalten. Mit diesen Optionen knnen Sie der Zugriffskontrollliste fr ein Objekt Prinzipale zuweisen, die Rechte eines Prinzipals anzeigen lassen und die Rechte des Prinzipals fr ein Objekt ndern. Die jeweiligen Einstellungen der Sicherheitsverwaltung hngen von den Sicherheitsanforderungen und dem Objekttyp ab, fr den Sie Rechte festlegen. Die Arbeitsablufe fr die folgenden Aufgaben sind jedoch im Allgemeinen sehr hnlich: Anzeigen von Rechten fr ein einem Objekt zugewiesenes Subjekt Zuweisen von Prinzipalen zu einer Zugriffskontrollliste fr ein Objekt und Festlegen der Rechte und Zugriffsberechtigungen fr diese Prinzipale Festlegen von Rechten fr den Ordner der obersten Ebene in der BI-Plattform.

6.2.1 So lassen Sie Rechte fr einen Prinzipal auf einem Objekt anzeigen
Im Allgemeinen fhren Sie diesen Arbeitsablauf aus, um Rechte fr ein einem Objekt zugewiesenen Prinzipal anzuzeigen. 1. 2. 3. Whlen Sie das Objekt aus, fr das Sie Sicherheitseinstellungen anzeigen mchten. Klicken Sie auf Verwalten Benutzersicherheit . Das Dialogfeld Benutzersicherheit wird angezeigt und enthlt die Zugriffskontrollliste fr das Objekt. Whlen Sie einen Prinzipal aus der Zugriffskontrollliste aus, und klicken Sie auf Sicherheit anzeigen Der Berechtigungs-Explorer wird gestartet und zeigt eine Liste der effektiven Rechte fr den dem Objekt zugewiesenen Prinzipal an. Zustzlich knnen Sie im Berechtigungs-Explorer folgende Schritte ausfhren: Suchen nach einem anderen Prinzipal, dessen Rechte angezeigt werden sollen Filtern Sie die angezeigten Rechte entsprechend den folgenden Kriterien: zugewiesene Rechte gewhrte Rechte

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Festlegen von Rechten

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

117

nicht zugewiesene Rechte Zugriffsberechtigung Objekttyp den Namen des Rechts Sortieren Sie die Liste der angezeigten Rechte aufsteigend oder absteigend nach den folgenden Kriterien: Sammlung Typ Rechtename Rechtestatus ("Gewhrt", "Verweigert" oder "Nicht angegeben") Zustzlich knnen Sie auf einen der Links in der Spalte Quelle klicken, um die Quelle der bernommenen Rechte anzuzeigen.

6.2.2 So weisen Sie einer Zugriffskontrollliste fr ein Objekt Prinzipale hinzu


In einer Zugriffskontrollliste werden die Benutzer angegeben, denen Rechte fr ein Objekt gewhrt oder verweigert werden. Im Allgemeinen fhren Sie diesen Arbeitsablauf aus, um einer Zugriffkontrollliste einen Prinzipal zuzuweisen und die Rechte anzugeben, ber die der Prinzipal fr das betreffende Objekt verfgt. 1. 2. 3. 4. 5. 6. 7. Whlen Sie das Objekt aus, fr das Sie ein Subjekt hinzufgen mchten. Klicken Sie auf Verwalten Benutzersicherheit . Das Dialogfeld Benutzersicherheit wird angezeigt und enthlt die Zugriffskontrollliste. Klicken Sie auf Prinzipale hinzufgen. Das Dialogfeld Prinzipale hinzufgen wird angezeigt. Verschieben Sie die Benutzer und Gruppen, die Sie als Prinzipale hinzufgen mchten, aus der Liste Verfgbare Benutzer/Gruppen in die Liste Ausgewhlte Benutzer/Gruppen. Klicken Sie auf Sicherheit hinzufgen und zuweisen. Whlen Sie die Zugriffsberechtigungen aus, die Sie dem Prinzipal gewhren mchten. Whlen Sie aus, ob die bernahme von Ordnern oder Gruppen aktiviert oder deaktiviert werden soll.

Falls erforderlich, knnen Sie auch Rechte auf Detailebene ndern, um bestimmte Rechte in einer Zugriffsberechtigung zu berschreiben. Zugehrige Links ndern der Sicherheit fr einen Prinzipal auf einem Objekt [Seite 118]

6.2.3 ndern der Sicherheit fr einen Prinzipal auf einem Objekt


Allgemein wird empfohlen, dass Sie Zugriffsberechtigungen verwenden, um einem Prinzipal Rechte zuzuweisen. Zeitweise kann es jedoch erforderlich sein, bestimmte genau abgestimmte Rechte in einer Zugriffsberechtigung zu berschreiben. ber erweiterte Rechte knnen Sie die Rechte fr ein Subjekt anpassen, und zwar zustzlich zu

118

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Festlegen von Rechten

den Zugriffsberechtigungen, ber die das Subjekt bereits verfgt. Im Allgemeinen fhren Sie diesen Arbeitsablauf aus, um einem Prinzipal erweiterte Rechte fr ein Objekt zuzuweisen. 1. 2. 3. 4. 5. 6. Weisen Sie den Prinzipal der Zugriffskontrollliste fr das Objekt zu. Nachdem der Prinzipal hinzugefgt wurde, wechseln Sie zu Zugriffskontrollliste fr das Objekt anzuzeigen. Verwalten Benutzersicherheit , um die

Whlen Sie einen Prinzipal aus der Zugriffskontrollliste aus, und klicken Sie auf Sicherheit zuweisen. Das Dialogfeld Sicherheit zuweisen wird angezeigt. Klicken Sie auf die Registerkarte Erweitert. Klicken Sie auf Rechte hinzufgen/entfernen. ndern Sie die Rechte fr den Prinzipal. Alle verfgbaren Rechte sind im Anhang "Rechte" zusammengefasst.

Zugehrige Links So weisen Sie einer Zugriffskontrollliste fr ein Objekt Prinzipale hinzu [Seite 118]

6.2.4 Festlegen von Rechten fr den Ordner der obersten Ebene in der BI-Plattform
Im Allgemeinen fhren Sie diesen Workflow aus, um Rechte fr einen Ordner der obersten Ebene in der BIPlattform festzulegen.

Hinweis
Fr diese Version erfordern Prinzipale Ansichtsrechte fr einen Containerordner, damit sie in diesem Ordner navigieren und dessen Unterobjekte anzeigen lassen knnen. Dies bedeutet, dass Prinzipale Ansichtsrechte fr die Ordner der obersten Ebene bentigen, um die in Ordnern enthaltenen Objekte anzuzeigen. Wenn Sie die Ansichtsrechte fr einen Prinzipal beschrnken mchten, knnen Sie einem Prinzipal Ansichtsrechte fr einen bestimmten Ordner gewhren und den Gltigkeitsbereich der Rechte so festlegen, dass sie nur fr diesen Ordner gelten. 1. 2. Wechseln Sie zum CMC-Bereich, in dem der Ordner der obersten Ebene festgelegt wird, fr den Sie Rechte festlegen mchten. Klicken Sie auf Verwalten Sicherheit auf oberster Ebene Alle <Objekte> .

Hier steht der Begriff <Objekte> fr den Inhalt des Ordners der obersten Ebene. Wenn Sie zum Besttigen aufgefordert werden, klicken Sie auf OK. Das Dialogfeld Benutzersicherheit wird angezeigt und enthlt die Zugriffskontrollliste fr den Ordner der obersten Ebene. 3. 4. Weisen Sie der Zugriffskontrollliste das Subjekt fr den Ordner der obersten Ebene zu. Weisen Sie dem Subjekt ggf. erweiterte Rechte zu.

Zugehrige Links So weisen Sie einer Zugriffskontrollliste fr ein Objekt Prinzipale hinzu [Seite 118] ndern der Sicherheit fr einen Prinzipal auf einem Objekt [Seite 118]

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Festlegen von Rechten

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

119

6.2.5 berprfen von Sicherheitseinstellungen fr ein Subjekt


In einigen Fllen mchten Sie vielleicht wissen, fr welche Objekte einem Prinzipal Zugriff gewhrt oder verweigert wurde. Zu diesem Zweck knnen Sie eine Sicherheitsabfrage verwenden. Anhand von Sicherheitsabfragen knnen Sie die Objekte ermitteln, fr die ein Subjekt ber bestimmte Rechte verfgt sowie die Benutzerrechte verwalten. Fr jede Sicherheitsabfrage geben Sie folgende Informationen an: Abfrageprinzipal Sie geben den Benutzer oder die Gruppe an, fr die die Sicherheitsabfrage ausgefhrt werden soll. Sie knnen ein Subjekt pro Sicherheitsabfrage angeben. Abfrageberechtigung Sie geben das Recht bzw. die Rechte an, fr die die Sicherheitsabfrage ausgefhrt werden soll, sowie den Status dieser Rechte und den Objekttyp, fr den diese Rechte festgelegt wurden. Beispiel: Sie knnen eine Sicherheitsabfrage fr alle Berichte ausfhren, die von einem Subjekt regeneriert werden knnen, sowie fr alle Berichte, die ein Subjekt nicht exportieren kann. Abfragekontext Sie knnen die CMC-Bereiche angeben, die von der Sicherheitsabfrage durchsucht werden sollen. Fr jeden Bereich knnen Sie auswhlen, ob Unterobjekte in die Sicherheitsabfrage aufgenommen werden sollen. Eine Sicherheitsabfrage kann maximal vier Bereiche umfassen.

Wenn Sie eine Sicherheitsabfrage ausfhren, werden die Ergebnisse im Bereich Abfrageergebnisse angezeigt, der sich im Strukturbereich unterhalb von Sicherheitsabfragen befindet. Wenn Sie eine Sicherheitsabfrage optimieren mchten, knnen Sie eine zweite Abfrage in den Ergebnissen der ersten Abfrage ausfhren. Sicherheitsabfragen sind hilfreich, da ber sie Objekte angezeigt werden knnen, fr die ein Subjekt bestimmte Rechte hat. Auerdem verweisen sie auf den Speicherort dieser Objekte, fr den Fall, dass Sie diese Rechte ndern mchten. Stellen Sie sich eine Situation vor, in der ein Vertriebsmitarbeiter zum Vertriebsmanager befrdert wird. Der Vertriebsmanager bentigt Zeitsteuerungsrechte fr Crystal-Reports-Berichte, fr die er zuvor nur ber Ansichtsrechte verfgte, und diese Berichte befinden sich in unterschiedlichen Ordnern. In diesem Fall fhrt der Administrator eine Sicherheitsabfrage aus, um das Ansichtsrecht des Vertriebsmanagers fr Crystal-Reports-Berichte in allen Ordnern zu berprfen, und nimmt Unterobjekte in die Abfrage auf. Nachdem die Sicherheitsabfrage ausgefhrt wurde, kann der Administrator alle Crystal-Reports-Berichte, fr die der Vertriebsmanager ber Ansichtsrechte verfgt, im Bereich Abfrageergebnisse anzeigen lassen. Da im Detailbereich der Pfad zu den einzelnen Crystal-Reports-Berichten angezeigt wird, kann der Administrator jeden Bericht suchen und die diesbezglichen Rechte des Vertriebsmanagers ndern.

6.2.5.1
1. 2.

So fhren Sie eine Sicherheitsabfrage aus

Whlen Sie im Bereich Benutzer und Gruppen im Detailbereich den Benutzer oder die Gruppe aus, fr den bzw. die eine Sicherheitsabfrage ausgefhrt werden soll. Klicken Sie auf Verwalten Extras Sicherheitsabfrage erstellen .

120

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Festlegen von Rechten

Das Dialogfeld Sicherheitsabfrage erstellen wird angezeigt. 3. Stellen Sie sicher, dass das Subjekt im Bereich Abfragesubjekt richtig ist. Wenn Sie sich entscheiden, eine Sicherheitsabfrage fr ein anderes Subjekt auszufhren, knnen Sie auf Durchsuchen klicken, um ein anderes Subjekt auszuwhlen. Erweitern Sie im Dialogfeld Nach Abfrageprinzipal suchen die Option Benutzerliste oder Gruppenliste, um den Prinzipal zu suchen oder die Namen der Prinzipale zu durchsuchen. Klicken Sie abschlieend auf OK, um zum Dialogfeld Sicherheitsabfrage erstellen zurckzukehren. 4. Geben Sie im Bereich Abfrageberechtigung die Rechte und den Status der einzelnen Rechte an, fr die Sie die Abfrage ausfhren mchten. Wenn Sie eine Abfrage fr bestimmte Rechte ausfhren mchten, ber die der Prinzipal fr Objekte verfgt, klicken Sie auf Durchsuchen, legen den Status der einzelnen Rechte fest, fr die Sie die Sicherheitsabfrage ausfhren mchten, und klicken auf OK.

Tipp
Sie knnen spezifische Rechte aus der Abfrage lschen, indem Sie neben dem jeweiligen Recht auf die Schaltflche zum Lschen klicken, oder Sie knnen alle Rechte aus der Abfrage lschen, indem Sie in der Kopfzeile auf die Schaltflche zum Lschen klicken. Zum Ausfhren einer allgemeinen Sicherheitsabfrage aktivieren Sie das Kontrollkstchen Keine Abfragen nach Berechtigungen ausfhren. In diesem Fall fhrt die BI-Plattform eine allgemeine Sicherheitsabfrage fr alle Objekte aus, in deren Zugriffskontrolllisten der Prinzipal enthalten ist, und zwar unabhngig von den Berechtigungen, die der Prinzipal fr die Objekte besitzt.

5.

Geben Sie im Bereich Abfragekontext die CMC-Bereiche an, die Sie abfragen mchten. a) Aktivieren Sie ein Kontrollkstchen neben einer Liste.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Festlegen von Rechten

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

121

b) Whlen Sie in der Liste einen CMC-Bereich aus, den Sie abfragen mchten. Wenn Sie einen spezifischeren Speicherort innerhalb eines Bereichs abfragen mchten (z.B. einen bestimmten Ordner unter "Ordner"), klicken Sie auf Durchsuchen, um das Dialogfeld Nach Abfragekontext suchen zu ffnen. Whlen Sie im Detailbereich den Ordner aus, den Sie abfragen mchten, und klicken Sie auf OK. Wenn Sie zum Dialogfeld Sicherheitsabfrage zurckkehren, wird der von Ihnen angegebene Ordner im Feld unterhalb der Liste angezeigt. c) Whlen Sie Unterobjekt abfragen. d) Wiederholen Sie die oben genannten Schritte fr jeden CMC-Bereich, den Sie abfragen mchten.

Hinweis
Eine Abfrage kann maximal vier Bereiche umfassen. 6. 7. Klicken Sie auf OK. Die Sicherheitsabfrage wird ausgefhrt, und Sie wechseln zum Bereich Abfrageergebnisse. Um die Abfrageergebnisse in der Strukturansicht anzuzeigen, erweitern Sie Sicherheitsabfrage und klicken auf ein Abfrageergebnis.

Tipp
Abfrageergebnisse werden nach den Namen der Subjekte aufgefhrt. Die Abfrageergebnisse werden im Detailbereich angezeigt. Im Bereich Abfrageergebnisse werden smtliche Ergebnisse von Sicherheitsabfragen einer einzelnen Benutzersitzung so lange beibehalten, bis sich der Benutzer abmeldet. Wenn Sie die Abfrage erneut mit neuen Spezifikationen ausfhren mchten, klicken Sie auf Aktionen Abfrage bearbeiten . Sie knnen auch dieselbe Abfrage erneut ausfhren Aktionen klicken. Abfrage erneut ausfhren, indem Sie sie auswhlen und auf Aktionen

Wenn Sie die Ergebnisse der Sicherheitsabfrage beibehalten mchten, klicken Sie auf Exportieren , um die Ergebnisse der Sicherheitsabfrage als CSV-Datei zu exportieren.

6.3

Arbeiten mit Zugriffsberechtigungen

Mit Zugriffsberechtigungen stehen Ihnen folgende Mglichkeiten zur Verfgung: Kopieren einer vorhandenen Zugriffsberechtigung, Vornehmen von nderungen an der Kopie, Umbenennen und Speichern der Kopie als neue Zugriffsberechtigung Erstellen, Umbenennen und Lschen von Zugriffsberechtigungen. ndern der Rechte in einer Zugriffsberechtigung. Verfolgen der Beziehung zwischen Zugriffsberechtigungen und anderen Objekten im System. Replizieren und Verwalten von Zugriffsberechtigungen ber verschiedene Websites. Verwenden einer der vordefinierten Zugriffsberechtigungen in BI-Plattform, um Rechte fr viele Subjekte schnell und einheitlich festzulegen.

In der folgenden Tabelle werden die Rechte zusammengefasst, die in den einzelnen vordefinierten Zugriffsberechtigungen enthalten sind.

122

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Festlegen von Rechten

Tabelle 7: Vordefinierte Zugriffsberechtigungen Zugriffsberechtigung Ansicht Beschreibung Wenn diese Berechtigung auf Ordnerebene festgelegt wird, kann ein Prinzipal den Ordner, Objekte innerhalb des Ordners und die von den einzelnen Objekten generierten Instanzen anzeigen lassen. Wenn die Berechtigung auf Objektebene festgelegt wird, hat der Prinzipal Einblick in das Objekt, dessen Verlauf und die generierten Instanzen. Ein Prinzipal kann Instanzen generieren, indem er die zeitgesteuerte einmalige oder wiederkehrende Ausfhrung eines Objekts gegen eine festgelegte Datenquelle plant. Der Prinzipal kann die zeitgesteuerte Verarbeitung eigener Instanzen einsehen, lschen und anhalten. Auerdem knnen sie unterschiedliche Formate und Ziele zeitgesteuert planen, Parameter und Anmeldedaten fr die Datenbank festlegen, Server zur Verarbeitung von Auftrgen auswhlen, dem Ordner Inhalte hinzufgen und den Ordner oder das Objekt kopieren. Zugehrige Rechte Objekte anzeigen Dokumentinstanzen anzeigen

Zeitgesteuert verarbeiten

Ansichtsrecht fr die Zugriffsberechtigung UND: Ausfhrung des Berichts zeitsteuern Servergruppen fr die Verarbeitung von Auftrgen definieren Objekte in andere Ordner kopieren Auf Ziele zeitgesteuert verarbeiten Berichtsdaten drucken Berichtsdaten exportieren Objekte des Benutzers bearbeiten Instanzen des Benutzers lschen Instanzen des Benutzers anhalten und fortsetzen

Ansicht auf Abruf

Ein Prinzipal kann Daten "auf Abruf" Zeitgesteuert verarbeiten-Recht fr gegen eine Datenquelle Zugriffsberechtigungen UND: regenerieren. Berichtsdaten regenerieren Ein Prinzipal hat vollstndigen Verwaltungszugriff auf das Objekt. Alle verfgbaren Rechte einschlielich: Objekte zum Ordner hinzufgen Objekte bearbeiten Rechte ndern, die Benutzer fr Objekte haben Objekte lschen Instanzen lschen

Voller Zugriff

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Festlegen von Rechten

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

123

In der folgenden Tabelle werden die Rechte zusammengefasst, die zur Ausfhrung bestimmter Aufgaben fr Zugriffsberechtigungen erforderlich sind. Aufgabe fr Zugriffsberechtigung
Erstellen einer Zugriffsberechtigung

Erforderliche Rechte
Hinzufgerecht fr den Ordner Zugriffsberechtigungen der obersten Ebene Ansichtsrecht fr die Zugriffsberechtigung Ansichtsrecht fr die Zugriffsberechtigung Zugriffsberechtigung fr Sicherheitszuweisung verwenden-Rechte fr die Zugriffsberechtigung Rechte ndern-Recht fr das Objekt oder Sicher Rechte ndern-Recht fr das Objekt und den Prinzipal

Anzeigen genau abgestimmter Rechte in einer Zugriffsberechtigung Zuweisen einer Zugriffsberechtigung zu einem Subjekt, das einem Objekt zugewiesen ist

Hinweis
Benutzern, die ber das Recht Sicher Rechte ndern verfgen und einem Prinzipal eine Zugriffsberechtigung zuweisen mchten, muss dieselbe Zugriffsberechtigung zugewiesen sein. ndern einer Zugriffsberechtigung

Ansichts- und Bearbeitungsrecht fr die Zugriffsberechtigung Ansichts- und Lschrecht fr die Zugriffsberechtigung Ansichtsrecht fr die Zugriffsberechtigung Kopierrecht fr die Zugriffsberechtigung Hinzufgerecht fr den Ordner Zugriffsberechtigungen der obersten Ebene

Lschen einer Zugriffsberechtigung Klonen einer Zugriffsberechtigung

6.3.1 Auswhlen zwischen den Zugriffsberechtigungen Ansicht und Ansicht auf Abruf
Bei der Berichterstellung ber das Web ist die Wahl zwischen Live- oder gespeicherten Daten eine der wichtigsten Entscheidungen, die Sie treffen werden. Unabhngig von Ihrer Wahl zeigt BI-Plattform jedoch die erste Seite immer so schnell wie mglich an, damit Sie den Bericht bereits sehen knnen, whrend die restlichen Daten noch verarbeitet werden. In diesem Abschnitt wird der Unterschied zwischen zwei vordefinierten Zugriffsberechtigungen erlutert, unter denen Sie auswhlen knnen.

Ansicht auf Abruf (Zugriffsberechtigung)


Mit der Berichterstellung auf Abruf knnen Benutzer in Echtzeit auf Live-Daten zugreifen, die direkt vom Datenbankserver abgerufen werden. Verwenden Sie Live-Daten, um Benutzer ber sich konstant ndernde Informationen auf dem Laufenden zu halten, damit sie Zugang zu Informationen erhalten, die bis auf die Sekunde genau sind. Wenn beispielsweise die Manager eines groen Vertriebszentrums regelmig ausgelieferte

124

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Festlegen von Rechten

Bestnde nachverfolgen mssen, dann erhalten sie die bentigten Informationen am besten durch live erstellte Berichte. Bevor Sie Live-Daten fr alle Berichte bereitstellen, sollten Sie jedoch zuerst berlegen, ob der stndige Zugriff auf den Datenbankserver durch die Benutzer wirklich in Ihrem Sinne ist. Wenn sich Daten nicht schnell oder nicht stndig ndern, dann fhren all diese Anfragen an die Datenbank nur zu erhhtem Netzwerkverkehr und strkerer Auslastung von Serverressourcen. In solchen Fllen sollten Sie Berichte wiederholt zeitgesteuert verarbeiten, damit Benutzer immer aktuelle Daten (Berichtsinstanzen) einsehen knnen, ohne auf den Datenbankserver zuzugreifen. Benutzer bentigen das Zugriffsrecht Ansicht auf Abruf, um Berichte anhand der Datenbank zu regenerieren.

Ansicht (Zugriffsberechtigung)
Um den Netzwerkdatenverkehr und die bei den Datenbankservern eingehenden Abfragen zu reduzieren, knnen Sie Berichte zeitgesteuert verarbeiten lassen. Nachdem der Bericht ausgefhrt wurde, knnen Benutzer die Berichtsinstanzen bei Bedarf anzeigen, ohne dass zustzliche Datenbankabfragen ausgefhrt werden mssen. Berichtsinstanzen eignen sich fr den Umgang mit Informationen, die nicht stndig aktualisiert werden. Wenn die Benutzer Berichtsinstanzen durchlesen und sich Einzelheiten in Spalten oder Diagrammen genauer anzeigen lassen, brauchen sie dazu nicht auf den Datenbankserver direkt zugreifen. Es reicht, wenn sie dazu auf die gespeicherten Daten zugreifen. Berichte mit gespeicherten Daten reduzieren dementsprechend nicht nur die Menge der im Netzwerk bertragenen Daten, sondern verringern auch die Belastung des Datenbankservers. Wenn Ihre Vertriebsdatenbank beispielsweise einmal tglich aktualisiert wird, knnen Sie den Bericht nach einem hnlichen Zeitplan ausfhren. Die Verkufer haben somit stets Zugang zu den aktuellen Verkaufszahlen, ohne die Datenbank bei jedem ffnen eines Berichts abzufragen. Benutzer bentigen nur das Zugriffsrecht Ansicht, um Berichtsinstanzen anzuzeigen.

6.3.2

Kopieren von vorhandenen Zugriffsberechtigungen

Dies ist die beste Mglichkeit zum Erstellen einer Zugriffsberechtigung, wenn Sie eine Zugriffsberechtigung bentigen, die sich geringfgig von einer der vorhandenen Zugriffsberechtigungen unterscheidet. 1. 2. Wechseln Sie zum Bereich Zugriffsberechtigungen. Whlen Sie im Detailbereich eine Zugriffsberechtigung aus.

Tipp
Whlen Sie eine Zugriffsberechtigung aus, die hnliche Rechte wie diejenigen enthlt, die Sie fr Ihre Zugriffsberechtigung festlegen mchten. 3. Klicken Sie auf Organisieren Kopieren . Eine Kopie der ausgewhlten Zugriffsberechtigung wird im Detailbereich angezeigt.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Festlegen von Rechten

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

125

6.3.3

Erstellen von Zugriffsberechtigungen

Dies ist die beste Mglichkeit zum Erstellen einer Zugriffsberechtigung, wenn Sie eine Zugriffsberechtigung bentigen, die sich deutlich von einer der vorhandenen Zugriffsberechtigungen unterscheidet. 1. 2. 3. Wechseln Sie zum Bereich Zugriffsberechtigungen. Klicken Sie auf Verwalten Neu Zugriffsberechtigung erstellen . Das Dialogfeld Neue Zugriffsberechtigung erstellen wird angezeigt. Geben Sie Titel und Beschreibung fr die neue Zugriffsberechtigung ein, und klicken Sie dann auf OK. Sie kehren zum Bereich Zugriffsberechtigungen zurck, und die neue Zugriffsberechtigung wird im Detailbereich angezeigt.

6.3.4
1. 2. 3.

Umbenennen von Zugriffsberechtigungen

Whlen Sie im Bereich Zugriffsberechtigungen im Detailbereich die Zugriffsberechtigung aus, die Sie umbenennen mchten. Klicken Sie auf Verwalten Eigenschaften . Das Dialogfeld Eigenschaften wird angezeigt. Geben Sie im Feld Titel einen neuen Namen fr die Zugriffsberechtigung ein, und klicken Sie dann auf Speichern und schlieen. Sie kehren zum Bereich Zugriffsberechtigungen zurck.

6.3.5
1. 2.

So lschen Sie eine Zugriffsberechtigung

Whlen Sie im Bereich Zugriffsberechtigungen im Detailbereich die Zugriffsberechtigung aus, die Sie lschen mchten. Klicken Sie auf Verwalten Zugriffsberechtigung lschen .

Hinweis
Vordefinierte Zugriffsberechtigungen knnen nicht gelscht werden. Es wird ein Dialogfeld mit Informationen ber die Objekte angezeigt, auf die sich diese Zugriffsberechtigung auswirkt. Wenn Sie die Zugriffsberechtigung nicht lschen mchten, klicken Sie auf Abbrechen, um das Dialogfeld zu schlieen. 3. Klicken Sie auf Lschen. Die Zugriffsberechtigung wird gelscht, und Sie kehren zum Bereich Zugriffsberechtigungen zurck.

126

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Festlegen von Rechten

6.3.6

So ndern Sie Rechte in einer Zugriffsberechtigung

Um Rechte fr eine Zugriffsberechtigung festzulegen, legen Sie zunchst allgemeine globale Rechte fest, die sich unabhngig vom Typ auf alle Objekte auswirken. Anschlieend geben Sie an, wann die allgemeinen Einstellungen basierend auf dem jeweiligen Objekttyp berschrieben werden sollen. 1. 2. 3. Whlen Sie im Bereich Zugriffsberechtigungen im Detailbereich die Zugriffsberechtigung aus, fr die Rechte gendert werden sollen. Klicken Sie auf Aktionen Enthaltene Rechte . Das Dialogfeld Enthaltene Rechte wird angezeigt und enthlt eine Liste der effektiven Rechte. Klicken Sie auf Rechte hinzufgen/entfernen.

Das Dialogfeld Enthaltene Rechte zeigt die Zusammenstellung von Rechten fr die Zugriffsberechtigung in der Navigationsliste an. Der Bereich Allgemeine globale Rechte ist standardmig erweitert. 4. Legen Sie die allgemeinen globalen Rechte fest. Die einzelnen Rechte knnen den Status Gewhrt, Verweigert oder Nicht angegeben haben. Sie knnen auerdem auswhlen, ob das Recht nur auf das Objekt, nur auf Unterobjekte oder beides angewendet werden soll. 5. Um typspezifische Rechte fr die Zugriffsberechtigung festzulegen, klicken Sie in der Navigationsliste auf die Zusammenstellung von Rechten und dann auf die untergeordnete Zusammenstellung, die sich auf den Objekttyp bezieht, fr den Sie Rechte festlegen mchten. Wenn Sie fertig sind, klicken Sie auf OK. Sie kehren zur Liste der effektiven Rechte zurck.

6.

Zugehrige Links Verwalten von Sicherheitseinstellungen fr Objekte in der CMC [Seite 117] Typspezifische Rechte [Seite 115]

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Festlegen von Rechten

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

127

6.3.7 Verfolgen der Beziehung zwischen Zugriffsberechtigungen und Objekten


Bevor Sie eine Zugriffsberechtigung ndern oder lschen, sollten Sie sicherstellen, dass keine der an der Zugriffsberechtigung vorgenommenen nderungen sich negativ auf Objekte in der CMC auswirkt. Zu diesem Zweck knnen Sie eine Beziehungsabfrage fr die Zugriffsberechtigung ausfhren. Beziehungsabfragen sind hilfreich zur Verwaltung von Rechten, da ber sie Objekte, auf die sich eine Zugriffsberechtigung auswirkt, an einem zentralen Ort anzeigt werden knnen. Stellen Sie sich eine Situation vor, in der ein Unternehmen seine Organisation umstrukturiert und aus den Abteilungen A und B die Abteilung C wird. Der Administrator entschliet sich, die Zugriffsberechtigungen fr Abteilung A und B zu lschen, da diese Abteilungen nicht mehr existieren. Der Administrator fhrt vor dem Lschen Beziehungsabfragen fr beide Zugriffsberechtigungen aus. Im Bereich Abfrageergebnisse kann der Administrator die Objekte anzeigen lassen, die betroffen sind, wenn der Administrator die Zugriffsberechtigungen lscht. Im Detailbereich wird dem Administrator auerdem der Speicherort der Objekte in der CMC angezeigt, wenn die Objektrechte vor dem Lschen der Zugriffsberechtigungen gendert werden mssen.

Hinweis
Um die Liste der betroffenen Objekte anzuzeigen, bentigen Sie Ansichtsrechte fr diese Objekte.

Hinweis
Ergebnisse von Beziehungsabfragen fr eine Zugriffsberechtigung geben nur Objekte zurck, fr die die Zugriffsberechtigung explizit zugewiesen wurde. Wenn ein Objekt eine Zugriffsberechtigung aufgrund von bernahmeeinstellungen verwendet, wird das Objekt nicht in den Abfrageergebnissen angezeigt.

6.3.8 Standortbergreifende Verwaltung von Zugriffsberechtigungen


Zugriffsberechtigungen gehren zu den Objekten, die Sie von einer ursprnglichen Website zu Zielwebsites replizieren knnen. Sie haben die Mglichkeit, Zugriffsberechtigungen zu replizieren, wenn sie in der Zugriffskontrollliste eines Replikationsobjekts angezeigt werden. Wenn einem Prinzipal beispielsweise Zugriffsberechtigung A fr einen Crystal-Reports-Bericht gewhrt wird und der Crystal-Reports-Bericht standortbergreifend repliziert wird, wird auch Zugriffsberechtigung A repliziert.

Hinweis
Wenn eine Zugriffsberechtigung mit demselben Namen in der Zielwebsite vorhanden ist, schlgt die Replikation der Zugriffsberechtigung fehl. Eine der Zugriffsberechtigungen muss vor der Replikation von Ihnen oder dem Administrator der Zielwebsite umbenannt werden. Nachdem Sie eine Zugriffsberechtigung standortbergreifend repliziert haben, sollten Sie die berlegungen zur Verwaltung bercksichtigen.

128

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Festlegen von Rechten

ndern replizierter Zugriffsberechtigungen in der ursprnglichen Website


Wenn eine replizierte Zugriffsberechtigung in der ursprnglichen Website gendert wird, wird die Zugriffsberechtigung in der Zielwebsite aktualisiert, wenn die Replikation das nchste Mal zeitgesteuert ausgefhrt wird. Wenn Sie bei Szenarios mit beidseitiger Replikation eine replizierte Zugriffsberechtigung in der Zielwebsite ndern, ndert sich die Zugriffsberechtigung in der ursprnglichen Website.

Hinweis
Stellen Sie sicher, dass sich nderungen an einer Zugriffsberechtigung auf einer Website nicht negativ auf Objekte anderer Websites auswirken. Bevor Sie nderungen vornehmen, sollten Sie sich mit den Administratoren der Sites beratschlagen und ihnen empfehlen, Beziehungsabfragen fr die replizierte Zugriffsberechtigung auszufhren.

ndern replizierter Zugriffsberechtigungen in der Zielwebsite


Hinweis
Dies gilt nur fr die einseitige Replikation. nderungen an replizierten Zugriffsberechtigungen, die in einer Zielwebsite vorgenommen wurden, werden nicht in der ursprnglichen Website reflektiert. Der Administrator einer Zielwebsite kann beispielsweise das Recht zur zeitgesteuerten Verarbeitung von Crystal-Reports-Berichten in der replizierten Zugriffsberechtigung gewhren, auch wenn dieses Recht in der ursprnglichen Website verweigert wurde. Obwohl die Namen von Zugriffsberechtigung und repliziertem Objekt unverndert bleiben, knnen die effektiven Rechte, die Prinzipale fr Objekte haben, folglich von Zielwebsite zu Zielwebsite variieren. Wenn sich die replizierte Zugriffsberechtigung zwischen der ursprnglichen Website und der Zielwebsite unterscheidet, wird der Unterschied in Bezug auf effektive Rechte ermittelt, wenn ein Replikationsauftrag das nchste Mal zeitgesteuert verarbeitet wird. Sie knnen erzwingen, dass die Zugriffsberechtigung der Zielwebsite von der Zugriffsberechtigung der ursprnglichen Website berschrieben wird oder die Zugriffsberechtigung der Zielwebsite intakt lassen. Wenn Sie jedoch nicht erzwingen, dass die Zugriffsberechtigung der Zielwebsite von der Zielberechtigung der ursprnglichen Website berschrieben wird, werden smtliche fr die Replikation ausstehenden Objekte, die diese Zugriffsberechtigung verwenden, nicht repliziert. Um Benutzer davon abzuhalten, replizierte Zugriffsberechtigungen in der Zielwebsite zu ndern, knnen Sie der Zugriffsberechtigung Benutzer der Zielwebsite als Prinzipale hinzufgen und diesen Benutzern nur Ansichtsrechte gewhren. Dies bedeutet, dass Benutzer der Zielwebsite die Zugriffsberechtigung zwar anzeigen, aber deren Rechteeinstellungen weder ndern noch anderen Benutzern zuweisen knnen. Zugehrige Links Fderation [Seite 676] Verfolgen der Beziehung zwischen Zugriffsberechtigungen und Objekten [Seite 128]

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Festlegen von Rechten

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

129

6.4

Auflsen der bernahme

Anhand der bernahme knnen Sie Ihre Sicherheitseinstellungen verwalten, ohne Rechte fr die einzelnen Objekte festzulegen. In einigen Fllen mchten Sie jedoch vielleicht verhindern, dass Rechte bernommen werden. Sie knnen beispielsweise Rechte fr jedes Objekt anpassen. Sie knnen die bernahme fr einen Prinzipal in der objekteigenen Zugriffskontrollliste deaktivieren. In diesem Fall knnen Sie auswhlen, ob die Gruppenbernahme, Ordnerbernahme oder beides deaktiviert werden soll.

Hinweis
Wenn die bernahme aufgelst wird, wirkt sich dies auf alle Rechte aus. Die bernahme kann also nicht fr einige Rechte aufgelst werden, whrend andere Rechte in Kraft bleiben. Im Diagramm Auflsen der bernahme ist die Gruppen- und Ordnerbernahme anfnglich aktiviert. Der rote Benutzer bernimmt die Rechte 1 und 5 als "gewhrt", die Rechte 2, 3 und 4 als "nicht angegeben" und das Recht 6 als "explizit verweigert". Diese auf Ordnerebene fr die Gruppe festgelegten Rechte haben zur Folge, dass der rote Benutzer und alle weiteren Gruppenmitglieder diese Rechte an den Ordnerobjekten A und B besitzen. Wenn die bernahme auf Ordnerebene aufgelst wird, werden die Objektrechte des roten Benutzers in diesem Ordner aufgehoben, bis dem Benutzer von einem Administrator neue Rechte zugewiesen werden.

130

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Festlegen von Rechten

Abbildung 9: Auflsen der bernahme

6.4.1

So deaktivieren Sie die bernahme

ber dieses Verfahren knnen Sie die Gruppen- oder Ordnerbernahme bzw. beides fr einen Prinzipal in der Zugriffskontrolliste eines Objekts deaktivieren. 1. 2. 3. Whlen Sie das Objekt aus, fr das Sie die bernahme deaktivieren mchten. Klicken Sie auf Verwalten Benutzersicherheit . Das Dialogfeld Benutzersicherheit wird angezeigt. Whlen Sie den Prinzipal, fr den Sie die bernahme deaktivieren mchten, und klicken Sie auf Sicherheit zuweisen. Das Dialogfeld Sicherheit zuweisen wird angezeigt. Konfigurieren Sie die bernahmeeinstellungen. Wenn Sie die Gruppenbernahme (die Rechte, die der Prinzipal von der Gruppenmitgliedschaft bernimmt) deaktivieren mchten, deaktivieren Sie das Kontrollkstchen Von bergeordneter Gruppe bernehmen. Wenn Sie die Gruppenbernahme (die Rechteeinstellungen, die das der Prinzipal vom Ordner bernimmt) deaktivieren mchten, deaktivieren Sie das Kontrollkstchen Vom bergeordneten Ordner bernehmen.

4.

5.

Klicken Sie auf OK.

6.5

Delegieren der Administration mithilfe von Rechten

Rechte bieten nicht nur die Mglichkeit, den Zugriff auf Objekte und Einstellungen zu steuern, sondern knnen auch verwendet werden, um administrative Aufgaben auf Funktionsgruppen innerhalb Ihres Unternehmens zu verteilen. Beispielsweise knnen Sie veranlassen, dass die verschiedenen Abteilungen ihre Benutzer und Gruppen selbst verwalten. Sie knnten aber auch einem Administrator die globale Verwaltung der BI-Plattform bertragen, die Verwaltung aller Server aber an die Mitarbeiter der IT-Abteilung delegieren. Angenommen, Ihre Gruppen- und Ordnerstruktur wurden unter Bercksichtigung der Sicherheitsstruktur aufgestellt, die fr die delegierte Administration festgelegt wurde: In diesem Fall sollten Sie Ihrem delegierten

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Festlegen von Rechten

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

131

Administrator zwar Rechte fr vollstndige Benutzergruppen gewhren, diese aber gleichzeitig soweit einschrnken, dass er niemals smtliche Rechte fr die von ihm betreuten Benutzer erhlt. Beispielsweise knnen Sie verhindern, dass der delegierte Administrator Benutzerattribute bearbeiten oder anderen Gruppen zuweisen kann.

Hinweis
Objektmigrationen werden am besten von Mitgliedern der Administratorgruppe, insbesondere dem Administratorbenutzerkonto durchgefhrt. Um ein Objekt zu migrieren, mssen verschiedene zugehrige Objekte u.U. ebenfalls migriert werden. Der Erwerb der erforderlichen Sicherheitsberechtigungen fr smtliche Objekte ist fr ein delegiertes Administratorkonto eventuell nicht mglich. In der Tabelle Rechte fr delegierte Administratoren sind die Rechte zusammengefasst, die delegierte Administratoren zum Ausfhren allgemeiner Aktionen bentigen. Tabelle 8: Rechte fr delegierte Administratoren Aktion des delegierten Administrators Erstellen neuer Benutzer Vom delegierten Administrator bentigte Rechte Hinzufgerecht fr den Ordner Benutzer der obersten Ebene Hinzufgerecht fr den Ordner Benutzergruppen der obersten Ebene Lschrecht fr die betreffenden Gruppen

Erstellen neuer Gruppen

Lschen betreuter Gruppen sowie einzelner Benutzer in diesen Gruppen Lschen nur der vom delegierten Administrator erstellten Benutzer Lschen nur der vom delegierten Administrator erstellten Benutzer und Gruppen Bearbeiten nur der vom delegierten Administrator erstellten Benutzer (einschlielich Hinzufgen dieser Benutzer zu Gruppen) Bearbeiten nur der vom delegierten Administrator erstellten Gruppen (einschlielich Hinzufgen von Benutzern zu diesen Gruppen) ndern der Kennwrter fr Benutzer in den vom Administrator betreuten Gruppen ndern der Kennwrter nur der vom delegierten Administrator erstellten Subjekte

Objekte des Benutzers lschen-Recht fr den Ordner Benutzer der obersten Ebene Objekte des Benutzers lschen-Recht fr den Ordner Benutzergruppen der obersten Ebene Objekte des Benutzers bearbeiten- und Sicher Rechte ndern, die Benutzer fr eigene Objekte haben-Recht fr den Ordner Benutzer der obersten Ebene Objekte des Benutzers bearbeiten- und Sicher Rechte ndern, die Benutzer fr eigene Objekte haben-Recht fr den Ordner Benutzergruppen der obersten Ebene Kennwort bearbeiten-Recht fr die betreffenden Gruppen Benutzerkennwort im Besitz des Benutzers ndernRecht fr den Ordner Benutzer der obersten Ebene oder betreffende Gruppen

132

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Festlegen von Rechten

Aktion des delegierten Administrators

Vom delegierten Administrator bentigte Rechte

Hinweis
Das Recht Benutzerkennwort im Besitz des Benutzers ndern fr eine Gruppe hat nur Auswirkungen auf einen einzelnen Benutzer, wenn Sie den Benutzer der jeweiligen Gruppe hinzufgen.

ndern von Benutzernamen, Beschreibungen und sonstigen Attributen sowie Neuzuweisen von Benutzern zu anderen Gruppen

Bearbeitungsrecht fr die betreffenden Gruppen

ndern von Benutzernamen, Beschreibungen und Objekte des Benutzers bearbeiten-Recht fr den sonstigen Attributen sowie Neuzuweisen von Ordner Benutzer der obersten Ebene oder betreffende Benutzern zu anderen Gruppen, jedoch nur fr die vom Gruppen delegierten Administrator erstellten Benutzer

Hinweis
Das Recht Objekte des Benutzers bearbeiten fr die betreffenden Gruppen hat nur Auswirkungen auf einen einzelnen Benutzer, wenn Sie den Benutzer der jeweiligen Gruppe hinzufgen.

6.5.1 Welche der beiden Optionen Rechte von Benutzern fr Objekte ndern sollte verwendet werden?
Wenn Sie die delegierte Administration einrichten, sollten Sie Ihrem delegierten Administrator Rechte fr die von ihm betreuten Subjekte gewhren. Obwohl Sie ihm smtliche Rechte (Voller Zugriff) gewhren knnen, empfiehlt es sich, das Recht Rechte ndern auf der Seite "Erweiterte Einstellungen" zu verweigern und dem delegierten Administrator stattdessen das Recht Sicher Rechte ndern einzurumen. Sie knnen Ihrem Administrator anstelle des Rechts Einstellungen fr die bernahme von Rechten ndern auch das Recht Einstellungen fr die bernahme von Rechten sicher ndern gewhren. Die Unterschiede zwischen diesen Rechten sind nachfolgend zusammengefasst.

Rechte von Benutzern fr Objekte ndern


Mit diesem Recht kann ein Benutzer alle Rechte jedes Benutzers fr das jeweilige Objekt ndern. Wenn Benutzer A beispielsweise die Rechte Objekte anzeigen und Rechte von Benutzern fr Objekte ndern fr ein Objekt besitzt, kann Benutzer A die Rechte fr das Objekt so ndern, dass er oder beliebige andere Benutzer vollen Zugriff auf dieses Objekt erhalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Festlegen von Rechten

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

133

Sicher Rechte ndern, die Benutzer fr Objekte haben


Mit diesem Recht kann ein Benutzer nur Berechtigungen gewhren, verweigern oder zurcksetzen, die ihm selbst bereits eingerumt wurden. Wenn Benutzer A beispielsweise die Rechte Anzeigen und Sicher Rechte ndern, die Benutzer fr Objekte haben besitzt, kann Benutzer A sich selbst keine weiteren Rechte gewhren und anderen Benutzern ausschlielich diese beiden Rechte (zum Anzeigen und sicheren ndern von Rechten) gewhren oder verweigern. Auerdem kann Benutzer A bei anderen Benutzern nur die Rechte fr Objekte ndern, fr die ihm das Recht Sicher Rechte ndern, die Benutzer fr Objekte haben gewhrt wurde. Alle folgenden Bedingungen mssen erfllt sein, damit Benutzer A die Rechte fr Benutzer B an Objekt O ndern kann: Benutzer A verfgt ber das Recht Sicher Rechte ndern, die Benutzer fr Objekte haben fr Objekt O. Jedes Recht oder jede Zugriffsberechtigung, das bzw. die Benutzer A fr Benutzer B ndert, wurde A gewhrt. Benutzer A verfgt ber das Recht Sicher Rechte ndern, die Benutzer fr Objekte haben fr Benutzer B. Falls eine Zugriffsberechtigung zugewiesen wurde, verfgt Benutzer A ber das Recht Zugriffsberechtigung zuweisen fr die Zugriffsberechtigung, die fr Benutzer B gendert wird.

Durch den Gltigkeitsbereich von Rechten knnen die effektiven Rechte, die ein delegierter Administrator zuweisen kann, weiter beschrnkt werden. Ein delegierter Administrator kann ber die Rechte Sicher Rechte ndern und Bearbeiten fr einen Ordner verfgen, der Gltigkeitsbereich dieser Rechte ist jedoch nur auf den Ordner beschrnkt und umfasst nicht dessen Unterobjekte. Der delegierte Administrator kann das Recht Bearbeiten tatschlich nur fr den Ordner (nicht aber fr dessen Unterobjekte) und ausschlielich mit dem Gltigkeitsbereich Auf Objekt anwenden gewhren. Wenn dem delegierten Administrator das Recht Bearbeiten fr einen Ordner ausschlielich mit dem Gltigkeitsbereich Auf Unterobjekt anwenden gewhrt wird, kann er anderen Prinzipalen andererseits das Recht Bearbeiten mit beiden Gltigkeitsbereichen fr die Unterobjekte des Ordners gewhren, fr den Ordner selbst kann er jedoch nur das Recht Bearbeiten mit dem Gltigkeitsbereich Auf Unterobjekt anwenden gewhren. Darber hinaus wird verhindert, dass der delegierte Administrator Rechte dieser Gruppen fr andere Prinzipale ndert, fr die ihm nicht das Recht Sicher Rechte ndern gewhrt wurde. Dies ist beispielsweise hilfreich, wenn zwei delegierte Administratoren dafr verantwortlich sind, unterschiedlichen Benutzergruppen Rechte fr denselben Ordner zu gewhren, ein delegierter Administrator jedoch nicht in der Lage sein soll, Zugriff auf die Gruppen zu verweigern, die vom anderen delegierten Administrator berwacht werden. Dieses Risiko lsst sich mit dem Recht Sicher Rechte ndern, die Benutzer fr Objekte haben ausschlieen, da delegierte Administratoren sich das Recht zum sicheren ndern von Rechten in der Regel nicht gegenseitig gewhren.

Einstellungen fr die bernahme von Rechten sicher ndern


Dieses Recht ermglicht es einem delegierten Administrator, bernahmeeinstellungen fr andere Prinzipale zu ndern, die den Objekten zugewiesen sind, auf die der delegierte Administrator Zugriff hat. Um die bernahmeeinstellungen anderer Prinzipale erfolgreich zu ndern, muss ein delegierter Administrator ber dieses Recht fr das Objekt und fr die Benutzerkonten der Prinzipale verfgen.

134

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Festlegen von Rechten

6.5.2

Eigentmerrechte

Hierbei handelt es sich um Rechte, die nur fr den Eigentmer des Objekts gelten, fr das Rechte aktiviert werden. In der BI-Plattform entspricht der Eigentmer eines Objekts dem Prinzipal, der ein Objekt erstellt hat. Falls dieser Prinzipal aus dem System gelscht werden sollte, geht das Eigentum wieder auf den Administrator ber. Eigentmerrechte sind hilfreich bei der Verwaltung von eigentmerbasierten Sicherheitseinstellungen. Beispielsweise knnen Sie einen Ordner oder eine Ordnerhierarchie erstellen, in denen verschiedene Benutzer Dokumente erstellen und anzeigen lassen knnen, jedoch darauf beschrnkt sind, nur eigene Dokumente zu ndern oder zu lschen. Darber hinaus sind Eigentmerrechte ntzlich, wenn Benutzer nur berechtigt sein sollen, Instanzen der von Ihnen erstellten Berichte, jedoch keine anderen Instanzen zu ndern. Bei der Zugriffsberechtigung "Zeitgesteuerte Verarbeitung" knnen Benutzer auf diese Weise lediglich eigene Instanzen bearbeiten, lschen, anhalten und erneut zeitgesteuert verarbeiten. Eigentmerrechte funktionieren hnlich wie die entsprechenden regulren Rechte. Eigentmerrechte treten jedoch nur dann in Kraft, wenn dem Prinzipal Eigentmerrechte gewhrt, regulre Rechte aber verweigert bzw. nicht angegeben wurden.

6.6 Zusammenfassung der Empfehlungen zur Verwaltung von Rechten


Bercksichtigen Sie diese berlegungen bei der Verwaltung von Rechten: Verwenden Sie mglichst immer Zugriffsberechtigungen. Mit diesen vordefinierten, kombinierten Rechten lsst sich die Verwaltung vereinfachen, da die mit allgemeinen Benutzeranforderungen verknpften Rechte praktisch gruppiert sind. Legen Sie Rechte und Zugriffsberechtigungen fr Ordner der obersten Ebene fest. Indem Sie die bernahme aktivieren, knnen diese Rechte mit einem minimalen Verwaltungsaufwand innerhalb des Systems an untergeordnete Objekte weitergegeben werden. Vermeiden Sie nach Mglichkeit das Auflsen der bernahme. Dadurch knnen Sie die in der BI-Plattform hinzugefgten Inhalte mit weniger Zeitaufwand sicherer gestalten. Legen Sie geeignete Rechte fr Benutzer und Gruppen auf Ordnerebene fest, und verffentlichen Sie anschlieend Objekte in diesem Ordner. Standardmig bernehmen Benutzer oder Gruppen, die Rechte fr einen Ordner besitzen, dieselben Rechte fr jedes Objekt, das nachfolgend in diesem Ordner verffentlicht wird. Organisieren Sie Benutzer in Benutzergruppen, weisen Sie der gesamten Gruppe und ggf. bestimmten Mitgliedern Zugriffsberechtigungen und Rechte zu. Erstellen Sie einzelne Administratorkonten fr jeden Administrator im System, und fgen Sie sie der Gruppe "Administratoren" hinzu, um die Verantwortlichkeit in Bezug auf Systemnderungen zu verbessern. Der Gruppe "Alle" werden standardmig sehr eingeschrnkte Rechte fr Ordner der obersten Ebene in der BI-Plattform gewhrt. Nach der Installation wird empfohlen, dass Sie die Rechte von Mitgliedern der Gruppe "Alle" berprfen und entsprechende Sicherheitsmerkmale zuweisen.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Festlegen von Rechten

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

135

7
7.1

Sichern der BI-Plattform


berblick zum Thema Sicherheit

In diesem Abschnitt werden die Verfahren erlutert, mit denen die BI-Plattform Probleme der Unternehmenssicherheit angeht, wobei Administratoren und Systemarchitekten Antworten auf typische Fragen in Bezug auf die Sicherheit erhalten. Die Architektur der BI-Plattform geht auf viele der heutigen Sicherheitsbedenken in Unternehmen und Organisationen ein. Die aktuelle Version untersttzt u. a. die folgenden Funktionen: Verteilte Sicherheit, Einzelanmeldung, Ressourcenzugriffssicherheit, granulare Objektrechte sowie Authentifizierung von Drittherstellern, um Schutz vor unbefugtem Zugriff zu bieten. Da die BI-Plattform das Framework fr immer mehr Komponenten der Enterprise-Familie von SAP BusinessObjects-Produkten bereitstellt, enthlt dieser Abschnitt ausfhrliche Informationen zu Sicherheitsfunktionen und der damit verbundenen Funktionalitt, die verdeutlichen, wie das Framework selbst die Sicherheit durchsetzt und aufrechterhlt. In diesem Abschnitt werden keine ausfhrlichen Verfahrensablufe dargestellt. Der Schwerpunkt liegt vielmehr auf konzeptionellen Informationen. Auerdem finden Sie hier Links zu wichtigen Verfahren. Nach einer kurzen Einfhrung in die Sicherheitskonzepte fr das System werden Einzelheiten zu den folgenden Themen erlutert: Verwenden von Sicherheitsmodi fr Verschlsselung und Datenverarbeitung zum Schutz von Daten. Einrichten der Secure Sockets Layer (SSL) fr BI-Plattform-Implementierungen. Richtlinien zum Konfigurieren und Warten von Firewalls fr die BI-Plattform. Konfigurieren von Reverse Proxy-Servern.

7.2

Notfallwiederherstellungsplanung

Zum Schutz der Investitionen Ihrer Organisation in die BI-Plattform mssen bestimmte Schritte ausgefhrt werden, um die maximale Aufrechterhaltung des Geschftsbetriebs im Notfall zu gewhrleisten. Dieser Abschnitt enthlt Richtlinien zur Erstellung eines Notfallwiederherstellungsplans fr Ihre Organisation.

Allgemeine Richtlinien
Durchfhren regelmiger Sicherungen und ggf. Senden von Kopien einer Reihe von Sicherungsmedien an externe Stellen. Sichere Speicherung smtlicher Softwaremedien. Sichere Speicherung smtlicher Lizenzdokumentation.

136

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

Spezifische Richtlinien
Drei Systemressourcen bedrfen besonderer Aufmerksamkeit hinsichtlich der Notfallwiederherstellungsplanung: Inhalte der File Repository Server: Dazu gehren proprietre Inhalte, z.B. Berichte. Diese Inhalte sollten regelmig gesichert werden. Im Falle eines Notfalls besteht keine Mglichkeit zum Regnerieren solcher Inhalte ohne einen regelmigen Sicherungsprozess. Die von der CMS-Datei verwendete Systemdatenbank. Diese Ressource enthlt smtliche wichtigen Metadaten fr Ihre Implementierung, z.B. Benutzerdaten, Berichte und andere sensible Daten, die spezifisch fr Ihre Organisation sind. Schlsseldatei mit den Datenbankinformationen (.dbinfo file): Diese Ressource enthlt den Masterschlssel fr die Systemdatenbank. Falls dieser Schlssel aus irgendeinem Grund nicht verfgbar ist, knnen Sie nicht auf die Systemdatenbank zugreifen. Nach der Implementierung der BI-Plattform sollten Sie Ihr Kennwort fr diese Ressource an einem sicheren oder bekannten Ort aufbewahren. Ohne dieses Kennwort knnen Sie die Datei nicht regenerieren und verlieren damit den Zugriff auf die Systemdatenbank.

7.3 Allgemeine Empfehlungen zur Sicherung der Implementierung


Im Folgenden sind Empfehlungen zur Sicherung der BI-Plattform-Implementierungen aufgefhrt. Schtzen Sie die Kommunikation zwischen dem CMS und anderen Systemkomponenten mit Firewalls. Verbergen Sie nach Mglichkeit den CMS immer hinter der Firewall. Sorgen Sie zumindest dafr, dass sich die Systemdatenbank sicher hinter der Firewall befindet. Sichern Sie die File Repository Server mit zustzlicher Verschlsselung. Sobald das System in Betrieb ist, werden proprietre Inhalte auf diesen Servern gespeichert. Fgen Sie zustzliche Verschlsselung ber das Betriebssystem oder ein Drittherstellertool hinzu.

Hinweis
SFTP wird von der BI-Plattform nicht untersttzt. Falls Sie SFTP-Funktionalitt bentigen, konsultieren Sie den SAP-Hinweis 1556571, oder ziehen Sie eine Lsung eines SAP-Partners in Betracht. Implementieren Sie einen Reverse Proxy-Server vor den Webanwendungsservern, um sie hinter einer einzigen IP-Adresse zu verbergen. In dieser Konfiguration wird der gesamte an private Webanwendungsserver gerichtete Internet-Datenverkehr ber den Reverse Proxy-Server geroutet, whrend die privaten IP-Adressen unerkannt bleiben. Sorgen Sie fr die strikte Einhaltung von unternehmensinternen Kennwortrichtlinien. Stellen Sie sicher, dass Benutzerkennwrter regelmig gendert werden. Wenn Sie die mit der BI-Plattform gelieferte Systemdatenbank und den Webanwendungsserver installiert haben, sollten Sie mithilfe der entsprechenden Dokumentation sicherstellen, dass diese Komponenten mit angemessenen Sicherheitskonfigurationen implementiert wurden. Die Plattform enthlt Apache Tomcat als Standard-Webanwendungsserver. Wenn Sie diesen Server verwenden mchten, sollten Sie auf der Apache-Website regelmig nach Sicherheits-Updates suchen. In einigen Fllen mssen Sie Ihre Tomcat-Version u.U. manuell aktualisieren, um sicherzustellen, dass die aktuellen Sicherheits-Updates installiert werden. Informationen zur Ausfhrung des Webanwendungsservers finden Sie in den Apache-Tomcat-Sicherheitsempfehlungen.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

137

Verwenden Sie das SSL-Protokoll (Secure Sockets Layer) fr die gesamte Netzwerkkommunikation zwischen Clients und Servern in der Implementierung. Stellen Sie sicher, dass das Installationsverzeichnis und die Unterverzeichnisse der Plattform gesichert sind. In diesen Verzeichnissen knnen whrend des Systembetriebs sensible temporre Daten abgelegt werden. Der Zugriff auf die Central Management Console (CMC) sollte nur lokal erfolgen drfen. Informationen zu Implementierungsoptionen fr die CMC finden Sie im Handbuch fr die Implementierung von Webanwendungen fr SAP BusinessObjects Business Intelligence.

Zugehrige Links Konfigurieren des SSL-Protokolls [Seite 158] Kennworteinschrnkungen [Seite 142] Konfigurieren der Sicherheit fr Dritthersteller-Serverpakete [Seite 138]

7.4 Konfigurieren der Sicherheit fr DrittherstellerServerpakete


Falls Sie sich fr die Installation von Fremdhersteller-Servern entschieden haben, die mit der BI-Plattform gebndelt werden, sollten Sie Zugriff auf die Dokumentation fr folgende Komponentenpakete haben und diese durchsehen: Microsoft SQL Server 2008 Express Edition : Einzelheiten zur Sicherung dieser Systemdatenbank fr Windows-Plattformen finden Sie unter http://msdn.microsoft.com/en-us/library/bb283235%28v=sql. 100%29.aspx. IBM DB2 Workgroup Edition : Einzelheiten zur Sicherung dieser Systemdatenbank fr UNIX-Plattformen finden Sie unter http://publib.boulder.ibm.com/infocenter/db2luw/v9r7/topic/ com.ibm.db2.luw.container.doc/doc/c0052964.html. Apache Tomcat 6.0 : Einzelheiten zur Sicherheit dieses Webanwendungsservers finden Sie unter http:// tomcat.apache.org/tomcat-6.0-doc/index.html.

7.5

Aktive Vertrauensstellung

In einem Netzwerk ist eine Vertrauensstellung zwischen zwei Domnen normalerweise eine Verbindung, mit der eine Domne eindeutig Benutzer erkennen kann, die von der anderen Domne authentifiziert wurden. Die Vertrauensstellung erhlt die Sicherheit, ermglicht es jedoch den Benutzern, auf Ressourcen in mehreren Domnen zuzugreifen, ohne wiederholt die Anmeldedaten eingeben zu mssen. In der BI-Plattform-Umgebung funktioniert die aktive Vertrauensstellung hnlich und gibt jedem Benutzer nahtlosen Zugriff auf alle im System vorhandenen Ressourcen. Wenn der Benutzer authentifiziert und ihm eine aktive Sitzung gewhrt wurde, knnen alle anderen BI-Plattform-Komponenten die Anforderungen und Vorgnge des Benutzers ohne weitere Eingabe der Benutzerinformationen verarbeiten. In diesem Sinne stellt die aktive Vertrauensstellung die Grundlage fr die verteilte Sicherheit in der BI-Plattform dar.

138

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

7.5.1

Anmeldetoken

Ein Anmeldetoken ist eine verschlsselte Zeichenfolge, die die eigenen Nutzungsattribute definiert und die Sitzungsinformationen des Benutzers enthlt. Die Nutzungsattribute des Anmeldetokens werden beim Erstellen des Anmeldetokens angegeben. Mit diesen Attributen knnen dem Anmeldetoken Beschrnkungen zugewiesen werden, um die Chance zu verringern, dass das Anmeldetoken von unberechtigten Benutzern verwendet wird. Die aktuellen Nutzungsattribute des Anmeldetokens lauten: Anzahl der Minuten Dieses Attribut schrnkt die Nutzungsdauer des Anmeldetokens ein. Anzahl der Anmeldungen Dieses Attribut schrnkt ein, wie oft das Anmeldetoken fr eine Anmeldung bei der BI-Plattform verwendet werden kann.

Beide Attribute verhindern, dass Benutzer in bswilliger Absicht mit Anmeldetoken legitimer Benutzer unbefugten Zugriff auf die BI-Plattform erlangen.

Hinweis
Ein Anmeldetoken in einem Cookie zu speichern stellt ein potenzielles Sicherheitsrisiko dar, wenn das Netzwerk zwischen Browser und Anwendungs- oder Webserver nicht sicher ist, beispielsweise, wenn die Verbindung ber ein ffentliches Netzwerk hergestellt und weder SSL noch die vertrauenswrdige Authentifizierung verwendet wird. Es empfiehlt sich, Secure Sockets Layer (SSL) zu verwenden, um Sicherheitsrisiken zwischen dem Browser und Anwendungs- bzw. Webserver zu vermeiden. Wenn das Anmeldecookie deaktiviert wurde und der Webserver oder Webbrowser eine Zeitberschreitung verursacht, wird dem Benutzer der Anmeldebildschirm angezeigt. Wenn das Cookie aktiviert ist und der Server oder Browser eine Zeitberschreitung verursacht, wird der Benutzer unverzglich wieder beim System angemeldet. Da Zustandsinformationen jedoch an die Websitzung gebunden sind, geht der Zustand des Benutzers verloren. Beispiel: Wenn der Benutzer eine Navigationsstruktur erweitert und ein bestimmtes Element ausgewhlt hatte, wird die Struktur zurckgesetzt. Im Webclient der BI-Plattform sind Anmeldetoken standardmig aktiviert, fr BI-Launchpad knnen Anmeldetoken jedoch deaktiviert werden. Wenn Sie die Anmeldetoken im Client deaktivieren, ist die Benutzersitzung auf das Zeitlimit des Webservers oder Webbrowsers beschrnkt. Wenn diese Sitzung abluft, muss sich der Benutzer erneut bei der BI-Plattform anmelden.

7.5.2

Ticketverfahren fr verteilte Sicherheit

Enterprise-Systeme fr viele Benutzer erfordern normalerweise eine gewisse verteilte Sicherheit. Ein EnterpriseSystem erfordert z.B. verteilte Sicherheit, um bestimmte Funktionen zu untersttzen, wie den Vertrauenstransfer (eine andere Komponente kann fr den Benutzer handeln). Die BI-Plattform implementiert fr das Bereitstellen verteilter Sicherheit ein Ticketverfahren (das dem KerberosTicketverfahren hnelt). Der CMS gewhrt Tickets, die es Komponenten erlauben, Vorgnge fr einen bestimmten Benutzer auszufhren. In der BI-Plattform wird das Ticket als Anmeldetoken bezeichnet. Das Anmeldetoken wird meistens ber das Web verwendet. Wenn Benutzer zum ersten Mal von der BI-Plattform authentifiziert werden, erhalten sie Anmeldetoken vom CMS. Der Webbrowser des Benutzers speichert dieses

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

139

Anmeldetoken im Cache. Wenn der Benutzer eine neue Anforderung erstellt, knnen andere BI-PlattformKomponenten das Anmeldetoken vom Webbrowser des Benutzers lesen.

7.6

Sitzungen und Sitzungsnachverfolgung

Im Allgemeinen ist eine Sitzung eine Verbindung zwischen Client und Server, ber die Informationen zwischen den beiden Rechnern ausgetauscht werden. Der Zustand einer Sitzung entspricht einer Reihe von Daten, die die Attribute, die Konfiguration oder den Inhalt der Sitzung beschreiben. Wenn Sie eine Verbindung zwischen Client und Server ber das Web herstellen, schrnkt HTTP die Dauer jeder Sitzung auf eine Seite von Informationen ein. Aus diesem Grund speichert der Webbrowser den Zustand jeder Sitzung nur so lange, wie eine Webseite angezeigt wird. Sobald Sie von einer Webseite auf eine andere wechseln, wird der Zustand der ersten Sitzung verworfen und durch den Zustand der nchsten Sitzung ersetzt. Aus diesem Grund mssen Websites und Webanwendungen auf irgendeine Weise den Zustand der Sitzung speichern, wenn sie diese Informationen in einer anderen wiederverwenden mssen. Die BI-Plattform speichert den Sitzungszustand mit zwei gngigen Verfahren: Cookies: Ein Cookie ist eine kleine Textdatei, in der der Sitzungszustand auf der Clientseite gespeichert wird. Der Webbrowser des Benutzers speichert das Cookie fr die sptere Verwendung. Das BI-PlattformAnmeldetoken ist ein Beispiel fr dieses Verfahren. Sitzungsvariablen: Eine Sitzungsvariable ist ein Teil des Arbeitsspeichers, in dem der Sitzungszustand auf der Serverseite gespeichert wird. Wenn die BI-Plattform einem Benutzer eine aktive Identitt im System gewhrt, werden Informationen wie der Authentifizierungstyp des Benutzers in einer Sitzungsvariablen gespeichert. Solange die Sitzung erhalten wird, muss der Benutzer weder ein zweites Mal die Benutzerinformationen eingeben noch Tasks wiederholen, die fr den Abschluss der nchsten Anforderung erforderlich sind. Bei Java-Implementierungen wird die Sitzung zur Verarbeitung von JSP-Anforderungen verwendet. Bei .NETImplementierungen wird die Sitzung zur Verarbeitung von ASPX-Anforderungen verwendet.

Hinweis
Im Idealfall sollte das System die Sitzungsvariable so lange speichern, wie der Benutzer im System aktiv ist. Das System sollte auch fr das Erhalten der Sicherheit und das Verringern der verwendeten Ressourcen die Sitzungsvariable sofort zerstren, wenn der Benutzer nicht mehr mit dem System arbeitet. Da jedoch die Interaktion zwischen einem Webbrowser und einen Webserver zustandslos sein kann, ist es mitunter schwer zu ermitteln, wann Benutzer das System verlassen, wenn sie sich nicht explizit abmelden. Fr dieses Problem ist in der BI-Plattform die Sitzungsnachverfolgung implementiert.

7.6.1

CMS-Sitzungsnachverfolgung

Der CMS implementiert einen einfachen Nachverfolgungsalgorithmus. Wenn sich ein Benutzer anmeldet, wird ihm eine CMS-Sitzung gewhrt, die der CMS speichert, bis sich der Benutzer abmeldet oder bis die Webanwendungsserver-Sitzungsvariable freigegeben wird. Die Webanwendungsserver-Sitzung informiert den CMS in regelmigen Abstnden darber, ob die Sitzung noch aktiv ist. Die CMS-Sitzung wird aus diesem Grund so lange beibehalten, wie die Webanwendungsserver-Sitzung besteht. Wenn die Webanwendungsserver-Sitzung zehn Minuten lang nicht mit dem CMS kommuniziert, wird die

140

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

CMS-Sitzung vom CMS zerstrt. Dies handhabt Situationen, in denen Client-seitige Komponenten nicht ordnungsgem heruntergefahren werden.

7.7

Umgebungsschutz

Umgebungsschutz bezieht sich auf die Sicherheit des allgemeinen Umfelds, in dem Client- und Serverkomponenten kommunizieren. Obwohl das Internet und webbasierte Systeme aufgrund der Flexibilitt und des Funktionsreichtums immer beliebter werden, werden sie in einer Umgebung ausgefhrt, die evtl. schwer zu schtzen ist. Bei der Implementierung der BI-Plattform ist der Umgebungsschutz auf zwei Bereiche der Kommunikation aufgeteilt: Webbrowser mit Webserver und Webserver mit der BI-Plattform.

7.7.1

Webbrowser zu Webserver

Wenn Daten zwischen dem Webbrowser und dem Webserver bertragen werden, ist normalerweise ein gewisses Sicherheitsniveau erforderlich. Relevante Sicherheitsmanahmen bestehen in der Regel aus zwei Schritten: Gewhrleisten, dass die bertragung der Daten sicher ist Gewhrleisten, dass nur autorisierte Benutzer die Informationen vom Webserver abrufen.

Hinweis
Webserver fhren diese Aufgaben normalerweise anhand von verschiedenen Sicherheitsverfahren aus, einschlielich des SSL-Protokolls (Secure Sockets Layer) und anderen hnlichen Verfahren. Es empfiehlt sich, Secure Sockets Layer (SSL) zu verwenden, um Sicherheitsrisiken zwischen dem Browser und Anwendungsbzw. Webserver zu vermeiden. Sie mssen die Kommunikation zwischen dem Webbrowser und dem Webserver unabhngig von der BI-Plattform sichern. Weitere Informationen zum Sichern der Clientverbindungen finden Sie in der Dokumentation des Webservers.

7.7.2

Webserver und die BI-Plattform

Firewalls werden in der Regel zum Sichern der Kommunikation zwischen dem Webserver und dem restlichen Unternehmensintranet (einschlielich der BI-Plattform) verwendet. Die BI-Plattform untersttzt Firewalls, die IPFilterung bzw. statische Netzwerkadressenbersetzung (NAT) verwenden. Zu den untersttzten Umgebungen gehren u.a. mehrere Firewalls, Webserver oder Anwendungsserver.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

141

7.8 Auditieren von nderungen an der Sicherheitskonfiguration


nderungen an Standardsicherheitskonfigurationen fr folgende Elemente und Vorgnge werden von der BIPlattform nicht auditiert: Eigenschaftendateien fr Webanwendungen (BOE, Webdienste) TrustedPrincipal.conf In BI-Launchpad und Open Document vorgenommene Anpassungen

nderungen an der Sicherheitskonfiguration, die auerhalb der CMC erfolgt sind, werden generell nicht auditiert. Dies gilt auch fr nderungen, die ber Central Configuration Manager (CCM) vorgenommen wurden. nderungen, die ber die CMC durchgefhrt wurden, knnen auditiert werden.

7.9

Prfen der Webvorgnge

Die BI-Plattform gibt Ihnen durch das Aufzeichnen der Webvorgnge und dem mglichen Prfen und berwachen der Details einen Einblick in das System. Der Webanwendungsserver bietet die Mglichkeit, die aufzuzeichnenden Webattribute auszuwhlen, z.B. Uhrzeit, Datum, IP-Adresse, Portnummer usw. Die Prfdaten werden auf der Festplatte protokolliert und in kommagetrennten Textdateien gespeichert. Dies vereinfacht das Erstellen von Berichten mit diesen Daten bzw. den Import der Daten in andere Anwendungen.

7.9.1

Schutz vor unberechtigten Anmeldeversuchen

Selbst ein gut gesichertes System weist meistens mindestens eine Schwachstelle auf: nmlich die Stelle, an der Benutzer eine Verbindung mit dem System herstellen. Es ist fast unmglich, diese Stelle vollstndig zu schtzen, da das einfache Raten eines gltigen Benutzernamens und Kennworts weiterhin eine durchaus denkbare Methode fr den Einbruch in das System bleibt. In der BI-Plattform sind mehrere Verfahren implementiert, die die Wahrscheinlichkeit verringern, dass ein unberechtigter Benutzer auf das System zugreifen kann. Die verschiedenen nachfolgend aufgefhrten Beschrnkungen gelten nur fr Enterprise-Konten, d.h. sie gelten nicht fr Konten, die Sie einer externen Benutzerdatenbank (LDAP oder Windows AD) zugeordnet haben. Normalerweise knnen Sie jedoch im externen System den externen Konten hnliche Beschrnkungen auferlegen.

7.9.2

Kennworteinschrnkungen

Durch Kennwortbeschrnkungen wird sichergestellt, dass bei der Enterprise-Standardauthentifizierung relativ komplexe Kennwrter erstellt werden. Sie knnen folgende Optionen aktivieren: Kennwrter mit Gro- und Kleinschreibung obligatorisch machen

142

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

Diese Option stellt sicher, dass die Kennwrter mindestens zwei von den folgenden Zeichenklassen enthalten: Grobuchstaben, Kleinbuchstaben, Zahlen oder Satzzeichen. Mindestens n Zeichen Wenn Sie eine Mindestkomplexitt fr Kennwrter obligatorisch machen, verringern Sie die Wahrscheinlichkeit, dass ein unberechtigter Benutzer einfach das Kennwort eines gltigen Benutzers errt.

7.9.3

Anmeldeeinschrnkungen

Anmeldeeinschrnkungen sollen hauptschlich Angriffe auf das Wrterbuch verhindern (ein Verfahren, bei dem ein unberechtigter Benutzer in Besitz eines gltigen Benutzernamens gelangt und dann versucht, das entsprechende Kennwort zu erfahren, indem er jedes im Wrterbuch vorhandene Wort probiert). Mit der Geschwindigkeit der modernen Hardware knnen bestimmte Programme Millionen von Kennwrtern pro Minute erraten. Die BI-Plattform verhindert Angriffe auf das Wrterbuch mit einem internen Verfahren, das eine Zeitverzgerung (0,5 - 1,0 Sekunde) zwischen Anmeldeversuchen erzwingt. Die Plattform stellt auerdem mehrere benutzerdefinierbare Optionen bereit, mit denen das Risiko von Angriffen auf das Wrterbuch verringert werden kann: Konto nach n fehlgeschlagenen Anmeldeversuchen deaktivieren Zhler fr fehlgeschlagene Anmeldungen nach n Minuten zurcksetzen Konto nach n Minuten wieder aktivieren

7.9.4

Benutzerbeschrnkungen

Durch Benutzereinschrnkungen wird sichergestellt, dass Benutzer, die die Standard-EnterpriseAuthentifizierung verwenden, regelmig neue Kennwrter erstellen. Sie knnen folgende Optionen aktivieren: Kennwort muss alle n Tage gendert werden Die letzten n Kennwrter drfen nicht wiederverwendet werden Mindestens n Minute(n) bis zur nderung des Kennworts warten

Diese Optionen sind fr vieles ntzlich. Erstens muss jeder Benutzer, der einen bswilligen Wrterbuchangriff versucht, bei jedem ndern des Kennworts von vorne anfangen. Und da Kennwortnderungen auf dem ersten Anmeldezeitpunkt jedes Benutzers basieren, kann der unberechtigte Benutzer nur schwer bestimmen, zu welchem Zeitpunkt ein bestimmtes Kennwort gendert wird. Selbst wenn ein unberechtigter Benutzer die Informationen eines anderen Benutzers errt oder in den Besitz derselben gelangt, sind diese nur fr einen begrenzten Zeitraum gltig.

7.9.5

Guest-Konto-Einschrnkungen

Die BI-Plattform untersttzt die anonyme Einzelanmeldung fr das Guest-Konto. Wenn Benutzer ohne Angabe eines Benutzernamens und Kennworts eine Verbindung mit der BI-Plattform herstellen, werden sie automatisch unter dem Guest-Konto angemeldet. Wenn Sie dem Guest-Konto ein sicheres Kennwort zuordnen, oder wenn Sie das Guest-Konto vllig deaktivieren, deaktivieren Sie auch dieses Standardverhalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

143

7.10 Verarbeitungserweiterungen
In der BI-Plattform knnen Sie Ihre Berichtsumgebung durch den Einsatz benutzerdefinierter Verarbeitungserweiterungen weiter absichern. Eine Verarbeitungserweiterung ist eine DLL, die Code enthlt, mit dem Ihre Unternehmenslogik auf bestimmte BI-Plattform-Anzeige- oder Zeitsteuerungsanforderungen vor der Verarbeitung angewendet wird. Durch die Untersttzung von Verarbeitungserweiterungen legt das Administration SDK der BI-Plattform einen Eingriffspunkt frei, an dem Entwickler die Anforderung abfangen knnen. Entwickler knnen dann der Anforderung Auswahlformeln vor dem Verarbeiten des Berichts anhngen. Ein typisches Beispiel ist eine Berichtsverarbeitungserweiterung, die Sicherheit auf der Zeilenebene erzwingt. Bei diesem Sicherheitstyp wird der Datenzugriff nach Zeile in den Datenbanktabellen eingeschrnkt. Der Entwickler schreibt eine DLL (Dynamically Loaded Library), die Anzeige- oder Zeitsteuerungsanforderungen fr einen Bericht abfngt (bevor die Anforderung von einem Job Server, Processing Server oder Report Application Server verarbeitet wird). Der Code des Entwicklers ermittelt zuerst den Benutzer, der Eigentmer des Verarbeitungsauftrags ist, und ermittelt dann die Datenzugriffsrechte des Benutzers in einem Fremdherstellersystem. Der Code generiert dann eine Datensatzauswahlformel fr den Bericht. Diese Formel wird angehngt und schrnkt die von der Datenbank ausgegebenen Daten ein. In diesem Fall dient die Verarbeitungserweiterung als Verfahren, mit dem benutzerdefinierte Sicherheit auf der Zeilenebene in die BIPlattform-Umgebung integriert wird.

Tipp
Wenn Sie Verarbeitungserweiterungen aktivieren, laden die entsprechenden BI-Plattform-Serverkomponenten die Verarbeitungserweiterungen bei der Ausfhrung. Das SDK enthlt eine komplett dokumentierte API, mit der Entwickler Verarbeitungserweiterungen schreiben knnen. Weitere Informationen finden Sie in der Entwicklerdokumentation auf Ihrem Produktdatentrger.

7.11

bersicht ber die BI-Plattform-Datensicherheit

Administratoren von BI-Plattform-Systemen verwalten die Sicherung sensibler Daten ber folgende Funktionen: Eine Sicherheitseinstellung auf Clusterebene, in der festgelegt ist, welche Anwendungen und Clients auf den CMS zugreifen knnen. Diese Einstellung wird ber den Central Configuration Manager verwaltet. Ein auf zwei Schlsseln basierendes kryptografisches System, das sowohl den Zugriff auf das CMSRepository als auch die Schlssel zum Ver- bzw. Entschlsseln von Objekten im Repository steuert. Der Zugriff auf das CMS-Repository wird ber den Central Configuration Manager eingestellt, whrend die Central Management Console ber einen speziellen Verwaltungsbereich fr Kryptografieschlssel verfgt.

Mit diesen Funktionen knnen Administratoren fr BI-Plattform-Implementierungen bestimmte Konformittsstufen bezglich der Datensicherheit einstellen und Schlssel zum Ver- bzw. Entschlsseln von Daten im CMS-Repository verwalten.

144

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

7.11.1

Sicherheitsmodi fr die Datenverarbeitung

BI-Plattform kann in zwei mglichen Datenverarbeitungs-Sicherheitsmodi arbeiten: Dem Standardsicherheitsmodus fr die Datenverarbeitung. In bestimmten Instanzen verwenden Systeme, die in diesem Modus ausgefhrt werden, fest programmierte Schlssel und folgen keinem bestimmten Standard. Der Standardmodus ermglicht die Abwrtskompatibilitt mit frheren Versionen von BIPlattform-Clienttools und -Anwendungen. Ein Datensicherheitsmodus, der auf die Einhaltung der im Federal Information Processing Standard (FIPS) festgelegten Richtlinien ausgerichtet ist insbesondere FIPS 140-2. In diesem Modus werden FIPS-konforme Algorithmen und Kryptografiemodule verwendet, um sensible Daten zu schtzen. Wenn die Plattform im FIPS-konformen Modus ausgefhrt wird, werden alle Clienttools und -Anwendungen, die den FIPS-Richtlinien nicht entsprechen, deaktiviert. Die Plattform-Clienttools und -Anwendungen sind mit dem FIPS 140-2Standard konform. ltere Clients und -Anwendungen funktionieren nicht, wenn SAP BusinessObjects Business Intelligence 4.0 im FIPS-konformen Modus ausgefhrt wird.

Der Datenverarbeitungsmodus ist fr Systembenutzer erkennbar. In beiden Sicherheitsmodi fr die Datenverarbeitung werden sensible Daten im Hintergrund von einer internen Verschlsselungs-Engine ver- und entschlsselt. Es wird empfohlen, den FIPS-konformen Modus unter folgenden Umstnden zu verwenden: Fr Ihre Implementierung von SAP BusinessObjects Business Intelligence 4.0 ist die Nutzung von oder Interaktion mit lteren BI-Plattform-Clienttools oder -Anwendungen nicht erforderlich. Die Datenverarbeitungsstandards und -richtlinien Ihres Unternehmens verbieten die Verwendung von fest programmierten Schlsseln. Ihr Unternehmen muss sensible Daten gem den Richtlinien des FIPS 140-2 sichern.

Der Sicherheitsmodus fr die Datenverarbeitung wird sowohl auf Windows- als auch auf UNIX-Plattformen ber den Central Configuration Manager eingestellt. Jeder Knoten einer geclusterten Umgebung muss auf denselben Modus eingestellt sein.

7.11.1.1 Aktivieren des FIPS-konformen Modus unter Windows


Der FIPS-konforme Modus wird nach der Installation der BI-Plattform standardmig deaktiviert. Gehen Sie folgendermaen vor, um den FIPS-konformen Modus fr alle Knoten in Ihrer Implementierung zu aktivieren. 1. 2. Um den CCM zu starten, whlen Sie Business Intelligence 4 Programme SAP Business Intelligence SAP BusinessObjects

Central Configuration Manager .

Klicken Sie im CCM mit der rechten Maustaste auf den Server Intelligence Agent (SIA), und whlen Sie Stop.

Achtung
Fahren Sie erst mit Schritt 3 fort, wenn der SIA-Status als "Gestoppt" markiert ist. 3. 4. Klicken Sie mit der rechten Maustaste auf den SIA, und whlen Sie Eigenschaften. Das Dialogfeld Eigenschaften wird geffnet und zeigt die Registerkarte Eigenschaften an. Fgen Sie -fips im Feld Befehl hinzu, und klicken Sie auf Anwenden.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

145

5. 6.

Klicken Sie auf OK, um das Dialogfeld Eigenschaften zu schlieen. Starten Sie den SIA neu.

Der SIA wird nun im FIPS-konformen Modus ausgefhrt. Sie mssen den FIPS-konformen Modus fr alle SIAs in Ihrer BI-Plattform-Implementierung aktivieren.

7.11.1.2

Aktivieren des FIPS-konformen Modus unter UNIX

Alle Knoten in Ihrer BI-Plattform-Implementierung mssen gestoppt werden, bevor Sie folgendes Verfahren ausprobieren. Der FIPS-konforme Modus wird nach der Installation der BI-Plattform standardmig deaktiviert. Gehen Sie folgendermaen vor, um den FIPS-konformen Modus fr alle Knoten in Ihrer Implementierung zu aktivieren. 1. 2. 3. 4. Navigieren Sie zu dem Verzeichnis, in dem die BI-Plattform auf dem UNIX-Rechner installiert ist. Wechseln Sie ins Verzeichnis sap_bobj . Geben Sie ccm.config ein, und drcken Sie die Eingabetaste. Die Datei ccm.config wird geladen. Fgen Sie -fips dem Befehlsparameter zum Starten des Knotens hinzu. Der Befehlsparameter zum Starten des Knotens wird als [<Knotenname>Launch] angezeigt. 5. 6. Speichern Sie Ihre nderungen, und klicken Sie auf Beenden Starten Sie den Knoten neu.

Der Knoten wird nun im FIPS-konformen Modus ausgefhrt. Sie mssen den FIPS-konformen Modus fr alle Knoten in Ihrer BI-Plattform-Implementierung aktivieren.

7.11.1.3 Deaktivieren des FIPS-konformen Modus unter Windows


Alle Server in Ihrer BI-Plattform-Implementierung mssen gestoppt werden, bevor Sie folgendes Verfahren ausprobieren. Wenn Ihre Implementierung im FIPS-konformen Modus ausgefhrt wird, gehen Sie folgendermaen vor, um diese Einstellung zu deaktivieren: 1. Klicken Sie im CCM mit der rechten Maustaste auf den Server Intelligence Agent (SIA), und whlen Sie Stop.

Achtung
Fahren Sie nicht mit Schritt 2 fort, bis der Knotenstatus als Gestoppt markiert ist. 2. 3. 4. Klicken Sie mit der rechten Maustaste auf den SIA, und whlen Sie Eigenschaften. Das Dialogfeld Eigenschaften wird angezeigt. Entfernen Sie -fips aus dem Befehl-Feld, und klicken Sie auf Anwenden. Klicken Sie auf OK, um das Dialogfeld Eigenschaften zu schlieen.

146

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

5.

Starten Sie den SIA neu.

7.12 Kryptografie in der BI-Plattform


Sensible Daten
Die Kryptografie in der BI-Plattform ist darauf ausgerichtet, sensible Daten im CMS-Repository zu schtzen. Zu den sensiblen Daten gehren Anmeldedaten von Benutzern, Verbindungsdaten zu Datenquellen und andere Infoobjekte, in denen Kennwrter gespeichert sind. Diese Daten werden verschlsselt, um Vertraulichkeit zu gewhrleisten, Datenkorruption zu verhindern und den Zugriff zu steuern. Alle erforderlichen Verschlsselungsressourcen (einschlielich Verschlsselungs-Engine, RSA-Bibliotheken) werden standardmig mit jeder BI-Plattform-Implementierung installiert. Das BI-Plattform-System verwendet ein Kryptografiesystem mit zwei Schlsseln.

Kryptografieschlssel
Die Ver- bzw. Entschlsselung von sensiblen Daten wird im Hintergrund ber die SDK abgewickelt, die mit der internen Verschlsselungs-Engine interagiert. Systemadministratoren verwalten die Datensicherheit ber symmetrische Schlssel, ohne spezifische Datenblcke direkt zu ver- oder entschlsseln. In BI-Plattform werden symmetrische Kryptografieschlssel zur Ver- bzw. Entschlsselung sensibler Daten verwendet. Die Central Management Console verfgt ber einen speziellen Verwaltungsbereich fr Kryptografieschlssel. Verwenden Sie die Kryptografieschlssel, um Schlssel anzuzeigen, zu generieren, zu deaktivieren, zurckzunehmen und zu lschen. Das System stellt sicher, dass Schlssel, die fr die Verschlsselung von sensiblen Daten notwendig sind, nicht gelscht werden.

Clusterschlssel
Clusterschlssel sind symmetrische, andere Schlssel einschlieende Schlssel, die die im CMS-Repository gespeicherten Kryptografieschlssel schtzen. Mithilfe symmetrischer Schlsselalgorithmen stellen Clusterschlssel eine Ebene der Zugriffssteuerung fr das CMS-Repository bereit. Jedem Knoten in der BIPlattform wird whrend des Installationssetups ein Clusterschlssel zugeordnet. Systemadministratoren knnen den Clusterschlssel mithilfe des CCM zurcksetzen.

7.12.1

Arbeiten mit Clusterschlsseln

Whrend der Ausfhrung des Installationsprogramms fr die BI-Plattform wird ein Clusterschlssel mit sechs Zeichen fr den Server Intelligence Agent angegeben. Dieser Schlssel wird zum Verschlsseln aller Kryptografieschlssel im CMS-Repository verwendet. Ohne den korrekten Clusterschlssel knnen Sie nicht auf

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

147

CMS zugreifen. Der Clusterschlssel wird im verschlsselten Format in der Datei dbinfo gespeichert. In einer standardmigen Windows-Installation ist die Datei im folgenden Verzeichnis gespeichert: C:\Programme (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\win64_x64 . Auf UnixSystemen ist die Datei im Plattformverzeichnis unter <INSTALLVERZ>/sap_bobj/enterprise_xi40/ gespeichert. UNIX-Plattform
AIX

Pfad <INSTALLVERZ>/sap_bobj/enterprise_xi40/ aix_rs6000_64 / <INSTALLVERZ>/sap_bobj/enterprise_xi40/ solaris_sparcv9/ <INSTALLVERZ>/sap_bobj/enterprise_xi40/ linux_x64/

Solaris

Linux

Der Dateiname folgt der folgenden Konvention: _boe_<sia_name>.dbinfo, wobei <sia_name> der Name des Server Intelligence Agent fr den Cluster ist.

Hinweis
Der Clusterschlssel fr einen gegebenen Knoten kann aus der Datei dbinfo abgerufen werden. Es wird empfohlen, dass Systemadministratoren durchdachte und umsichtige Manahmen ergreifen, um die Clusterschlssel zu schtzen. Nur Benutzer mit Administratorenrechten knnen Clusterschlssel zurcksetzen. Setzen Sie gegebenenfalls den sechsstelligen Clusterschlssel fr jeden Knoten der Implementierung mit dem CCM zurck. Neue Clusterschlssel werden automatisch dazu verwendet, die Kryptografieschlssel in das CMS-Repository einzubinden.

7.12.1.1

Zurcksetzen eines Clusterschlssels unter Windows

Bevor Sie den Clusterschlssel fr einen Knoten zurcksetzen, vergewissern Sie sich, dass alle von diesem Server Intelligence Agent verwalteten Server gestoppt wurden. Um den Clusterschlssel fr Ihren Knoten zurckzusetzen, gehen Sie folgendermaen vor. 1. 2. Um den CCM zu starten, whlen Sie Business Intelligence 4 Programme SAP Business Intelligence SAP BusinessObjects

Central Configuration Manager .

Klicken Sie im CCM mit der rechten Maustaste auf den Server Intelligence Agent (SIA), und whlen Sie Stop.

Achtung
Fahren Sie erst mit Schritt 3 fort, wenn der SIA-Status als "Gestoppt" markiert ist. 3. 4. 5. Klicken Sie mit der rechten Maustaste auf den Server Intelligence Agent (SIA), und whlen Sie Eigenschaften. Das Dialogfeld Eigenschaften wird geffnet und zeigt die Registerkarte Eigenschaften an. Klicken Sie auf die Registerkarte Konfiguration. Klicken Sie unter Konfiguration des CMS-Clusterschlssels auf ndern.

148

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

Wenn eine Warnmeldung angezeigt wird, prfen Sie vor dem Fortfahren, ob alle in der Warnmeldung aufgefhrten Anforderungen erfllt wurden. 6. 7. Klicken Sie auf Ja, um fortzufahren. Das Dialogfeld Clusterschlssel ndern wird geffnet. Geben Sie in die Felder "Neuer Clusterschlssel" und "Neuen Clusterschlssel besttigen" denselben sechsstelligen Schlssel ein.

Hinweis
Auf Windows-Plattformen mssen Clusterschlssel zwei der folgenden Zeichentypen enthalten: Kleinbuchstaben, Grobuchstaben, Zahlen oder Interpunktionszeichen. Alternativ knnen die Benutzer auch einen Zufallsschlssel erzeugen. Ein Zufallsschlssel ist fr die FIPS-Konformitt erforderlich. 8. 9. Klicken Sie auf OK , um den neuen Clusterschlssel an das System weiterzuleiten. Eine Meldung besttigt, dass der Clusterschlssel erfolgreich zurckgesetzt wurde. Starten Sie den SIA neu.

In einem Cluster mit mehreren Knoten mssen Sie die Clusterschlssel fr alle SIAs in der BI-PlattformImplementierung auf den neuen Schlssel zurcksetzen.

7.12.1.2

Zurcksetzen eines Clusterschlssels unter UNIX

Bevor Sie den Clusterschlssel fr einen Knoten zurcksetzen, vergewissern Sie sich, dass alle von diesem Knoten verwalteten Server angehalten wurden. 1. 2. 3. 4. 5. 6. 7. Navigieren Sie zu dem Verzeichnis, in dem die BI-Plattform auf dem UNIX-Rechner installiert ist. Wechseln Sie in das Verzeichnis sap bobj . Geben Sie cmsdbsetup.sh ein, und drcken Sie die Eingabetaste. Der Bildschirm CMS-Datenbankeinrichtung wird angezeigt. Geben Sie den Namen des Knotens ein, und drcken Sie die Eingabetaste. Geben Sie 2 ein, um den Clusterschlssel zu ndern. Daraufhin wird eine Warnmeldung angezeigt. Klicken Sie auf Ja, um fortzufahren. Geben Sie einen neuen, achtstelligen Clusterschlssel in das angezeigte Feld ein, und drcken Sie die Eingabetaste.

Hinweis
Auf UNIX-Plattformen kann ein gltiger Clusterschlssel eine beliebige Kombination von acht Zeichen enthalten, ohne Einschrnkungen. 8. Geben Sie den neuen Clusterschlssel in das entsprechende Feld noch einmal ein, und drcken Sie die Eingabetaste. Eine Meldung wird angezeigt, in der Ihnen mitgeteilt wird, dass der Clusterschlssel erfolgreich zurckgesetzt wurde. Starten Sie den Knoten neu.

9.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

149

Sie mssen alle Knoten in Ihrer BI-Plattform-Implementierung zurcksetzen, um denselben Clusterschlssel zu verwenden.

7.12.2 Verschlsselungsbeauftragte
Um Kryptografieschlssel in der CMC verwalten zu knnen, mssen Sie Mitglied der Gruppe "Verschlsselungsbeauftragte" sein. Das Standardadministratorkonto, das fr die BI-Plattform erstellt wird, ist ebenfalls Element der Gruppe "Verschlsselungsbeauftragte". Verwenden Sie dieses Konto, um Benutzer nach Bedarf der Gruppe "Verschlsselungsbeauftragte" hinzuzufgen. Es wird empfohlen, die Mitgliedschaft in der Gruppe auf eine beschrnkte Anzahl von Benutzern zu begrenzen.

Hinweis
Wenn Benutzer der Gruppe "Administratoren" hinzugefgt werden, erben sie nicht die erforderlichen Rechte, um Verwaltungsaufgaben an Kryptografieschlsseln ausfhren zu knnen.

7.12.2.1 Hinzufgen eines Benutzers zur Gruppe "Verschlsselungsbeauftragte"


Ein Benutzerkonto muss in der BI-Plattform vorhanden sein, bevor es der Gruppe "Verschlsselungsbeauftragte" hinzugefgt werden kann.

Hinweis
Sie mssen sowohl zur Gruppe Administratoren als auch zur Gruppe Verschlsselungsbeauftragte gehren, um Benutzer zur Gruppe "Verschlsselungsbeauftragte" hinzufgen zu knnen. 1. 2. 3. 4. Whlen Sie im Verwaltungsbereich Benutzer und Gruppen der CMC die Gruppe Verschlsselungsbeauftragte aus. Klicken Sie auf Aktionen Elemente zur Gruppe hinzufgen . Das Dialogfeld Hinzufgen wird angezeigt. Klicken Sie auf Benutzerliste. Die Liste Verfgbare Benutzer/Gruppen wird regeneriert und enthlt alle Benutzerkonten im System. Verschieben Sie das Benutzerkonto, das Sie der Gruppe "Verschlsselungsbeauftragte" hinzufgen mchten, aus der Liste Verfgbare Benutzer/Gruppen in die Liste Ausgewhlte Benutzer/Gruppen.

Tipp
Um einen bestimmten Benutzer zu suchen, verwenden Sie das Suchfeld. 5. Klicken Sie auf OK.

Als Element der Gruppe "Verschlsselungsbeauftragte" hat das neu hinzugefgte Konto Zugriff auf den Kryptografieschlssel-Verwaltungsbereich in der CMC.

150

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

7.12.2.2

Anzeigen von Kryptografieschlsseln in der CMC

Die CMC-Anwendung enthlt einen dedizierten Verwaltungsbereich fr die vom BI-Plattform-System verwendeten Kryptografieschlssel. Der Zugriff auf diesen Bereich ist auf Mitglieder der Verschlsselungsbeauftragtengruppe beschrnkt. 1. Um die CMC aufzurufen, wechseln Sie zu Programme SAP Business Intelligence SAP BusinessObjects .

Business Intelligence 4 Central Management Console von SAP BusinessObjects Business Intelligence Die CMC-Startseite wird angezeigt. 2. 3. Klicken Sie auf die Registerkarte Kryptografieschlssel. Der Verwaltungsbereich Kryptografieschlssel wird angezeigt. Doppelklicken Sie auf den Kryptografieschlssel, fr den Sie weitere Einzelheiten anzeigen mchten.

Zugehrige Links Anzeigen der einem Kryptografieschlssel zugeordneten Objekte [Seite 153]

7.12.3 Verwalten von Kryptografieschlsseln in der CMC


Im Verwaltungsbereich Kryptografieschlssel knnen Verschlsselungsbeauftragte Schlssel, die zum Schutz im CMS-Repository gespeicherter sensibler Daten verwendet werden, berprfen, generieren, deaktivieren, sperren und lschen. Alle derzeit im System definierten Kryptografieschlssel werden im Verwaltungsbereich Kryptografieschlssel aufgefhrt. Grundlegende Informationen zu den einzelnen Schlsseln sind unter den in der folgenden Tabelle beschriebenen berschriften zu finden: berschrift
Name Status Letzte nderung Objekte

Beschreibung
Namen, der den Kryptografieschlssel identifiziert Aktueller Status des Schlssels Datums- und Zeitstempel der letzten mit dem Kryptografieschlssel zusammenhngenden nderung Anzahl der dem Schlssel zugeordneten Objekte

Zugehrige Links Status von Kryptografieschlsseln [Seite 152] Erstellen eines neuen Kryptografieschlssels [Seite 153] Lschen eines Kryptografieschlssels aus dem System [Seite 155] Sperren eines Kryptografieschlssels [Seite 154] Anzeigen der einem Kryptografieschlssel zugeordneten Objekte [Seite 153] Kryptografieschlssel als gefhrdet markieren [Seite 154]

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

151

7.12.3.1

Status von Kryptografieschlsseln

In der folgenden Tabelle sind alle mglichen Statusoptionen fr Kryptografieschlssel im BI-Plattform-System aufgelistet: Status
Aktiv

Beschreibung
Nur ein Kryptografieschlssel kann im System den Status Aktiv besitzen. Dieser Schlssel wird zum Verschlsseln aktueller sensibler Daten verwendet, die in der CMSDatenbank gespeichert werden. Der Schlssel wird auerdem zum Entschlsseln aller Objekte in der entsprechenden Objektliste verwendet. Sobald ein neuer Kryptografieschlssel erstellt wird, wird der Schlssel, der aktuell Aktiv ist, auf Deaktiviert gesetzt. Ein aktiver Schlssel kann nicht aus dem System gelscht werden. Ein Schlssel mit dem Status Deaktiviert kann nicht lnger zum Verschlsseln von Daten verwendet werden. Er kann aber zum Entschlsseln aller Objekte in der entsprechenden Objektliste verwendet werden. Sie knnen einen einmal deaktivierten Schlssel nicht wieder aktivieren. Ein als Deaktiviert markierter Schlssel kann nicht aus dem System gelscht werden. Sie mssen den Status eines Schlssels auf Gesperrt setzen, bevor Sie ihn lschen knnen. Ein Kryptografieschlssel, der als unsicher eingeschtzt wird, kann als "Gefhrdet" markiert werden. Wenn Sie einen solchen Schlssel markieren, haben Sie spter die Mglichkeit, Objekte neu zu verschlsseln, die diesem Schlssel noch zugeordnet sind. Wenn ein Schlssel als "Gefhrdet" markiert ist, muss er zurckgenommen werden, bevor er aus dem System gelscht werden kann. Wenn ein Kryptografieschlssel gesperrt wird, wird ein Prozess ausgelst, mit dem alle diesem Schlssel aktuell zugeordneten Objekte mit dem aktuellen "aktiven" Kryptografieschlssel neu verschlsselt werden. Sobald ein Schlssel gesperrt wurde, kann er sicher aus dem System gelscht werden. Durch den Rcknahmemechanismus wird sichergestellt, dass die Daten in der CMS-Datenbank jederzeit verschlsselt werden knnen. Ein einmal zurckgenommener Schlssel kann nicht wieder aktiviert werden. Zeigt an, dass der Kryptografieschlssel gerade gesperrt wird. Sobald der Prozess abgeschlossen ist, wird der Schlssel als Gesperrt markiert. Zeigt an, dass der Prozess zum Zurcknehmen eines Kryptografieschlssels angehalten wurde. Dies tritt in der Regel dann auf, wenn der Prozess absichtlich angehalten wurde oder wenn ein dem Schlssel zugeordnetes Datenobjekt nicht verfgbar ist. Ein Schlssel wird als "Gesperrt-Gefhrdet" markiert, wenn er als "Gefhrdet" markiert wurde und alle vorher diesem

Deaktiviert

Gefhrdet

Gesperrt

Deaktiviert: Neuverschlsselung wird ausgefhrt

Deaktiviert: Neuverschlsselung angehalten

Gesperrt-Gefhrdet

152

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

Status

Beschreibung
Schlssel zugeordneten Daten mit einem anderen Schlssel verschlsselt wurden. Wenn ein als Deaktiviert gekennzeichneter Schlssel als "Gefhrdet" markiert wird, haben Sie die Wahl, ob Sie nichts unternehmen oder den Schlssel sperren. Sobald ein gefhrdeter Schlssel zurckgenommen wurde, kann er gelscht werden.

7.12.3.2 Anzeigen der einem Kryptografieschlssel zugeordneten Objekte


1. 2. 3. Whlen Sie den Schlssel im Kryptografieschlssel -Verwaltungsbereich der CMC aus. Klicken Sie auf Verwalten Eigenschaften . Das Dialogfeld Eigenschaften des Kryptografieschlssels wird angezeigt. Klicken Sie auf Objektliste im Navigationsbereich auf der linken Seite des Dialogfelds Eigenschaften. Alle diesem Kryptografieschlssel zugeordneten Objekte werden links vom Navigationsbereich angezeigt.

Tipp
Verwenden Sie die Suchfunktion, um nach einem bestimmten Objekt zu suchen.

7.12.3.3
Achtung

Erstellen eines neuen Kryptografieschlssels

Wenn Sie einen neuen Kryptografieschlssel erstellen, wird der aktuelle Aktive Schlssel automatisch durch das System deaktiviert. Sobald ein Schlssel deaktiviert wurde, kann er nicht mehr als Aktiver Schlssel wiederhergestellt werden. 1. Klicken Sie im Verwaltungsbereich Kryptografieschlssel der CMC auf Kryptografieschlssel . Das Dialogfeld Neuen Kryptografieschlssel erstellen wird angezeigt. 2. 3. Klicken Sie auf Weiter, um einen neuen Kryptografieschlssel zu erstellen. Geben Sie den Namen und eine Beschreibung des neuen Kryptografieschlssels ein; klicken Sie auf OK, um die Angaben zu speichern. Der neue Schlssel wird im Verwaltungsbereich Kryptografieschlssel als einziger aktiver Schlssel aufgefhrt. Der vorherige Aktive Schlssel wird nun als Deaktiviert angegeben. Verwalten Neu

Alle neuen in der CMS-Datenbank generierten und gespeicherten sensiblen Daten, werden nun mit dem neuen Kryptografieschlssel verschlsselt. Sie haben die Mglichkeit, den vorherigen Schlssel zu sperren und alle zugehrigen Datenobjekte mit dem neuen aktiven Schlssel erneut zu verschlsseln.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

153

7.12.3.4 Kryptografieschlssel als gefhrdet markieren


Wenn ein Kryptografieschlssel aus irgendwelchen Grnden nicht mehr als sicher gilt, knnen Sie ihn als gefhrdet markieren. Dies ist sinnvoll zu Tracking-Zwecken, und Sie knnen dann identifizieren, welche Datenobjekte dem Schlssel zugeordnet sind. Bevor ein Kryptografieschlssel als gefhrdet markiert werden kann, muss er deaktiviert werden.

Hinweis
Wenn ein Schlssel gesperrt wurde, muss er ebenfalls als gefhrdet markiert werden. 1. 2. 3. 4. 5. Wechseln Sie zum Verwaltungsbereich Kryptografieschlssel der CMC. Whlen Sie den Kryptografieschlssel aus, den Sie als gefhrdet markieren mchten. Klicken Sie auf Aktionen Als gefhrdet markieren . Das DialogfeldAls gefhrdet markieren wird angezeigt. Klicken Sie auf Weiter. Whlen Sie im Dialogfeld Als gefhrdet markieren eine der folgenden Optionen aus: Ja: startet den Prozess zum erneuten Verschlsseln aller Datenobjekte, die dem gefhrdeten Schlssel zugeordnet sind. Nein: das Dialogfeld Als gefhrdet markieren wird geschlossen, und der Kryptografieschlssel wird im Verwaltungsbereich Kryptografieschlssel als Gefhrdet markiert.

Hinweis
Wenn Sie Nein whlen, sind sensible Daten weiterhin dem gefhrdeten Schlssel zugeordnet. Der gefhrdete Schlssel wird durch das System zum Entschlsseln der zugeordneten Objekte verwendet. Zugehrige Links Sperren eines Kryptografieschlssels [Seite 154] Status von Kryptografieschlsseln [Seite 152] Anzeigen der einem Kryptografieschlssel zugeordneten Objekte [Seite 153]

7.12.3.5

Sperren eines Kryptografieschlssels

Ein deaktivierter Kryptografieschlssel kann noch immer von den mit ihm verknpften Datenobjekten verwendet werden. Um den Mechanismus zwischen den verschlsselten Objekten und dem deaktivierten Schlssel zu unterbrechen, mssen Sie den Schlssel sperren. 1. 2. 3. Whlen Sie den zu sperrenden Schlssel unter den im Verwaltungsbereich Kryptografieschlssel aufgefhrten Schlsseln aus. Klicken Sie auf Aktionen Sperren . Das Dialogfeld Kryptografieschlssel sperren wird mit einer Warnmeldung angezeigt. Klicken Sie auf OK, um den Kryptografieschlssel zu sperren. Ein Prozess zum Verschlsseln aller Objekte des Schlssels mit dem aktuellen aktiven Schlssel wird gestartet. Wenn der Schlssel mit vielen Datenobjekten verknpft ist, wird er als Deaktiviert: Neuverschlsselung wird ausgefhrt markiert, bis der Neuverschlsselungsprozess abgeschlossen ist.

154

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

Nachdem ein Kryptografieschlssel gesperrt wurde, kann er sicher vom System entfernt werden, da er von keinem sensiblen Datenobjekt zur Verschlsselung bentigt wird.

7.12.3.6 Lschen eines Kryptografieschlssels aus dem System


Bevor Sie einen Kryptografieschlssel aus der BI-Plattform lschen knnen, mssen Sie sicherstellen, dass keine Datenobjekte im System den Schlssel bentigen. Durch diese Einschrnkung wird sichergestellt, dass alle im CMS-Repository gespeicherten sensiblen Daten jederzeit entschlsselt werden knnen. Nachdem Sie einen Kryptografieschlssel gesperrt haben, folgen Sie den unten stehenden Anweisungen, um den Schlssel aus dem System zu lschen. 1. 2. 3. 4. Wechseln Sie zum Verwaltungsbereich Kryptografieschlssel der CMC. Whlen Sie den zu lschenden Kryptografieschlssel aus. Klicken Sie auf Verwalten Lschen . Das Dialogfeld Kryptografieschlssel lschen wird angezeigt. Klicken Sie auf Lschen, um den Kryptografieschlssel aus dem System zu lschen. Der gelschte Schlssel wird nicht mehr im Verwaltungsbereich Kryptografieschlsselder CMC angezeigt.

Hinweis
Sobald ein Kryptografieschlssel aus dem System gelscht wurde, kann er nicht mehr wiederhergestellt werden. Zugehrige Links Sperren eines Kryptografieschlssels [Seite 154] Status von Kryptografieschlsseln [Seite 152]

7.13 Konfigurieren von Servern fr SSL


Sie knnen das SSL-Protokoll (Secure Sockets Layer) fr die gesamte Netzwerkkommunikation zwischen Clients und Servern in der BI-Plattform-Implementierung verwenden. Um SSL fr die gesamte Serverkommunikation einzurichten, fhren Sie folgende Schritte aus: Implementieren Sie die BI-Plattform mit aktiviertem SSL. Erstellen Sie Schlssel- und Zertifikatdateien fr jeden Rechner innerhalb Ihrer Implementierung. Konfigurieren Sie den Speicherort dieser Dateien im Central Configuration Manager (CCM) und in Ihrem Webanwendungsserver.

Hinweis
Bei Verwendung von Thick-Clients, z.B. Crystal Reports oder Designer, mssen diese auch fr SSL konfiguriert werden, wenn von diesen Thick-Clients aus eine Verbindung zum CMS hergestellt werden soll. Wenn Sie

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

155

andernfalls versuchen, von einem Thick-Client aus, der nicht genauso konfiguriert wurde, eine Verbindung zu einem fr SSL konfigurierten CMS herzustellen, treten Fehler auf.

7.13.1

Erstellen von Schlssel- und Zertifikatdateien

Um das SSL-Protokoll fr die Serverkommunikation einzurichten, erstellen Sie mit dem SSLC-Befehlszeilentool je eine Schlssel- und Zertifikatdatei fr jeden Rechner innerhalb Ihrer Implementierung.

Hinweis
Schlssel und Zertifikate mssen fr alle Rechner in der Implementierung erstellt werden, auch fr Rechner, auf denen Thick-Client-Komponenten wie Crystal Reports ausgefhrt werden. Bei diesen Clientrechnern verwenden Sie zur Konfiguration das Befehlszeilentool sslconfig.

Hinweis
Um maximale Sicherheit zu gewhrleisten, sollten alle privaten Schlssel gesichert sein und nicht ber unsichere Kommunikationskanle verbreitet werden.

Hinweis
Fr frhere Versionen der BI-Plattform erstellte Zertifikate sind nicht auf SAP BusinessObjects Business Intelligence 4.0 anwendbar. Diese Zertifikate mssen neu erstellt werden.

7.13.1.1 Erstellen von Schlssel- und Zertifikatdateien fr einen Rechner


1. Fhren Sie das Befehlszeilentool SSLC.exe aus. Das SSLC-Tool wird mit der BI-Plattform-Software installiert. (Unter Windows ist das Installationsverzeichnis standardmig <INSTALLVERZ>\SAP BusinessObjects Enterprise XI 4.0\win64_x64.) 2. Geben Sie den folgenden Befehl ein: sslc req -config sslc.cnf -new -out cacert.req Durch diesen Befehl werden zwei Dateien erstellt, eine Certificate-Authority-Zertifikatanforderung (cacert.req) und ein privater Schlssel (privkey.pem). 3. Zum Entschlsseln des privaten Schlssels geben Sie folgenden Befehl ein: sslc rsa -in privkey.pem -out cakey.pem Durch diesen Befehl wird der entschlsselte Schlssel cakey.pem erstellt. 4. Zum Signieren des CA-Zertifikats geben Sie den folgenden Befehl ein: sslc x509 -in cacert.req -out cacert.pem -req -signkey cakey.pem -days 365

156

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

Durch diesen Befehl wird das selbstsignierte Zertifikat "cacert.pem" erstellt, das nach 365 Tagen abluft. Whlen Sie entsprechend Ihren Sicherheitsanforderungen die Anzahl der Tage aus. 5. ffnen Sie mit einem Text-Editor die Datei sslc.cnf, die sich im selben Ordner wie das Befehlszeilentool SSLC befindet.

Hinweis
Fr Windows wird die Verwendung eines Text-Editors unbedingt empfohlen, da Dateien mit der CNFErweiterung von Windows Explorer u.U. nicht erkannt und nicht ordnungsgem angezeigt werden. 6. Fhren Sie auf Grundlage der Einstellungen in der Datei sslc.cnf folgende Schritte aus. Legen Sie die Dateien cakey.pem und cacert.pem in den Verzeichnissen ab, die durch die Optionen certificate und private_key der Datei sslc.cnf festgelegt wurden. Die Einstellungen in der Datei "sslc.cnf" lauten standardmig: certificate = $dir/cacert.pem private_key = $dir/private/cakey.pem Erstellen Sie eine Datei mit dem Namen, der in der Datei sslc.cnf unter der Einstellung database festgelegt wurde.

Hinweis
Diese Datei ist standardmig $dir/index.txt. Die Datei msste leer sein. Erstellen Sie eine Datei mit dem Namen, der in der Datei sslc.cnf unter der Einstellung serial festgelegt wurde. Stellen Sie sicher, dass diese Datei eine Oktett-Seriennummer (im Hexadezimalformat) aufweist.

Hinweis
Um sicherzustellen, dass Sie weitere Zertifikate erstellen und signieren knnen, whlen Sie eine hohe gerade Hexadezimalzahl wie 11111111111111111111111111111111. 7. Erstellen Sie das Verzeichnis, das in der Datei sslc.cnf durch die Einstellung new_certs_dir festgelegt wurde. Um eine Zertifikatanforderung und einen privaten Schlssel zu erstellen, geben Sie folgenden Befehl ein: sslc req -config sslc.cnf -new -out servercert.req Die erstellten Zertifikat- und Schlsseldateien werden im aktuellen Arbeitsordner abgelegt. 8. Fhren Sie den folgenden Befehl aus, um den Schlssel in der Datei privkey.pem zu entschlsseln. sslc rsa -in privkey.pem -out server.key 9. Zum Signieren des Zertifikats mit dem CA-Zertifikat geben Sie den folgenden Befehl ein: sslc ca -config sslc.cnf -days 365 -out servercert.pem -in servercert.req Durch diesen Befehl wird die Datei "servercert.pem" erstellt, die das signierte Zertifikat enthlt. 10. Verwenden Sie folgende Befehle zum Konvertieren der Zertifikate in DER-codierte Zertifikate: sslc x509 -in cacert.pem -out cacert.der -outform DER sslc x509 -in servercert.pem -out servercert.der -outform DER

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

157

Hinweis
Das CA-Zertifikat (cacert.der) und der zugehrige private Schlssel (cakey.pem) mssen pro Implementierung nur einmal generiert werden. Alle Rechner innerhalb einer Implementierung verwenden dieselben CA-Zertifikate. Alle brigen Zertifikate mssen mit dem privaten Schlssel eines der CAZertifikate signiert werden. 11. Erstellen Sie eine Textdatei passphrase.txt zum Speichern des Textes passphrase, der zum Entschlsseln des generierten privaten Schlssels verwendet wird. 12. Speichern Sie die folgende Schlssel- und Zertifikatdateien an einem sicheren Ort (im selben Verzeichnis (d:/ssl)), auf den andere Rechner innerhalb Ihrer BI-Plattform-Implementierung zugreifen knnen: vertrauenswrdige Zertifikatdatei (cacert.der) generierte Serverzertifikatdatei (servercert.der) Serverschlsseldatei (server.key) Kennsatzdatei

Dieser Speicherort wird verwendet, um SSL fr den CCM und den Webanwendungsserver zu konfigurieren.

7.13.2 Konfigurieren des SSL-Protokolls


Nachdem Sie Schlssel und Zertifikate fr jeden Rechner innerhalb der Implementierung erstellt und an einem sicheren Ort gespeichert haben, mssen Sie dem Central Configuration Manager (CCM) und dem Webanwendungsserver den sicheren Speicherort mitteilen. Auerdem sind bestimmte Schritte zur Konfiguration des SSL-Protokolls fr den Webanwendungsserver und fr jeden Rechner mit einer Thick-Clientanwendung zu auszufhren.

7.13.2.1
1. 2. 3. 4.

Konfigurieren des SSL-Protokolls im CCM

Klicken Sie im CCM mit der rechten Maustaste auf den Server Intelligence Agent, und whlen Sie Eigenschaften. Klicken Sie im Dialogfeld "Eigenschaften" auf die Registerkarte Protokoll. Stellen Sie sicher, dass SSL aktivieren ausgewhlt ist. Geben Sie den Dateipfad zum Verzeichnis ein, in dem die Schlssel- und Zertifikatdatei gespeichert wurde. Feld
SSL-Zertifikatordner

Beschreibung
Ordner, in dem alle erforderlichen SSL-Zertifikate und Dateien gespeichert sind. Beispiel:d:\ssl Name der Datei, die zum Speichern des Server-SSLZertifikats verwendet wird. Standardmig

Server-SSL-Zertifikatdatei

servercert.der
Dateien fr vertrauenswrdige SSL-Zertifikate Name der Datei mit dem vertrauenswrdigen SSLZertifikat. Der Name lautet standardmig cacert.der

158

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

Feld
Datei fr den privaten SSL-Schlssel

Beschreibung
Name der Datei fr den privaten SSL-Schlssel fr den Zugriff auf das Zertifikat. Der Name lautet standardmig

server.key
Kennsatzdatei fr den privaten SSL-Schlssel Name der Textdatei, die den fr den Zugriff auf den privaten Schlssel verwendeten Kennsatz enthlt. Der Name lautet standardmig passphrase.txt

Hinweis
Geben Sie das Verzeichnis fr den Rechner an, auf dem der Server ausgefhrt wird.

7.13.2.2

Konfigurieren des SSL-Protokolls unter UNIX

Zur Konfiguration des SSL-Protokolls fr SIA mssen Sie das Skript serverconfig.sh verwenden. ber die Textoberflche dieses Skripts knnen Sie Serverinformationen abrufen, Server zur Installation hinzufgen und Server entfernen. Das Skript "serverconfig.sh" befindet sich im Installationsverzeichnis sap_bobj. 1. 2. 3. 4. 5. 6. 7. 8. Stoppen Sie den SIA und alle SAP BusinessObjects-Server mit dem Skript ccm.sh. Fhren Sie das Script serverconfig.sh aus. Whlen Sie 3 Knoten ndern aus, und drcken Sie die Eingabetaste . Geben Sie den Ziel-SIA ein, und drcken Sie die Eingabetaste . Whlen Sie die Option 1 Server-Intelligence-Agent-SSL-Konfiguration ndern aus. Whlen Sie ssl aus. Geben Sie bei entsprechender Aufforderung die Speicherorte der SSL-Zertifikate an. Wenn die BI-Plattform als SIA-Cluster implementiert wurde, wiederholen Sie die Schritte 1 bis 6 fr jeden SIA. Starten Sie den SIA ber das Skript ccm.sh, und warten Sie, bis die Server gestartet werden.

7.13.2.3 Konfigurieren des SSL-Protokolls fr den Webanwendungsserver


1. Falls Sie ber einen J2EE-Webanwendungsserver verfgen, fhren Sie das Java SDK mit den folgenden Systemeigenschaften aus. Beispiel: -Dbusinessobjects.orb.oci.protocol=ssl -DcertDir=d:\ssl -DtrustedCert=cacert.der -DsslCert=clientcert.der -DsslKey=client.key -Dpassphrase=passphrase.txt Die folgende Tabelle enthlt die Beschreibungen fr diese Beispiele:

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

159

Beispiel <DcertDir> =d:\ssl

Beschreibung Das Verzeichnis, in dem alle Zertifikate und Schlssel gespeichert werden. Vertrauenswrdige Zertifikatdatei. Mehrere Dateien werden durch Semikolon getrennt. Im SDK verwendetes Zertifikat. Privater Schlssel des SDK-Zertifikats. Die Datei, in der der Kennsatz fr den privaten Schlssel gespeichert wird.

<DtrustedCert> =cacert.der

<DsslCert> =clientcert.der <DsslKey> =client.key <Dpassphrase> =passphrase.txt 2.

Falls Sie ber einen IIS-Webanwendungsserver verfgen, fhren Sie das Tool sslconfig mit folgenden Konfigurationsschritten von der Befehlszeile aus.

7.13.2.4 Konfigurieren von Thick Clients


Bevor Sie das folgende Verfahren ausfhren, mssen Sie alle erforderlichen SSL-Ressourcen wie Zertifikate und private Schlssel in einem bekannten Verzeichnis erstellt und gespeichert haben. Im Verfahren unten wird davon ausgegangen, dass Sie die Anweisungen zum Erstellen der folgenden SSLRessourcen befolgt haben: SSL-Ressource
SSL-Zertifikatordner Dateiname des Server-SSL-Zertifikats Dateiname des vertrauenswrdigen SSL-Zertifikats oder Stammzertifikats Dateiname des privaten SSL-Schlssels Datei mit dem Kennsatz fr den Zugriff auf die Datei mit dem privaten SSL-Schlssel

d:\ssl servercert.der cacert.der server.key passphrase.txt

Nachdem die obigen Ressourcen erstellt wurden, knnen Sie Thick Client-Anwendungen wie Central Configuration Manager (CCM) oder das Upgrade-Management-Tool anhand der folgenden Anleitung konfigurieren. 1. Stellen Sie sicher, dass die Thick-Clientanwendung nicht in Betrieb ist.

Hinweis
Geben Sie das Verzeichnis fr den Rechner an, auf dem der Server ausgefhrt wird. 2. Fhren Sie das Befehlszeilentool sslconfig.exe aus. Das SSLC-Tool wird mit der BI-Plattform-Software installiert. (Unter Windows ist das Installationsverzeichnis standardmig <INSTALLVERZ>\SAP BusinessObjects Enterprise XI 4.0\win64_x64.)

160

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

3.

Geben Sie den folgenden Befehl ein: sslconfig.exe -dir d:\SSL -mycert servercert.der -rootcert cacert.der -mykey server.key -passphrase passphrase.txt -protocol ssl

4.

Starten Sie die Thick-Clientanwendung neu.

Zugehrige Links Erstellen von Schlssel- und Zertifikatdateien fr einen Rechner [Seite 156]

7.13.2.4.1 Konfigurieren der SSL-Anmeldung fr das bersetzungsmanagement-Tool


Damit Benutzer die SSL-Anmeldung mit dem bersetzungsmanagement-Tool verwenden knnen, mssen Sie Informationen zu den SSL-Ressourcen in die Konfigurationsdatei (.ini) des Tools eintragen. 1. 2. 3. Suchen Sie die Datei TransMgr.ini im folgenden Verzeichnis: <INSTALLVERZ>\SAP BusinessObjects Enterprise XI 4.0\win32_x86. ffnen Sie die Datei TransMgr.ini mit einem Texteditor. Fgen Sie die folgenden Parameter hinzu: -Dbusinessobjects.orb.oci.protocol=ssl -DcertDir=<D:\SSLCert> -DtrustedCert=cacert.der -DsslCert=servercert.der -DsslKey=server.key -Dpassphrase=passphrase.txt -jar program.jar 4. Speichern Sie die Datei, und schlieen Sie den Texteditor.

Benutzer knnen sich jetzt unter Verwendung von SSL beim bersetzungsmanagement-Tool anmelden.

7.13.2.4.2 Konfigurieren von SSL fr das Berichtskonvertierungstool


Bevor Sie das folgende Verfahren ausfhren, mssen Sie alle erforderlichen SSL-Ressourcen wie Zertifikate und private Schlssel in einem bekannten Verzeichnis erstellt und gespeichert haben. Darber hinaus muss das Berichtskonvertierungstool im Rahmen der BI-Plattform-Implementierung installiert worden sein. Im Verfahren unten wird davon ausgegangen, dass Sie die Anweisungen zum Erstellen der folgenden SSLRessourcen befolgt haben: SSL-Ressource
SSL-Zertifikatordner Dateiname des Server-SSL-Zertifikats Dateiname des vertrauenswrdigen SSL-Zertifikats oder Stammzertifikats Dateiname des privaten SSL-Schlssels

d:\ssl servercert.der cacert.der server.key

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

161

SSL-Ressource
Datei mit dem Kennsatz fr den Zugriff auf die Datei mit dem privaten SSL-Schlssel

passphrase.txt

Nachdem die obigen Ressourcen erstellt wurden, knnen Sie SSL fr die Verwendung mit dem Berichtskonvertierungstool anhand der folgenden Anleitung konfigurieren. 1. Erstellen Sie die Windows-Umgebungsvariable <BOBJ_MIGRATION> auf dem Rechner, der das Berichtskonvertierungstool hostet.

Tipp
Die Variable kann auf einen beliebigen Wert festgelegt werden. 2. ffnen Sie die Datei migration.bat mit einem Texteditor im folgenden Verzeichnis: <INSTALLVERZ>\SAP BusinessObjects Enterprise XI 4.0\win32_x86\scripts\. 3. Suchen Sie die folgende Zeile: start "" "%JRE%\bin\javaw" -Xmx512m -Xss10m -jar "%SHAREDIR%\lib\migration.jar" 4. Fgen Sie nach dem Parameter -Xss10m Folgendes hinzu: -Dbusinessobjects.orb.oci.protocol=ssl -DcertDir=C:/ssl -DtrustedCert=cacert.der -DsslCert=servercert.der -DsslKey=server.key -Dpassphrase=passphrase.txt -Dbusinessobjects.migration

Hinweis
Stellen Sie sicher, dass die einzelnen Parameter durch einen Leerschritt voneinander getrennt sind. 5. Speichern Sie die Datei, und schlieen Sie den Texteditor.

Benutzer knnen jetzt unter Verwendung von SSL auf das Berichtskonvertierungstool zugreifen. Zugehrige Links Erstellen von Schlssel- und Zertifikatdateien fr einen Rechner [Seite 156]

7.14 Erluterung der Kommunikation zwischen BI-PlattformKomponenten


Wenn das gesamte BI-Plattform-System im selben gesicherten Subnetz implementiert wird, mssen die Firewalls nicht speziell konfiguriert werden. Sie knnen einige Komponenten jedoch auch in unterschiedlichen Subnetzen implementieren, die durch eine oder mehrere Firewalls getrennt sind. Sie sollten verstehen, wie die Kommunikation zwischen BI-Plattform-Servern, Rich-Clients und dem Webanwendungsserver, der das SAP BusinessObjects SDK hostet, abluft, bevor Sie Ihr System fr die Untersttzung von Firewalls konfigurieren.

162

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

Zugehrige Links Konfigurieren der BI-Plattform fr Firewalls [Seite 171] Beispiele fr typische Firewallszenarios [Seite 175]

7.14.1

berblick ber BI-Server und Kommunikationsports

Es ist wichtig, die BI-Server und ihre Kommunikationsports zu verstehen, wenn das System mit Firewalls implementiert wurde.

7.14.1.1 Bindung eines jeden BI-Servers an einen Anforderungs-Port


Ein BI-Server, z.B. der Input File Repository Server, wird beim Starten an einen Anforderungs-Port gebunden. Andere BI-Plattform-Komponenten, z.B. Server, Rich-Clients und das auf dem Webanwendungsserver gehostete SDK, knnen diesen Anforderungs-Port verwenden, um mit dem Server zu kommunizieren. Die Nummer des Anforderungs-Ports wird vom Server dynamisch beim Start oder Neustart des Servers ausgewhlt, sofern er nicht mit einer bestimmten Portnummer konfiguriert wurde. Fr Server, die ber eine Firewall mit anderen BI-Plattform-Komponenten kommunizieren, muss eine spezifische AnforderungsPortnummer manuell konfiguriert werden.

7.14.1.2

Jeder BI-Server wird beim CMS registriert

BI-Server werden bei Ihrem Start beim CMS registriert. Der CMS zeichnet bei der Serverregistrierung folgende Informationen auf: Hostname (oder IP-Adresse) fr den Hostrechner des Servers Anforderungsportnummer des Servers

7.14.1.3

CMS verwendet zwei Ports.

Der CMS verwendet zwei Ports: den Anforderungsport und den Name Server-Port. Der Anforderungsport wird standardmig dynamisch ausgewhlt. Der Name Server-Port lautet standardmig 6400. Alle BI-Plattform-Server und -Clientanwendungen nehmen den ersten Kontakt zum CMS ber dessen NameServer-Port auf. Der CMS reagiert auf die anfngliche Kontaktaufnahme, indem er den Wert seines AnforderungsPorts zurckgibt. Anschlieend verwenden die Server diesen Anforderungs-Port fr die Kommunikation mit dem CMS.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

163

7.14.1.4 Verzeichnis registrierter Dienste des Central Management Servers


Der Central Management Server (CMS) stellt ein Verzeichnis der Dienste bereit, die bei ihm registriert sind. Andere BI-Plattform-Komponenten wie Webdienste, Rich-Clients und das auf dem Webanwendungsserver gehostete SDK knnen den CMS kontaktieren und einen Verweis auf einen bestimmten Dienst anfordern. Ein Dienstverweis enthlt die Nummer des Anforderungsports des Diensts und den Hostnamen (oder die IP-Adresse) fr den Hostrechner des Servers und die Dienst-ID. BI-Plattform-Komponenten knnen sich in einem anderen Teilnetz als der von ihnen verwendete Server befinden. Der im Dienstverweis enthaltene Hostname (bzw. die IP-Adresse) muss vom Rechner der Komponente geroutet werden knnen.

Hinweis
Der Verweis auf einen BI-Plattform-Server enthlt standardmig den Hostnamen des Serverrechners. (Verfgt ein Rechner ber mehrere Hostnamen, wird der primre Hostname verwendet). Sie knnen einen Server auch so konfigurieren, dass dessen Verweis stattdessen die IP-Adresse enthlt. Zugehrige Links Kommunikation zwischen BI-Plattform-Komponenten [Seite 165]

7.14.1.5 Server Intelligence Agents (SIA) kommunizieren mit dem Central Management Server (CMS)
Ihre Implementierung funktioniert nicht, wenn Server Intelligence Agent (SIA) und Central Management Server (CMS) nicht miteinander kommunizieren knnen. Die Firewall-Ports mssen so konfiguriert sein, dass die Kommunikation zwischen allen SIAs und CMS im Cluster erlaubt ist.

7.14.1.6 Untergeordnete Job Server-Prozesse kommunizieren mit der Datenschicht und dem CMS.
Die meisten Job Server erstellen einen untergeordneten Prozess, um Aufgaben wie das Generieren eines Berichts zu verarbeiten. Der Job Server erstellt einen oder mehrere untergeordnete Prozesse. Jeder untergeordnete Prozess verfgt ber einen eigenen Anforderungs-Port. Standardmig whlt ein Job Server fr jeden untergeordneten Prozess dynamisch einen Anforderungs-Port aus. Sie knnen einen Bereich von Portnummern angeben, aus denen der Job Server auswhlen kann. Alle untergeordneten Prozesse kommunizieren mit dem CMS. Wenn dieser Kommunikationspfad eine Firewall passiert, muss Geben Sie den Bereich der Portnummern an, unter denen der Jobserver eine Wahl treffen kann, indem Sie die Parameter -requestJSChildPorts <<niedrigsterPort>>-<<hchsterPort>> und -requestPort <<port>> zur Befehlszeile des Servers hinzufgen. Achten Sie darauf, dass der Anschlussbereich gro genug ist, um die durch -maxJobs angegebene maximale Anzahl untergeordneter Prozesse zu untersttzen.

164

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

der angegebene Anschlussbereich in der Firewall geffnet werden.

Viele untergeordnete Prozesse kommunizieren mit der Datenschicht. Ein untergeordneter Prozess kann beispielsweise eine Verbindung zur Berichtsdatenbank herstellen, Daten extrahieren und Werte fr einen Bericht berechnen. Wenn der untergeordnete Job Server-Prozess ber eine Firewall mit der Datenschicht kommuniziert, muss: ein Kommunikationspfad in der Firewall geffnet werden, und zwar von einem beliebigen Anschluss auf dem Job Server-Rechner zum Datenbank-Abhranschluss auf dem Datenbankserverrechner.

Zugehrige Links berblick ber Befehlszeilen [Seite 812]

7.14.2 Kommunikation zwischen BI-Plattform-Komponenten


BI-Plattform-Komponenten wie Browserclients, Rich-Clients, Server und das auf dem Webanwendungsserver gehostete SDK kommunizieren whrend typischer Arbeitsablufe ber das Netzwerk miteinander. Um SAP BusinessObjects-Produkte bergreifend ber mehrere, durch eine Firewall getrennte Teilnetze zu implementieren, ist es wichtig, diese Arbeitsablufe zu verstehen.

7.14.2.1 Anforderungen fr die Kommunikation zwischen BIPlattform-Komponenten


BI-Plattform-Implementierungen mssen die folgenden allgemeinen Voraussetzungen erfllen. 1. 2. Jeder Server muss in der Lage sein, die Kommunikation mit jedem anderen BI-Server ber den Anforderungsport des jeweiligen Servers zu initialisieren. Der CMS verwendet zwei Ports. Alle BI-Server, der Rich-Client- sowie der Webanwendungsserver, der das SDK hostet, mssen in der Lage sein, die Kommunikation mit dem Central Management Server (CMS ) ber beide Ports zu initialisieren. Jeder untergeordnete Prozess des Job Servers muss in der Lage sein, mit dem CMS zu kommunizieren. Thick-Clients mssen auerdem in der Lage sein, die Kommunikation mit dem Anforderungs-Port des Input und Output File Repository Servers zu initialisieren. Wenn das Auditing fr Thick-Clients und Webanwendungen aktiviert ist, muss es diesen mglich sein, die Kommunikation mit dem Anforderungs-Port des Adaptive Processing Servers zu initiieren, der den Proxydienst fr das Client-Auditing hostet. Der Webanwendungsserver, der das SDK hostet, muss grundstzlich in der Lage sein, mit den Anforderungsports aller BI-Server zu kommunizieren.

3. 4. 5.

6.

Hinweis
Der Webanwendungsserver muss nur mit den BI-Servern kommunizieren, die in der Implementierung verwendet werden. Wenn Crystal Reports beispielsweise nicht verwendet wird, muss der Webanwendungsserver nicht mit den Crystal Reports Cache Servern kommunizieren. 7. Job Server verwenden die Portnummern, die mit dem Befehl -requestJSChildPorts <<Portbereich>> angegeben werden. Wenn kein Bereich in der Befehlszeile angegeben wurde, verwenden die Server nach dem

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

165

Zufallsprinzip ausgewhlte Portnummern. Damit ein Job Server mit einem CMS-, FTP- oder Mail-Server auf einem anderen Rechner kommunizieren kann, ffnen Sie alle Ports in dem von -requestJSChildPorts auf Ihrer Firewall angegebenen Bereich. 8. 9. Der CMS muss fhig sein, die Kommunikation mit dem berwachungsport der CMS -Datenbank zu initialisieren. Der Connection Server, die meisten untergeordneten Job Server-Prozesse und jede Systemdatenbank und jeder Audit-Verarbeitungsserver mssen in der Lage sein, die Kommunikation mit dem berwachungsport der Berichtsdatenbank zu initialisieren.

Zugehrige Links Portanforderungen der BI-Plattform [Seite 166]

7.14.2.2 Portanforderungen der BI-Plattform


In diesem Abschnitt werden die Kommunikationsports aufgelistet, die von BI-Servern und -Thick-Clients, dem Webanwendungsserver, von dem das SDK gehostet wird, sowie von Dritthersteller-Softwareanwendungen verwendet werden. Wenn die BI-Plattform mit Firewalls implementiert wird, knnen Sie diese Informationen nutzen, um die Mindestanzahl an Ports in diesen Firewalls zu ffnen.

7.14.2.2.1
Syntax

Portanforderungen fr BI-Plattform-Anwendungen

In dieser Tabelle sind die von BI-Plattform-Anwendungen verwendeten Server und Portnummern aufgelistet.

Produkt

Clientanwend ung SAP Crystal Reports 2011Designer

Zugeordnete Server

Serverport-Anforderungen

CrystalReportsBerichte

CMS Input FRS Output FRS Crystal Reports 2011 Report Application Server (RAS) Crystal Reports 2011 Processing Server Crystal Reports Cache Server

CMS Name Server-Port (Standard: 6400) CMS-Anforderungsport Input FRS-Anforderungsport Output FRS-Anforderungs-Port Crystal Reports 2011 Report Application Server-Anforderungsport Crystal Reports 2011 Processing ServerAnforderungsport Crystal Reports Cache ServerAnforderungsport

166

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

Produkt

Clientanwend ung SAP Crystal Reports fr EnterpriseDesigner

Zugeordnete Server

Serverport-Anforderungen

CrystalReportsBerichte

CMS Input FRS Output FRS Crystal Reports Processing Server Crystal Reports Cache Server

CMS Name Server-Port (Standard: 6400) CMS-Anforderungsport Input FRS-Anforderungsport Output FRS-Anforderungs-Port Crystal Reports Processing ServerAnforderungs-Port Crystal Reports Cache ServerAnforderungsport

Dashboards

SAP CMS BusinessObjec Input FRS ts Dashboards Output FRS Webdienst-Provideranwendung (dswsbobje.war), die die fr bestimmte Datenquellenverbindungen bentigten Dashboards-, LiveOffice- und QaaWS-Webdienste hostet

CMS Name Server-Port (Standard: 6400) CMS-Anforderungsport Input FRS-Anforderungsport Output FRS-Anforderungs-Port HTTP-Port (Standard: 80)

Live Office

Live OfficeClient

Web ServicesProvideranwendung (dswsbobje.war), die den Live Office-Webdienst hostet

HTTP-Port (Standard: 80)

BI-Plattform

SAP CMS BusinessObjec Input FRS ts Web Intelligence Desktop UniverseDesign-Tool CMS Input FRS Connection Server

CMS Name Server-Port (Standard: 6400) CMS-Anforderungsport Input FRS-Anforderungsport

BI-Plattform

CMS Name Server-Port (Standard: 6400) CMS-Anforderungsport Input FRS-Anforderungsport Connection Server-Anschluss

BI-Plattform

Business View Manager

CMS Input FRS

CMS Name Server-Port (Standard: 6400) CMS-Anforderungsport Input FRS-Anforderungsport

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

167

Produkt

Clientanwend ung Central Configuration Manager (CCM)

Zugeordnete Server

Serverport-Anforderungen

BI-Plattform

CMS Server Intelligence Agent (SIA)

Die folgenden Ports mssen geffnet sein, damit BI-Remoteserver von CCM verwaltet werden knnen: CMS Name Server-Port (Standard: 6400) CMS-Anforderungsport Die folgenden Anschlsse mssen geffnet sein, damit der CCM SIA-Remoteprozesse verwalten kann: Microsoft Directory Services (TCPAnschluss: 445) NetBIOS Session Service (TCP-Anschluss: 139) NetBIOS Datagram Service (UDPAnschluss: 138) NetBIOS Name Service (UDP-Anschluss: 137) DNS (TCP-/UDP-Anschluss: 53) (Einige aufgefhrte Anschlsse sind u.U. nicht erforderlich. Wenden Sie sich an Ihren Windows-Administrator).

BI-Plattform

Server Intelligence Agent (SIA) )

Jeder BI-Server, einschlielich CMS

SIA-Anforderungsport (Standard: 6410) CMS Name Server-Port (Standard: 6400) CMS-Anforderungsport

BI-Plattform

Berichtskonve rtierungstool

CMS Input FRS

CMS Name Server-Port (Standard: 6400) CMS-Anforderungsport Input FRS-Anforderungsport

BI-Plattform

Repository Diagnostic Tool

CMS Input FRS Output FRS

CMS Name Server-Port (Standard: 6400) CMS-Anforderungsport Input FRS-Anforderungsport Output FRS-Anforderungs-Port

BI-Plattform

Im Alle von den implementierten Webanwendun Produkten bentigten BIgsserver Plattform-Server. gehostetes

CMS Name Server-Port (Standard: 6400) CMS-Anforderungsport

168

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

Produkt

Clientanwend ung

Zugeordnete Server

Serverport-Anforderungen

SDK fr die BI- Beispiel: Die Kommunikation mit Plattform dem Crystal Reports 2011 Processing ServerAnforderungsport ist erforderlich, wenn das SDK Crystal-Reports-Berichte vom CMS abruft und mit diesen interagiert. BI-Plattform Web ServicesProvider (dswsbobje. war) Alle von den Produkte, die auf Webdienste zugreifen, bentigten BI-Server.

Anforderungsport fr jeden erforderlichen Server. Beispiel: Der Crystal Reports 2011 Processing Server-Anforderungsport.

CMS Name Server-Port (Standard: 6400) CMS-Anforderungsport

Anforderungsport fr jeden erforderlichen Beispiel: Die Kommunikation mit Server. Beispiel: Anforderungsports des den Anforderungsports des Dashboards Cache Servers und des Dashboards Cache Servers und Dashboards Processing Servers. des Dashboards Processing Servers ist erforderlich, wenn SAP BusinessObjects Dashboards ber den WebdienstProvider auf EnterpriseDatenquellenverbindungen zugreift. CMS Adaptive Processing Server, der den Multi-Dimensional Analysis Service hostet Input FRS Output FRS CMS Name Server-Port (Standard: 6400) CMS-Anforderungsport Adaptive Processing ServerAnforderungsport Input FRS-Anforderungs-Port Output FRS-Anforderungs-Port

BI-Plattform

SAP BusinessObjec ts Analysis, Edition fr OLAP

7.14.2.2.2 Portanforderungen fr Anwendungen von Drittherstellern


Syntax
In dieser Tabelle sind Softwareprodukte von Drittherstellern aufgelistet, die von SAP BusinessObjectsProdukten verwendet werden. Sie umfasst spezifische Beispiele von einigen Softwareanbietern, die verschiedenen Provider stellen jedoch auch unterschiedliche Anforderungen an die Ports.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

169

DrittherstellerAnwendung

SAP BusinessObjectsKomponente, die das Dritthersteller-Produkt verwendet

Portanforderung der Dritthersteller-Anwendung

Beschreibung

CMSCentral Management Systemdatenbank Server (CMS)

berwachungsport des Datenbankservers

Der CMS ist der einzige Server, der mit der CMSSystemdatenbank kommuniziert. Der CMS ist der einzige Server, der mit der CMS-Audit-Datenbank kommuniziert. Diese Server rufen Informationen von der Berichtsdatenbank ab.

CMS-AuditDatenbank

Central Management Server (CMS)

berwachungsport des Datenbankservers

Berichtsdatenban Connection Server k Jeder untergeordnete Job Server-Prozess Jeder Processing Server Webanwendungss Alle SAP erver BusinessObjectsWebdienste und Webanwendungen, einschlielich BILaunchpad und die CMC FTP-Server Jeder Job Server

Abhranschluss des Datenbankservers

HTTP-Anschluss und HTTPS- Der HTTPS-Anschluss ist nur bei Verwendung der sicheren HTTPAnschluss. Kommunikation erforderlich. Unter Tomcat lautet der HTTP-Standardport beispielsweise 8080 und der HTTPS-Standardport 443. FTP-Eingang (Anschluss 21) Die Job Server verwenden die FTP-Anschlsse, um den Versand FTP-Ausgang (Anschluss 22) an FTP zu ermglichen. SMTP (Anschluss 25) Die Job Server verwenden den SMTP-Port, um den E-MailVersand zu ermglichen. (Nur UNIX) Die Job Server verwenden diese Ports, um den Versand an Datentrger zu ermglichen.

E-Mail-Server

Jeder Job Server

Unix-Server, an die die Job Server Inhalt senden knnen Authentication Server

Jeder Job Server

rexec-Ausgang (Anschluss 512) (Nur UNIX) rsh-Ausgang (Anschluss 514)

CMS

Webanwendungsserver, der das SDK hostet Jeder Thick-Client, z.B. Live Office.

Verbindungsanschluss fr DrittherstellerAuthentifizierung

Anmeldedaten von Benutzern werden auf dem DrittherstellerAuthentifizierungsserver gespeichert. Der CMS , das SDK Der Connection Server fr und die Thick-Clients, die hier den Oracle LDAP-Server wird aufgefhrt sind, mssen mit dem beispielsweise vom Benutzer Drittherstellerin der Datei "ldap.ora" Authentifizierungsserver definiert. kommunizieren, wenn sich ein Benutzer anmeldet.

170

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

7.15 Konfigurieren der BI-Plattform fr Firewalls


Dieser Abschnitt enthlt schrittweise Anleitungen zum Konfigurieren des BI-Plattform-Systems fr die Zusammenarbeit in einer Firewallumgebung.

7.15.1
1. 2. 3.

Konfigurieren des Systems fr Firewalls

Ermitteln Sie, welche BI-Plattform-Komponenten ber eine Firewall hinweg kommunizieren mssen. Konfigurieren Sie manuell den Anforderungs-Port fr jeden BI-Server, der ber eine Firewall hinweg kommunizieren muss. Konfigurieren Sie einen Portbereich fr alle untergeordneten Elemente des Job Servers, die durch eine Firewall kommunizieren mssen. Fgen Sie hierzu -requestJSChildPorts <<niedrigster Port>><<hchster Port>> und -requestPort der Befehlszeile des Servers als <<Port>>-Parameter hinzu. Konfigurieren Sie die Firewall fr die Kommunikation mit den Anforderungs-Ports und dem Portbereich des Job Servers auf den BI-Servern, die Sie im vorherigen Schritt konfiguriert haben. (Optional) Konfigurieren Sie die Datei "hosts" auf allen Rechnern, die einen BI-Plattform-Server hosten, der ber eine Firewall hinweg kommunizieren muss.

4. 5.

Zugehrige Links Communication between BusinessObjects Enterprise components [Seite 165] Changing the default server port numbers [Seite 372] berblick ber Befehlszeilen [Seite 812] Specifying the firewall rules [Seite 171] Configure the hosts files [Seite 172]

7.15.1.1

Festlegen der Firewallregeln

Die Firewall muss konfiguriert werden, um den erforderlichen Datenverkehr zwischen BI-Plattform-Komponenten zu ermglichen. Ausfhrliche Informationen dazu, wie diese Regeln festgelegt werden, finden Sie in Ihrer Firewalldokumentation. Legen Sie fr jeden Kommunikationspfad, der die Firewall passiert, eine Zugriffsregel fr eingehenden Datenverkehr fest. Es ist unter Umstnden nicht erforderlich, eine Zugriffsregel fr jeden BI-Plattform-Server hinter der Firewall festzulegen. Verwenden Sie die Portnummer, die Sie im Feld Port des Servers angegeben haben. Bedenken Sie, dass jeder Server auf einem Rechner eine eindeutige Portnummer verwenden muss. Einige Business Objects-Servers verwenden mehr als einen Port.

Hinweis
Wenn die BI-Plattform ber Firewalls hinweg implementiert wird, die NAT verwenden, bentigt jeder Server auf allen Rechnern eine eindeutige Nummer fr den Anforderungs-Port. Dies bedeutet, dass in der gesamten Implementierung kein Server ber denselben Anforderungs-Port wie ein anderer Server verfgen darf.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

171

Hinweis
Zugriffsregeln fr den ausgehenden Datenverkehr mssen nicht festgelegt werden. BI-Plattform-Server initialisieren keine Kommunikation mit dem Webanwendungsserver oder mit Clientanwendungen. BIPlattform-Server knnen die Kommunikation mit anderen Plattform-Servern im selben Cluster initiieren. Implementierungen mit geclusterten Servern in einer ausgehenden Firewall-Umgebung werden nicht untersttzt.

Beispiel
Dieses Beispiel veranschaulicht die Zugriffsregeln fr den eingehenden Datenverkehr einer Firewall zwischen dem Webanwendungsserver und den BI-Plattform-Servern. In diesem Fall ffnen Sie zwei Ports fr den CMS, einen Port fr den Input File Repository Server (FRS) und einen Port fr den Output FRS. Die Nummern der Anforderungs-Ports entsprechen den Portnummern, die Sie im Feld Port auf der CMC-Konfigurationsseite fr einen Server angeben. Quellcomputer Port Zielcomputer CMS CMS Port 6400 <Nummer des AnforderungsPorts> <Nummer des AnforderungsPorts> <Nummer des AnforderungsPorts> Beliebig Beliebig Aktion Zulassen Zulassen

Webanwendungsserver Beliebig Webanwendungsserver Beliebig

Webanwendungsserver Beliebig

Input FRS

Zulassen

Webanwendungsserver Beliebig

Output FRS

Zulassen

Beliebig Beliebig

Beliebig Beliebig

CMS Andere PlattformServer

Zurckweisen Zurckweisen

Zugehrige Links Kommunikation zwischen BI-Plattform-Komponenten [Seite 165]

7.15.1.2 Konfigurieren der hosts-Datei fr Firewalls, die NAT verwenden.


Dieser Schritt ist nur erforderlich, wenn die BI-Plattform-Server ber eine Firewall kommunizieren mssen, fr die Netzwerkadressumsetzung (Network Address Translation, NAT) aktiviert ist. In diesem Schritt knnen Clientrechner eine Zuordnung zwischen dem Hostnamen eines Servers und einer routbaren IP-Adresse vornehmen.

172

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

Hinweis
Die BI-Plattform kann auf Rechnern implementiert werden, die das Domain Name System (DNS) verwenden. In diesem Fall knnen die Hostnamen des Serverrechners der extern routbaren IP-Adresse auf dem DNS-Server anstatt der hosts-Datei jedes Rechners zugeordnet werden.

Netzwerkadressumsetzung (Network Address Translation, NAT)


Eine Firewall wird eingesetzt, um das interne Netzwerk vor nicht autorisiertem Zugriff zu schtzen. Firewalls, die NAT nutzen, ordnen die IP-Adressen des internen Netzwerks einer anderen Adresse zu, die vom externen Netzwerk genutzt wird. Durch diese Adressumsetzung wird die Sicherheit verbessert, indem interne IP-Adressen vor dem externen Netzwerk verborgen werden. BI-Plattform-Komponenten wie Server, Thick-Clients und Webanwendungsserver, die das BI-Plattform-SDK hosten, verwenden fr die Kontaktaufnahme mit einem Server eine Dienstreferenz. Die Dienstreferenz enthlt den Hostnamen des Serverrechners. Dieser Hostname muss vom Rechner der BI-Plattform-Komponente geroutet werden knnen. Das bedeutet, dass die hosts-Datei auf dem Rechner der Komponente den Hostnamen zur externen IP-Adresse des Serverrechners zuordnen muss. Die externe IP-Adresse des Serverrechners kann von der externen Seite der Firewall aus geroutet werden, whrend dies fr die interne IP-Adresse nicht zutrifft. Die Schritte zur Konfiguration der Datei hosts weichen in Windows und UNIX voneinander ab.

7.15.1.2.1
1. 2. 3.

Konfigurieren der Datei hosts unter Windows

Suchen Sie alle Rechner, auf denen eine BI-Plattform-Komponente ausgefhrt wird, die durch eine Firewall kommunizieren muss, fr die die Netzwerkadressumsetzung (NAT) aktiviert wurde. ffnen Sie auf jedem Rechner aus dem vorangehenden Schritt die hosts-Datei mit einem Texteditor wie dem Editor. Die Datei hosts befindet sich unter \WINNT\system32\drivers\etc\hosts. Befolgen Sie die Anweisungen in der Datei hosts, um Eintrge fr die einzelnen Rechner hinter der Firewall hinzuzufgen, auf denen ein oder mehrere BI-Plattform-Server ausgefhrt werden. Ordnen Sie den Hostnamen oder vollstndig qualifizierten Domnennamen des Serverrechners der externen IP-Adresse zu.

4.

Speichern Sie die Datei hosts.

7.15.1.2.2
Hinweis

Konfigurieren der Datei "hosts" unter UNIX

Das UNIX-Betriebssystem muss so konfiguriert werden, dass zuerst in der Datei hosts und erst dann auf dem DNS nachgesehen wird, um Domnennamen aufzulsen. Weitere Informationen finden Sie in der Dokumentation zum UNIX-System.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

173

1. 2. 3.

Suchen Sie alle Rechner, auf denen eine BI-Plattform-Komponente ausgefhrt wird, die durch eine Firewall kommunizieren muss, fr die die Netzwerkadressumsetzung (NAT) aktiviert wurde. ffnen Sie die Datei hosts in einem Editor wie vi. Die Datei hosts befindet sich im Verzeichnis \etc. Befolgen Sie die Anweisungen in der Datei hosts, um Eintrge fr die einzelnen Rechner hinter der Firewall hinzuzufgen, auf denen ein oder mehrere BI-Plattform-Server ausgefhrt werden. Ordnen Sie den Hostnamen oder vollstndig qualifizierten Domnennamen des Serverrechners der externen IP-Adresse zu.

4.

Speichern Sie die Datei hosts.

7.15.2 Debuggen einer Firewall-Implementierung


Falls ein oder mehrere BI-Plattform-Server nicht funktionieren, wenn die Firewall aktiviert ist, obwohl die erforderlichen Ports auf der Firewall geffnet sind, knnen Sie anhand der Ereignisprotokolle ermitteln, welcher Server welche Ports oder IP-Adressen berwacht. Sie knnen diese Ports dann entweder auf Ihrer Firewall ffnen oder die Portnummern oder IP-Adressen, die diese Server versuchen zu berwachen, ber die Central Management Console (CMC) ndern. Beim Start eines BI-Plattform-Servers schreibt dieser folgende Informationen fr jeden Anforderungs-Port, an den er sich binden mchte, in das Ereignisprotokoll. Server: Der Name des Servers und ob dieser erfolgreich gestartet wurde. Verffentlichte Adressen: Eine Liste der IP-Adressen und Portkombinationen, die an den Namensdienst gesendet werden, der von anderen Servern fr die Kommunikation mit diesem Server genutzt wird.

Wenn ein Server erfolgreich eine Bindung an einen Port herstellt, zeigt die Protokolldatei auch die Verfgbaren Ports, die IP-Adressen und den Portnummer an, die vom Server verwendet wird. Wenn der Server keine Bindung an den Port herstellen kann, zeigt die Protokolldatei die Meldung Abhren von Port(s) fehlgeschlagen sowie die IPAdresse und den Port an, den der Server versucht hat abzuhren. Beim Starten eines Central Management Servers, schreibt er auerdem Informationen zu "Verffentlichte Adressen", "Verfgbare Ports" und "Nicht verfgbare Ports" fr den Namensdienst-Port des Servers.

Hinweis
Wenn ein Server fr die Verwendung eines automatisch zugeordneten Ports und eines ungltigen Hostnamens oder einer ungltigen IP-Adresse konfiguriert wurde, zeigt das Ereignisprotokoll an, dass das Abhren des Hostnamens oder der IP-Adresse und des Ports 0 fehlgeschlagen ist. Wenn ein angegebener Hostname oder eine IP-Adresse ungltig ist, schlgt der Server fehl, bevor das Hostbetriebssystem einen Port zuweisen kann.

Beispiel
Das folgende Beispiel zeigt einen Eintrag fr einen Central Management Server, der erfolgreich zwei Anforderungs-Ports und einen Namensdienstport abhrt. Server mynode.cms1 successfully started. Request Port : Published Address(es): mymachine.corp.com:11032, mymachine.corp.com:8765 Listening on port(s): [2001:0db8:85a3:0000:0000:8a2e:0370:7334]:11032, 10.90.172.216:8765 Name Service Port : Published Address(es): mymachine.corp.com:6400

174

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

Listening on port(s): 10.90.172.216:6400

[2001:0db8:85a3:0000:0000:8a2e:0370:7334]:6400,

7.15.2.1
1.

Debuggen einer Firewall-Implementierung

Lesen Sie das Ereignisprotokoll, um festzustellen, ob die Bindung des Servers an den von Ihnen angegebenen Port erfolgreich war. Konnte der Server nicht erfolgreich an einen Port gebunden werden, besteht wahrscheinlich ein Portkonflikt zwischen dem Server und einem anderen Prozess, der auf dem Rechner ausgefhrt wird. Der Eintrag in Abhren von Port(s) fehlgeschlagen: gibt den Port an, den der Server abzuhren versucht. Fhren Sie ein Dienstprogramm z.B. netstat aus, um herauszufinden, welcher Prozess den Port belegt hat, und konfigurieren Sie dann den anderen Prozess oder den Server so, dass er einen anderen Port abhrt.

2.

Wurde der Server erfolgreich an einen Port gebunden, gibt das Feld Abhren von Port(s): an, welchen Port der Server abhrt. Wenn der Server einen Port abhrt und trotzdem nicht ordnungsgem arbeitet, mssen Sie entweder sicherstellen, dass der Port in der Firewall geffnet ist, oder den Server so konfigurieren, dass er einen geffneten Port abhrt.

Wenn alle Central Management Server in der Implementierung versuchen, Ports oder IP-Adressen abzuhren, die nicht verfgbar sind, dann werden die CMS nicht gestartet, und Sie knnen sich nicht bei der CMC anmelden. Wenn Sie die Portnummer oder IP-Adresse, die der CMS abzuhren versucht, ndern mchten, mssen Sie ber den Central Configuration Manager (CCM) eine gltige Portnummer oder IP-Adresse eingeben. Zugehrige Links Konfigurieren von Portnummern [Seite 372]

7.16 Beispiele fr typische Firewallszenarios


Dieser Abschnitt enthlt Beispiele mit typischen Szenarien fr die Firewallimplementierung.

7.16.1 Beispiel: Implementierung der Anwendungsschicht in einem getrennten Netzwerk


Dieses Beispiel veranschaulicht, wie eine Firewall und BI-Plattform fr die Zusammenarbeit in einer Implementierung konfiguriert werden, in der der Webanwendungsserver durch die Firewall von anderen BIPlattform-Servern getrennt wird. In diesem Beispiel werden die BI-Plattform-Komponenten auf folgenden Rechnern implementiert: Rechner boe_1 hostet den Webanwendungsserver und das SDK. Rechner boe_2 hostet die Server der Verwaltungsschicht, einschlielich Central Management Server, Input File Repository Server, Output File Repository Server und Event Server.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

175

Rechner boe_3 hostet die Server der Verarbeitungsschicht, darunter den Adaptive Job Server, WebIntelligence-Verarbeitungsserver, Report Application Server, Crystal Reports Cache Server und Crystal Reports Processing Server.
Abbildung 10: Implementierung der Anwendungsschicht in einem getrennten Netzwerk

7.16.1.1 Konfigurieren einer im getrennten Netzwerk implementierten Anwendungsschicht


In den folgenden Schritten wird die Konfiguration dieses Beispiels erlutert. 1. Fr dieses Beispiel gelten folgende Kommunikationsvoraussetzungen: 2. Der Webanwendungsserver, der das SDK hostet, muss in der Lage sein, mit dem CMS ber beide Ports zu kommunizieren. Der Webanwendungsserver, der das SDK hostet, muss in der Lage sein, mit allen BI-Plattform-Servern zu kommunizieren. Der Browser muss Zugriff auf den HTTP- oder HTTPS-Anforderungs-Port des Webanwendungsservers haben.

Der Webanwendungsserver muss mit allen BI-Plattform-Servern auf Rechner boe_2 und boe_3 kommunizieren. Konfigurieren Sie die Portnummern fr jeden Server auf diesen Rechnern. Sie knnen beliebige freie Ports von 1.025 bis 65.535 verwenden. Die fr dieses Beispiel ausgewhlten Portnummern sind in der Tabelle aufgelistet: Server Central Management Server Central Management Server Input File Repository Server Portnummer 6400 6411 6415

176

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

Server Output File Repository Server Event Server Adaptive Job Server Crystal Reports Cache Server Web Intelligence Processing Server Report Application Server Crystal Reports Processing Server 3.

Portnummer 6420 6425 6435 6440 6460 6465 6470

Konfigurieren Sie die Firewalls Firewall_1 und Firewall_2, um die Kommunikation mit den festen Ports der Server und des Webanwendungsservers zu ermglichen, der im vorherigen Schritt konfiguriert wurde. In diesem Beispiel wird der HTTP-Port fr den Tomcat-Anwendungsserver geffnet. Tabelle 9: Konfiguration fr Firewall_1 Port Beliebig Zielcomputer boe_1 Port 8080 Aktion Zulassen

Konfiguration fr Firewall_2 Quellcomputer boe_1 boe_1 boe_1 boe_1 boe_1 boe_1 boe_1 boe_1 boe_1 boe_1 4. Port Beliebig Beliebig Beliebig Beliebig Beliebig Beliebig Beliebig Beliebig Beliebig Beliebig Zielcomputer boe_2 boe_2 boe_2 boe_2 boe_2 boe_3 boe_3 boe_3 boe_3 boe_3 Port 6400 6411 6415 6420 6425 6435 6440 6460 6465 6470 Aktion Zulassen Zulassen Zulassen Zulassen Zulassen Zulassen Zulassen Zulassen Zulassen Zulassen

Da diese Firewall nicht NAT-fhig ist, muss die Datei hosts nicht konfiguriert werden.

Zugehrige Links Konfigurieren von Portnummern [Seite 372] Erluterung der Kommunikation zwischen BI-Plattform-Komponenten [Seite 162]

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

177

7.16.2 Beispiel: Trennung von Thick-Client und Datenbankschicht von BI-Plattform-Servern durch eine Firewall
Dieses Beispiel veranschaulicht die Konfiguration einer Firewall und der BI-Plattform fr die Zusammenarbeit in einem Implementierungsszenario mit folgenden Voraussetzungen: Eine Firewall trennt einen Thick Client von den BI-Plattform-Servern. Eine Firewall trennt die BI-Plattform-Server von der Datenbankschicht.

In diesem Beispiel werden die BI-Plattform-Komponenten auf folgenden Rechnern implementiert: Rechner boe_1 hostet den Publishing-Assistenten. Der Publishing-Assistent ist ein BI-Plattform-Thick-Client. Rechner boe_2 hostet die Server der Intelligence-Schicht, einschlielich Central Management Server (CMS), Input File Repository Server, Output File Repository Server und Event Server. Rechner boe_3 hostet die Server der Verarbeitungsschicht, darunter den Adaptive Job Server, den WebIntelligence-Verarbeitungsserver, den Report Application Server, den Crystal Reports Processing Server und den Crystal Reports Cache Server. Der Datenbankrechner hostet die CMS-Systemdatenbank und -Audit-Datenbank und die Berichtsdatenbank. Beachten Sie, dass beide Datenbanken auf demselben Datenbankserver oder jede Datenbank auf einem eigenen Datenbankserver implementiert werden kann. In diesem Beispiel werden alle CMS-Datenbanken und die Berichtsdatenbank auf demselben Datenbankserver implementiert.
Abbildung 11: Implementierung von Rich-Client und Datenbankschicht in getrennten Netzwerken

7.16.2.1 Konfigurieren von durch eine Firewall von BIPlattform-Servern getrennten Schichten
In den folgenden Schritten wird die Konfiguration dieses Beispiels erlutert. 1. Fr dieses Beispiel gelten die folgenden Kommunikationsvoraussetzungen:

178

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2.

Der Publishing-Assistent muss in der Lage sein, die Kommunikation mit dem CMS ber beide CMS-Ports zu initialisieren. Der Publishing-Assistent muss in der Lage sein, die Kommunikation mit dem Input File Repository Server und dem Output File Repository Server zu initialisieren. Connection Server, jeder untergeordnete Job Server-Prozess und alle Processing Server bentigen Zugriff auf den Abhranschluss auf dem Berichtsdatenbankserver. Der CMS erfordert Zugriff auf den Datenbank-Abhranschluss auf dem CMS -Datenbankserver.

Konfigurieren Sie einen bestimmten Port fr den CMS , Input FRS und Output FRS. Sie knnen beliebige freie Ports von 1.025 bis 65.535 verwenden. Die fr dieses Beispiel ausgewhlten Portnummern sind in der Tabelle aufgelistet: Server Central Management Server Input File Repository Server Output File Repository Server

Portnummer 6411 6415 6416

3.

Es muss kein Anschlussbereich fr die untergeordneten Job Server-Prozesse konfiguriert werden, da die Firewall zwischen den Job Servern und Datenbankservern so konfiguriert wird, dass die Kommunikation ber einen beliebigen Port initialisiert werden kann. Konfigurieren Sie <Firewall_1> fr die Kommunikation mit den festen Ports auf den Plattform-Servern, die Sie im vorherigen Schritt konfiguriert haben. Beachten Sie, dass Port 6400 der Standardport fr den CMS Name Server-Port ist und im vorherigen Schritt nicht explizit konfiguriert werden musste. Port Beliebig Beliebig Beliebig Beliebig Zielcomputer boe_2 boe_2 boe_2 boe_2 Port 6400 6411 6415 6416 Aktion Zulassen Zulassen Zulassen Zulassen

4.

Konfigurieren Sie <Firewall_2> fr die Kommunikation mit dem Datenbankserver-Abhranschluss. Der CMS (auf boe_2) muss Zugriff auf die CMS -Systemdatenbank und -Audit-Datenbank haben, und die Job Server (auf boe_3) bentigen Zugriff auf die Systemdatenbank und die Audit-Datenbank. Beachten Sie, dass kein Anschlussbereich fr untergeordnete Job Server-Prozesse konfiguriert werden musste, da fr die Kommunikation mit dem CMS keine Firewall passiert werden musste. Quellcomputer boe_2 boe_3 5. Port Beliebig Beliebig Zielcomputer Databases Databases Port 3306 3306 Aktion Zulassen Zulassen

Da diese Firewall nicht NAT-fhig ist, muss die Datei hosts nicht konfiguriert werden.

Zugehrige Links Erluterung der Kommunikation zwischen BI-Plattform-Komponenten [Seite 162] Konfigurieren der BI-Plattform fr Firewalls [Seite 171]

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

179

7.17

Firewall-Einstellungen fr integrierte Umgebungen

Im folgenden Abschnitt werden spezifische berlegungen und Porteinstellungen fr BI-PlattformImplementierungen erlutert, die in die folgenden ERP-Umgebungen integriert werden. SAP Oracle EBS Siebel JD Edwards PeopleSoft

Zu den BI-Plattform-Komponenten gehren beispielsweise Browserclients, Rich-Clients, Server und das auf dem Webanwendungsserver gehostete SDK. Systemkomponenten knnen auf mehreren Rechnern installiert werden. Bevor Sie das System fr die Arbeit mit Firewalls konfigurieren, sollten Sie sich Grundkenntnisse der Kommunikation mit der BI-Plattform und den ERP-Komponenten aneignen.

Portanforderungen fr die BI-Server


Die folgenden Ports werden fr die entsprechenden Server in der BI-Plattform bentigt: Server-Portanforderungen Name Server-Port des Central Management Servers Anforderungs-Port des Central Management Servers Input FRS-Anforderungs-Port Output FRS-Anforderungs-Port Anforderungs-Port des Report Application Servers Anforderungs-Port des Crystal Reports Cache Servers Anforderungs-Port des Crystal Reports Page Servers Anforderungs-Port des Crystal Reports Processing Servers

7.17.1

Spezifische Firewall-Richtlinien fr die SAP-Integration

In Ihrer BI-Plattformumgebung mssen folgende Kommunikationsregeln eingehalten werden: Der CMS muss in der Lage sein, die Kommunikation mit einem SAP-System ber den Port fr das SAPSystem-Gateway zu initiieren. Der Adaptive Job Server und der Crystal Reports Processing Server mssen (wie auch die Datenzugriffskomponenten) in der Lage sein, die Kommunikation mit einem SAP-System auf dem Port fr das SAP-System-Gateway zu initiieren. Die BW Publisher-Komponente muss in der Lage sein, die Kommunikation mit einem SAP-System auf dem Port fr das SAP-System-Gateway zu initiieren. BI-Plattform-Komponenten, die auf dem SAP Enterprise Portal implementiert sind (z.B. iViews und KMC), mssen in der Lage sein, die Kommunikation mit BI-Plattform-Webanwendungen ber HTTP/HTTPS-Ports zu initiieren.

180

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

Der Webanwendungsserver muss in der Lage sein, die Kommunikation ber den SAP-System-GatewayDienst zu initiieren. Crystal Reports muss in der Lage sein, die Kommunikation mit dem SAP-Host auf dem Port fr das SAPSystem-Gateway und dem Port fr den SAP-System-Dispatcher zu initiieren.

Der Port, den der SAP-Gateway-Dienst abhrt, entspricht dem bei der Installation angegebenen Port.

Hinweis
Wenn fr die Verbindungsherstellung zwischen einer Komponente und einem SAP-System ein SAP-Router erforderlich ist, knnen Sie die Komponente mithilfe der SAP-Router-Zeichenfolge konfigurieren. Beispiel: Wenn Sie ein SAP-Berechtigungssystem fr den Import von Rollen und Benutzern konfigurieren, kann die SAPRouter-Zeichenfolge durch den Namen des Anwendungsservers ersetzt werden. Dadurch wird sichergestellt, dass der CMS ber den SAP-Router mit dem SAP-System kommuniziert. Zugehrige Links Installieren eines lokalen SAP-Gateways [Seite 727]

7.17.1.1

Detaillierte Portanforderungen

Portanforderungen fr SAP
Die BI-Plattform kommuniziert ber den SAP Java Connector (SAP JCO) mit SAP NetWeaver (ABAP). Sie mssen die Verfgbarkeit der folgenden Ports konfigurieren und sicherstellen: Abhrport des SAP Gateway-Dienstes (z.B. 3300). Abhrport des SAP Dispatcher-Dienstes (z.B. 3200).

In der folgenden Tabelle sind die einzelnen erforderlichen Port-Konfigurationen zusammengefasst. Quellrechner
SAP

Port
Beliebig

Zielrechner
BI-PlattformWebanwendungsserve r CMS CMS SAP SAP SAP

Port

Aktion

HTTP/HTTPS-Port des Zulassen Webdienstes Name Server-Port des CMS CMS-AnforderungsPort Port des SAP-SystemGateway-Dienstes Port des SAP-SystemGateway-Dienstes Port des SAP-SystemGateway-Dienstes und Port des SAP-SystemDispatchers Zulassen Zulassen Zulassen Zulassen Zulassen

SAP SAP Webanwendungsserve r Central Management Server (CMS) Crystal Reports

Beliebig Beliebig Beliebig Beliebig Beliebig

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

181

7.17.2 Firewall-Konfiguration fr die JD Edwards EnterpriseOne-Integration


Implementierungen der BI-Plattform, die mit JD Edwards-Software kommunizieren, mssen den folgenden allgemeinen Kommunikationsregeln entsprechen: Die Webanwendungen der Central Management Console mssen in der Lage sein, die Kommunikation mit JD Edwards EnterpriseOne ber den JDENET-Port und einen beliebig whlbaren Port zu initiieren. Crystal Reports mit Client-seitiger Datenkonnektivitt muss in der Lage sein, die Kommunikation mit JD Edwards EnterpriseOne ber den JDNET-Port zu initiieren. Zum Abrufen der Daten muss JD Edwards EnterpriseOne in der Lage sein, ber einen beliebigen Port, der nicht kontrolliert werden kann, mit dem Treiber zu kommunizieren. Der Central Management Server muss in der Lage sein, die Kommunikation mit JD Edwards EnterpriseOne ber den JDENET-Port und einen beliebig whlbaren Port zu initiieren. Die Nummer des JDENET-Ports finden Sie in der Konfigurationsdatei fr den JD Edwards EntepriseOneAnwendungsserver (JDE.INI) unter "JDNET".

Portanforderungen fr die BI-Server


Produkt SAP BusinessObjects Business Intelligence Serverportanforderungen Port fr BI-Plattform-Anmeldeserver

Portanforderungen fr JD Edwards EnterpriseOne


Produkt JD Edwards EnterpriseOne Portanforderung JDENET-Port und ein beliebig gewhlter Port Beschreibung Wird fr die Kommunikation zwischen der BI-Plattform und dem JD Edwards EntepriseOneAnwendungsserver verwendet.

Konfigurieren des Webanwendungsservers fr die Kommunikation mit JD Edwards


In diesem Abschnitt wird veranschaulicht, wie eine Firewall und die BI-Server fr die Zusammenarbeit in einer Implementierung konfiguriert werden, in der der Webanwendungsserver durch die Firewall von anderen BIServern getrennt wird. Informationen zur Firewall-Konfiguration mit BI-Servern und -Clients finden Sie im Abschnitt Portanforderungen fr die BI-Server in diesem Handbuch. Fr die Kommunikation mit JD Edwards-Servern mssen neben der standardmigen Firewall-Konfiguration einige zustzliche Ports geffnet werden.

182

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

Tabelle 10: Fr JD Edwards EnterpriseOne Enterprise Quellcomputer CMS mit Sicherheitskonnektivittsfunktion fr JD Edwards EnterpriseOne BI-Server mit Datenkonnektivitt fr JD Edwards EnterpriseOne Crystal Reports mit clientseitiger Datenkonnektivitt fr JD Edwards EnterpriseOne Webanwendungsserver Port Beliebig Zielcomputer JD Edwards EnterpriseOne JD Edwards EnterpriseOne JD Edwards EnterpriseOne JD Edwards EnterpriseOne Port Beliebig Aktion Zulassen

Beliebig Beliebig

Beliebig Beliebig

Zulassen Zulassen

Beliebig

Beliebig

Zulassen

7.17.3

Spezifische Firewallrichtlinien fr Oracle EBS

Ihre Implementierung der BI-Plattform muss zulassen, dass die folgenden Komponenten die Kommunikation mit dem berwachungsport der Oracle-Datenbank initiieren. BI-Plattform-Webkomponenten CMS (speziell das Oracle EBS-Sicherheitsplugin) BI-Plattform-Backendserver (speziell die EBS Data Access-Komponente) Crystal Reports (speziell die EBS Data Access-Komponente)

Hinweis
Der Standardwert fr den berwachungsport der Oracle-Datenbank lautet in allen vorangehenden Fllen "1521".

7.17.3.1

Detaillierte Portanforderungen

Neben der Standard-Firewallkonfiguration fr die BI-Plattform mssen weitere Ports fr die Arbeit in einer integrierten Oracle EBS-Umgebung geffnet werden: Quellcomputer Webanwendungsserver CMS mit Sicherheitskonnektivitt fr Oracle EBS Port Beliebig Beliebig Zielcomputer Oracle EBS Oracle EBS Oracle EBS Port OracleDatenbankport OracleDatenbankport OracleDatenbankport Aktion Zulassen Zulassen Zulassen

BI-Server mit serverseitiger Beliebig Datenkonnektivitt fr Oracle EBS

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

183

Quellcomputer Crystal-Reports-Berichte mit serverseitiger Datenkonnektivitt fr Oracle EBS

Port Beliebig

Zielcomputer Oracle EBS

Port OracleDatenbankport

Aktion Zulassen

7.17.4 Firewall-Konfiguration fr PeopleSoft EnterpriseIntegration


Implementierungen der BI-Plattform, die mit PeopleSoft Enterprise kommunizieren, mssen den folgenden allgemeinen Kommunikationsregeln entsprechen: Der Central Management Server (CMS) mit der Komponente fr die Sicherheitskonnektivitt muss in der Lage sein, die Kommunikation mit dem PeopleSoft QAS-Webdienst zu initiieren. BI-Server mit der Komponente fr die Datenkonnektivitt mssen in der Lage sein, die Kommunikation mit dem PeopleSoft QAS-Webdienst zu initiieren. Crystal Reports mit der clientseitigen Komponente fr die Datenkonnektivitt muss in der Lage sein, die Kommunikation mit dem PeopleSoft QAS-Webdienst zu initiieren. Enterprise Management (EPM) Bridge muss in der Lage sein, mit dem CMS und dem Input File Repository Server zu kommunizieren. Die EPM Bridge muss in der Lage sein, ber eine ODBC-Verbindung mit der PeopleSoft-Datenbank zu kommunizieren.

Die Webdienst-Portnummer entspricht dem im PeopleSoft Enterprise-Domnennamen angegebenen Port.

Portanforderungen fr BI-Server
Produkt SAP BusinessObjects Business Intelligence Server-Portanforderungen Port fr BI-Plattform-Anmeldeserver

Portanforderungen fr PeopleSoft
Produkt Portanforderung Beschreibung Dieser Port ist bei der Verwendung der SOAP-Verbindung fr PeopleSoft Enterprise fr People Tools 8.46 und neuere Lsungen erforderlich

PeopleSoft Enterprise: People Tools HTTP/HTTPS-Port des 8.46 oder hher Webdienstes

184

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

Konfigurieren der BI-Plattform und PeopleSoft fr Firewalls


In diesem Abschnitt wird veranschaulicht, wie die BI-Server und PeopleSoft Enterprise fr die Zusammenarbeit in einer Implementierung konfiguriert werden, in der der Webanwendungsserver durch die Firewall von anderen BIServern getrennt wird. Weitere Informationen zur Firewall-Konfiguration bei BI-Plattform-Servern und -Clients finden Sie im Administratorhandbuch fr SAP BusinessObjects Business Intelligence. Neben der Firewall-Konfiguration mit der BI-Plattform mssen weiterer Konfigurationen durchgefhrt werden. Tabelle 11: Fr PeopleSoft Enterprise: PeopleTools 8.46 oder hher Quellcomputer CMS mit der Funktion "Sicherheitskonnektivitt" fr PeopleSoft BI-Server mit Datenkonnektivitt fr PeopleSoft Port Beliebig Zielcomputer PeopleSoft Port HTTP-/HTTPS-Port fr PeopleSoftWebdienst HTTP-/HTTPS-Port fr PeopleSoftWebdienst HTTP-/HTTPS-Port fr PeopleSoftWebdienst CMS Name ServerPort CMS-AnforderungsPort Input-FRS-Port PeopleSoftDatenbank-Port Aktion Zulassen

Beliebig

PeopleSoft

Zulassen

Crystal Reports mit clientseitiger Beliebig Datenkonnektivitt fr PeopleSoft EPM-Brcke EPM-Brcke EPM-Brcke EPM-Brcke Beliebig Beliebig Beliebig Beliebig

PeopleSoft

Zulassen

CMS CMS Input File Repository Server PeopleSoft

Zulassen Zulassen Zulassen Zulassen

7.17.5

Firewall-Konfiguration fr die Siebel-Integration

In diesem Abschnitt werden die spezifischen Ports beschrieben, die fr die Kommunikation zwischen der BIPlattform und Siebel-eBusiness-Anwendungssystemen erforderlich sind, wenn diese durch Firewalls voneinander getrennt sind. Die Webanwendung muss in der Lage sein, die Kommunikation mit dem BI-Plattform-Anmeldeserver fr Siebel zu initiieren. Fr den Enterprise-Anmeldeserver fr Siebel werden drei Ports bentigt: 1. 2. 3. Der Echo-Port 7 (TCP) zum berprfen des Zugriffs auf den Anmeldeserver. Der Port fr BI-Plattform-Anmeldeserver fr Siebel (Standardeinstellung ist 8448) fr CORBA-IORberwachungsport. Ein beliebiger POA-Port fr die CORBA-Kommunikation, der nicht kontrolliert werden kann. Es mssen daher alle Ports geffnet werden.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

185

Der CMS muss in der Lage sein, die Kommunikation mit dem BI-Plattform-Anmeldeserver fr Siebel zu initiieren. Der CORBA-IOR-berwachungsport ist fr jeden Anmeldeserver konfiguriert (zum Beispiel 8448). Sie mssen auerdem eine beliebige POA-Portnummer ffnen, die unbekannt bleibt, bis Sie die BI-Plattform installiert haben. Der BI-Plattform-Anmeldeserver fr Siebel muss in der Lage sein, die Kommunikation mit dem SCBroker-Port (Siebel-Verbindungsbroker, z.B. 2321) einzuleiten. Die BI-Plattform-Backend-Server (Siebel-Datenzugriffskomponente) mssen in der Lage sein, die Kommunikation mit dem SCBroker-Port (Siebel-Verbindungsbroker, z.B. 2321) einzuleiten. Crystal Reports (Siebel-Datenzugriffskomponente) muss in der Lage sein, die Kommunikation mit dem SCBroker-Port (Siebel-Verbindungsbroker, z.B. 2321) einzuleiten.

Detaillierte Beschreibung der Ports


In diesem Abschnitt werden die von der BI-Plattform verwendeten Ports aufgefhrt. Wenn die BI-Plattform mit Firewalls implementiert wird, knnen Sie diese Informationen nutzen, um die Mindestanzahl an Ports in den Firewalls zu ffnen, die fr die Integration mit Siebel erforderlich sind. Tabelle 12: Portanforderung fr BI-Plattform-Server Produkt Business-Intelligence-Plattform Server-Portanforderungen Port fr BI-Plattform-Anmeldeserver

Tabelle 13: Portanforderung fr Siebel Produkt Siebel eBusinessAnwendung Portanforderung 2321 Beschreibung SCBroker-Standardport (Siebel-Verbindungsbroker)

Konfigurieren der BI-Plattform-Firewalls fr die Integration mit Siebel


In diesem Abschnitt wird erlutert, wie eine Firewall fr Siebel und die BI-Plattform fr die Zusammenarbeit in einem Implementierungsszenario konfiguriert wird, in dem der Webanwendungsserver durch die Firewall von anderen Plattformservern getrennt wird. Quellcomputer Webanwendungsserver CMS BI-Plattform-Anmeldeserver fr Siebel Port Beliebi g Beliebi g Beliebi g Zielcomputer BI-Plattform-Anmeldeserver fr Siebel BI-Plattform-Anmeldeserver fr Siebel Siebel Port Beliebig Beliebig SCBroker-Port Aktion Zulassen Zulassen Zulassen

186

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

Quellcomputer BI-Plattform-Server mit serverseitiger Datenkonnektivitt fr Siebel Crystal Reports mit clientseitiger Datenkonnektivitt fr Siebel

Port Beliebi g Beliebi g

Zielcomputer Siebel

Port SCBroker-Port

Aktion Zulassen

Siebel

SCBroker-Port

Zulassen

7.18 BI-Plattform und Reverse Proxy Server


Die BI-Plattform kann in einer Umgebung mit einem oder mehreren Reverse Proxy-Servern implementiert werden. Ein Reverse Proxy-Server wird normalerweise vor den Webanwendungsservern implementiert, um sie hinter einer einzelnen IP-Adresse zu verbergen. In dieser Konfiguration wird der gesamte an private Webanwendungsserver gerichtete Internet-Datenverkehr ber den Reverse Proxy-Server geroutet, whrend die privaten IP-Adressen unerkannt bleiben. Da der Reverse Proxy-Server die ffentlichen URLs in interne URLs bersetzt, muss er mit den URLs der BIPlattform-Webanwendungen konfiguriert werden, die im internen Netzwerk implementiert sind.

7.18.1

Untersttzte Reverse Proxy-Server

Die BI-Plattform untersttzt die folgenden Reverse Proxy Server: IBM Tivoli Access Manager WebSEAL 6 Apache 2.2 Microsoft ISA 2006

7.18.2 Allgemeine Informationen zur Implementierung von Webanwendungen


BI-Plattform-Webanwendungen werden auf einem Webanwendungsserver implementiert. Die Anwendungen werden automatisch whrend der Installation durch das WDeploy-Tool implementiert. Das Tool kann auch zur manuellen Implementierung der Anwendungen verwendet werden, nachdem die BI-Plattform implementiert wurde. Die Webanwendungen befinden sich im folgenden Verzeichnis in einer Standardinstallation unter Windows: C:\Programme (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\warfiles \webapps WDeploy wird zum Implementieren zweier spezifischer WAR-Dateien verwendet:
BOE : beinhaltet die Management Console (CMC), BI-Launchpad, OpenDocument

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

187

dswsbobje : beinhaltet die Webdienstanwendung

Wenn sich der Webanwendungsserver hinter einem Reverse Proxy-Server befindet, sollte der Reverse ProxyServer mit den korrekten Kontextpfaden der WAR-Dateien konfiguriert werden. Um die gesamte BI-PlattformFunktionalitt verfgbar zu machen, konfigurieren Sie einen Kontextpfad fr jede installierte WAR-Datei der BIPlattform.

7.19 Konfigurieren von Reverse Proxy-Servern fr BIPlattform-Webanwendungen


In Implementierungen, in denen BI-Plattform-Webanwendungen hinter einem Reverse Proxy-Server implementiert sind, muss der Reverse Proxy-Server fr die Zuordnung eingehender URL-Anforderungen zur richtigen Webanwendung konfiguriert werden. Diese Abschnitt enthlt spezifische Konfigurationsbeispiele fr einige untersttzte Reverse Proxy-Server. Weitere Informationen finden Sie in der Produktdokumentation Ihres Reverse Proxy-Servers.

7.19.1 Ausfhrliche Anweisungen zur Konfiguration von Reverse Proxy-Servern


Konfigurieren der WAR-Dateien
BI-Plattform-Webanwendungen werden als WAR-Dateien auf einem Webanwendungsserver implementiert. Stellen Sie sicher, dass Sie auf dem Reverse Proxy-Server eine Direktive fr die WAR-Datei konfigurieren, die fr die Implementierung bentigt wird. Zur Implementierung der WAR-Dateien BOE oder dswsbobje knnen Sie WDeploy verwenden. Weitere Informationen zu WDeploy finden Sie im Handbuch fr die Implementierung von Webanwendungen.

Angeben von BOE-Eigenschaften im benutzerdefinierten Konfigurationsverzeichnis


Die Datei BOE.war enthlt globale und anwendungsspezifische Eigenschaften. Verwenden Sie das benutzerdefinierte Konfigurationsverzeichnis, wenn Sie die Eigenschaften ndern mssen. Das Verzeichnis befindet sich standardmig unter C:\Programme (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF\config\custom.

Hinweis
Um zu vermeiden, dass im Standardverzeichnis Dateien berschrieben werden, ndern Sie die Eigenschaften im Verzeichnis config\default nicht. Die Benutzer sollten das Verzeichnis custom verwenden.

188

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

Hinweis
Auf manchen Webanwendungsservern, z.B. auf der mit der BI-Plattform gebndelten Tomcat-Version, knnen Sie direkt auf die Datei BOE.war zugreifen. In diesem Szenario knnen benutzerdefinierte Einstellungen direkt festgelegt werden, ohne dass die WAR-Datei deinstalliert werden muss. Wenn Sie nicht auf BOE.war zugreifen knnen, mssen Sie die Datei deinstallieren, anpassen und dann erneut implementieren.

Konsistente Verwendung des Zeichens "/"


Definieren Sie die Kontextpfade im Reverse Proxy-Server auf dieselbe Weise, wie sie in eine Browser-URL eingegeben werden. Beispiel: Wenn in der Direktive am Ende des Spiegelpfads auf dem Reverseproxyserver ein Schrgstrich (/) enthalten ist, geben Sie auch am Ende der Browser-URL einen Schrgstrich / ein. Verwenden Sie den Schrgstrich (/) durchgngig in der Quell-URL und der Ziel-URL der Direktive des Reverseproxyservers. Wenn ein Schrgstrich (/) am Ende der Quell-URL hinzugefgt wird, muss er auch am Ende der Ziel-URL hinzugefgt werden.

7.19.2 Konfigurieren der Reverse Proxy-Server


Die folgenden Schritte sind auszufhren, damit BI-Plattform-Webanwendungen hinter einem untersttzten Reverse Proxy-Server arbeiten knnen. 1. 2. 3. 4. Stellen Sie sicher, dass der Reverse Proxy-Server entsprechend den Anweisungen des Providers und der Netzwerktopologie der Implementierung ordnungsgem konfiguriert ist. Stellen Sie fest, welche BI-Plattform-WAR-Datei bentigt wird. Konfigurieren Sie den Reverse Proxy-Server fr jede BI-Plattform-WAR-Datei. Beachten Sie, dass fr jeden Reverse Proxy-Servertyp unterschiedliche Regeln gelten. Fhren Sie besondere Konfigurationsschritte aus, die u.U. erforderlich sind. Fr einige Webanwendungen sind bei der Implementierung auf bestimmten Webanwendungsservern besondere Konfigurationsschritte erforderlich.

7.19.3 Konfigurieren des Apache 2.2-Reverse Proxy-Servers fr die BI-Plattform


In diesem Abschnitt wird der Workflow zur Konfiguration der BI-Plattform und von Apache 2.2 fr deren Zusammenarbeit beschrieben. 1. 2. 3. Stellen Sie sicher, dass die BI-Plattform und Apache 2.2 auf separaten Rechnern installiert sind. Apache 2.2 muss, wie in der Dokumentation des Providers beschrieben, als Reverse Proxy-Server installiert und konfiguriert sein. Konfigurieren Sie ProxyPass fr jede WAR-Datei, die hinter dem Reverse Proxy-Server implementiert wird.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

189

4.

Konfigurieren Sie ProxyPassReverseCookiePath fr jede Webanwendung, die hinter dem Reverse ProxyServer implementiert wird. Beispiel: ProxyPass /C1/BOE/ http://<<appservername>>:80/BOE/ ProxyPassReverseCookiePath / /C1/BOE ProxyPassReverse /C1/BOE/ http://<<appservername>>:80/BOE/ ProxyPass /C1/explorer/ http://<<appservername>>:80/explorer/ ProxyPassReverseCookiePath / /C1/explorer ProxyPassReverse /C1/explorer/ http://<<appservername>>:80/explorer/

7.19.4 Konfigurieren des WebSEAL 6.0-Reverse Proxy-Servers fr die BI-Plattform


In diesem Abschnitt wird die Konfiguration der BI-Plattform fr die Zusammenarbeit mit WebSEAL 6.0 erlutert. Die empfohlene Konfigurationsmethode besteht darin, eine einzelne Standardverknpfung zu erstellen, durch die alle auf einem internen Webanwendungsserver oder Webserver gehosteten BI-Plattform-Webanwendungen einem einzigen Bereitstellungspunkt zugeordnet werden. 1. Stellen Sie sicher, dass die BI-Plattform und WebSEAL 6.0 auf separaten Rechnern installiert sind. Obwohl die BI-Plattform und WebSEAL 6.0 auf demselben Rechner implementiert werden knnen, wird davon abgeraten. Hinweise zur Konfiguration dieses Implementierungsszenarios finden Sie in der WebSEAL 6.0Produktdokumentation. 2. 3. 4. Stellen Sie sicher, dass WebSEAL 6.0 entsprechend den Anweisungen in der Herstellerdokumentation installiert und konfiguriert ist. Starten Sie das Befehlszeilen-Dienstprogramm pdadmin von WebSEAL. Melden Sie sich als Benutzer mit Administratorrechten bei einer sicheren Domne wie sec_master an. Geben Sie den folgenden Befehl an der pdadmin sec_master-Eingabeaufforderung ein: server task <instance_name-webseald-host_name>create -t <type> -h <host_name> -p <port> <junction_point> Dabei entspricht <Instanzenname-webseald-Hostname> dem vollstndigen Servernamen der installierten WebSEALInstanz. Verwenden Sie diesen vollstndigen Servernamen im selben Format wie in der Ausgabe des Befehls server list. <Typ> dem Typ der Junction. Verwenden Sie tcp, wenn die Junction einem internen HTTP-Port zugeordnet wird. Verwenden Sie ssl, wenn die Junction einem internen HTTPS-Port zugeordnet wird. <Hostname> dem DNS-Hostnamen oder der IP-Adresse des internen Servers, bei dem die Anforderungen eingehen. <Port> dem TCP-Port des internen Servers, bei dem die Anforderungen eingehen. <Junction_Punkt> dem Verzeichnis im geschtzten WebSEAL-Objektraum, in dem der Dokumentraum des internen Servers bereitgestellt wird.

190

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

Beispiel
server task default-webseald-webseal.rp.sap.com create -t tcp -h 10.50.130.123 -p 8080/hr

7.19.5 Konfigurieren von Microsoft ISA 2006 fr die BIPlattform


In diesem Abschnitt wird die Konfiguration der BI-Plattform fr die Zusammenarbeit mit ISA 2006 erlutert. Die empfohlene Konfigurationsmethode besteht darin, eine einzelne Standardverknpfung zu erstellen, durch die alle auf einem internen Webanwendungsserver oder Webserver gehosteten BI-Plattform-WAR-Dateien einem einzigen Bereitstellungspunkt zugeordnet werden. Je nach Webanwendungsserver ist eine zustzliche Konfiguration auf dem Anwendungsserver erforderlich, damit er zusammen mit ISA 2006 funktioniert. 1. Stellen Sie sicher, dass die BI-Plattform und ISA 2006 auf separaten Rechnern installiert sind. Obwohl die BI-Plattform und ISA 2006 auf demselben Rechner implementiert werden knnen, wird davon abgeraten. Hinweise zur Konfiguration dieses Implementierungsszenarios finden Sie in der ISA 2006Dokumentation. 2. 3. 4. Stellen Sie sicher, dass ISA 2006 entsprechend den Anweisungen in der Herstellerdokumentation installiert und konfiguriert ist. Starten Sie das Dienstprogramm "ISA Server-Verwaltung". Verwenden Sie den Navigationsbereich, um eine neue Verffentlichungsregel zu starten. a) Fahren Sie fort mit... Arrays Rechnername Firewallrichtlinie Neu Website-Verffentlichungsregel

Nicht vergessen
Ersetzen Sie Rechnername durch den Namen des Rechners, auf dem ISA 2006 installiert ist. b) Geben Sie unter Name der Webverffentlichungsregel einen Regelnamen ein, und klicken Sie auf Weiter. c) Whlen Sie Zulassen als Regelaktion, und klicken Sie auf Weiter. d) Whlen Sie Einzelne Website oder Lastausgleich verffentlichen als Verffentlichungstyp, und klicken Sie auf Weiter. e) Whlen Sie einen Verbindungstyp zwischen dem ISA-Server und der verffentlichten Website, und klicken Sie auf Weiter. Whlen Sie beispielsweise Nicht sichere Verbindungen verwenden, um eine Verbindung zum verffentlichten Webserver oder zur Serverfarm herzustellen. f) Geben Sie den internen Namen der Website, die Sie verffentlichen (z.B. den Namen des Rechners, auf dem die BI-Plattform gehostet wird) in Interner Sitename ein, und klicken Sie auf Weiter.

Hinweis
Wenn der Rechner, auf dem ISA 2006 gehostet wird, keine Verbindung zum Zielserver herstellen kann, whlen Sie Name oder IP-Adresse eines Computers verwenden, um eine Verbindung zum

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

191

verffentlichten Server herzustellen und geben den Namen oder die IP-Adresse in das vorgegebene Feld ein. g) Whlen Sie in Details des ffentlichen Namens den Domnennamen (z.B.Beliebiger Domnenname) aus, und geben Sie interne Verffentlichungsdetails (z.B. /*) ein. Klicken Sie auf Weiter. Anschlieend erstellen Sie einen neuen Weblistener, der eingehende Webanforderungen berwacht. 5. Klicken Sie auf Neu, um den Assistenten fr neue Weblistenerdefinitionen zu starten. a) Geben Sie einen Namen in Weblistenername ein, und klicken Sie auf Weiter. b) Whlen Sie einen Verbindungstyp zwischen dem ISA-Server und der verffentlichten Website, und klicken Sie auf Weiter. Whlen Sie beispielsweise Keine sicheren SSL-Verbindungen mit Clients erforderlich. c) Whlen Sie im Bereich Weblistener-IP-Adressen Folgendes aus, und klicken Sie auf Weiter. Intern Extern Lokaler Host Alle Netzwerke

Der ISA Server ist jetzt fr die ausschlieliche Verffentlichung ber HTTP konfiguriert. d) Whlen Sie eine Option fr die Authentifizierungseinstellung aus, klicken Sie auf Weiter und dann auf Fertig stellen. Der neue Listener ist jetzt fr die Webverffentlichungsregel konfiguriert. 6. 7. Klicken Sie unter Benutzerstze auf Weiter und dann auf Fertig stellen. Klicken Sie auf bernehmen, um alle Einstellungen fr die Webverffentlichungsregel zu speichern und die ISA 2006-Konfiguration zu aktualisieren. Anschlieend mssen die Eigenschaften der Webverffentlichungsregel aktualisiert werden, um die Pfade fr die Webanwendungen zuzuordnen. Klicken Sie im Navigationsbereich mit der rechten Maustaste auf die von Ihnen konfigurierte Firewallrichtlinie, und whlen Sie Eigenschaften. Klicken Sie auf der Registerkarte Pfade auf Hinzufgen, um SAP BusinessObjects-Webanwendungen Routen zuzuordnen.

8. 9.

10. Whlen Sie auf der Registerkarte ffentlicher Name die Option Anforderungen fr die folgenden Websites, und klicken Sie auf Hinzufgen. 11. Geben Sie im Dialogfeld ffentlicher Name Ihren ISA 2006-Servernamen ein, und klicken Sie auf OK. 12. Klicken Sie auf bernehmen, um alle Einstellungen fr die Webverffentlichungsregel zu speichern und die ISA 2006-Konfiguration zu aktualisieren. 13. berprfen Sie die Verbindungen, indem Sie folgende URL aufrufen: http://<<ISA Server-Hostname>>:<<Portnummer des Weblisteners>>/<<Externer Pfad der Anwendung>> Beispiel: http://myISAserver:80/Product/BOE/CMC

Hinweis
Der Browser muss u.U. mehrere Male aktualisiert werden. Die HTTP-Richtlinie fr die gerade konfigurierte Regel muss gendert werden, um sicherzustellen, dass Sie sich bei der CMC anmelden knnen. Klicken Sie mit der rechten Maustaste auf die Regel, die Sie im Dienstprogramm

192

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

"ISA Server-Verwaltung" erstellt haben, und whlen Sie HTTP konfigurieren. Anschlieend deaktivieren Sie im Bereich URL-Schutz die Option Normalisierung berprfen. Fr den Remotezugriff auf die BI-Plattform muss eine Zugriffsregel erstellt werden.

7.20 Spezielle Konfiguration fr die BI-Plattform in Reverse Proxy-Umgebungen


Fr einige BI-Plattform-Produkte sind zustzliche Konfigurationsschritte erforderlich, damit sie in Reverse ProxyUmgebungen ordnungsgem funktionieren. In diesem Abschnitt wird die zustzliche Konfiguration beschrieben.

7.20.1 Aktivieren eines Reverse Proxys fr Webdienste


In diesem Abschnitt werden die Schritte beschrieben, die zum Aktivieren von Reverse Proxys fr Webdienste ausgefhrt werden mssen.

7.20.1.1

Aktivieren von Reverse Proxys unter Tomcat 6

Um Reverse Proxys auf dem Tomcat Web Application Server zu aktivieren, ndern Sie die Datei server.xml. Die erforderlichen nderungen umfassen das Einstellen von proxyPort als Abhranschluss fr den Reverse ProxyServer und das Hinzufgen eines neuen proxyName. In diesem Abschnitt wird das Verfahren erlutert. 1. 2. Stoppen Sie Tomcat. ffnen Sie die Datei server.xml fr Tomcat. Unter Windows befindet sich server.xml in C:\Programme (x86)\SAP BusinessObjects \Tomcat6\conf Unter UNIX befindet sich server.xml in <CATALINA_HOME>/conf. Der Standardwert von <CATALINA_HOME> lautet <INSTALLVERZ>/sap_bobj/tomcat. 3. Suchen Sie den folgenden Abschnitt in der Datei "server.xml": <!-- Define a Proxied HTTP/1.1 Connector on port 8082 --> <!--See proxy documentation for more information about using this.--> <!-<Connector port="8082" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" acceptCount="100" debug="0" connectionTimeout="20000" proxyPort="80" disableUploadTimeout="true" /> --> 4. 5. Entfernen Sie den Kommentar fr das Connector-Element, indem Sie <!-- und --> lschen. ndern Sie den Wert von proxyPort in den Abhranschluss des Reverse Proxy-Servers.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

193

6.

Fgen Sie der Connector-Attributliste ein neues proxyName-Attribut hinzu. Der Wert von proxyName muss dem Proxy-Servernamen entsprechen, der von Tomcat in die richtige IP-Adresse aufgelst werden muss. Beispiel: <!--Define a Proxied HTTP/1.1 Connector on port 8082 --> <!--See proxy documentation for more information about using this.--> <Connector port="8082" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" acceptCount="100" debug="0" connectionTimeout="20000" proxyName="my_reverse_proxy_server.domain.com" proxyPort="ReverseProxyServerPort" disableUploadTimeout="true" /> Mein_Reverse_Proxy_Server.Domne.com und ReverseProxyServerPort sollten dabei durch den richtigen Reverse Proxy-Servernamen und dessen Abhranschluss ersetzt werden.

7. 8. 9.

Speichern und schlieen Sie die Datei server.xml. Starten Sie Tomcat neu. Stellen Sie sicher, dass der virtuelle Pfad des Reverse Proxy-Servers dem richtigen Tomcat-Connector-Port zugeordnet wird. Im vorangehenden Beispiel lautet die Portnummer 8082. Im folgenden Beispiel finden Sie eine Beispielkonfiguration fr Apache HTTP Server 2.2, der als Reverse Proxy-Server fr die unter Tomcat implementierten SAP BusinessObjects -Webdienste fungiert: ProxyPass /XI3.0/dswsbobje http://internalServer:8082/dswsbobje ProxyPassReverseCookiePath /dswsbobje /XI3.0/ dswsbobje

Zum Aktivieren von Webdiensten mssen Proxyname und Portnummer fr den Connector identifiziert werden.

7.20.1.2 Aktivieren von Reverse Proxys fr Webdienste auf anderen Webanwendungsservern als Tomcat
Bei den folgenden Schritten wird vorausgesetzt, dass die BI-Plattform-Webanwendungen erfolgreich fr den ausgewhlten Webanwendungsserver konfiguriert werden. Beachten Sie, dass bei wsresources die Gro-/ Kleinschreibung bercksichtigt wird. 1. 2. Halten Sie den Webanwendungsserver an. Geben Sie die externe URL der Webdienste in der Datei dsws.properties an. Diese Datei befindet sich in der Webanwendung dswsbobje. Wenn Ihre externe URL beispielsweise http:// my_reverse_proxy_server.domain.com/dswsbobje/ lautet, aktualisieren Sie die Eigenschaften in der Datei "dsws.properties" wie folgt: wsresource1=ReportEngine|reportengine web service alone|http:// Mein_Reverse_Proxy_Server.Domne.com/SAP/dswsbobje/services/ReportEngine wsresource2=BICatalog|bicatalog web service alone|http:// my_reverse_proxy_server.domain.com/SAP/dswsbobje/services/BICatalog

194

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

3. 4. 5.

wsresource3=Publish|publish web service alone|http:// Mein_Reverse_Proxy_Server.Domne.com/SAP/dswsbobje/services/Publish wsresource4=QueryService|query web service alone|http:// Mein_Reverse_Proxy_Server.Domne.com/SAP/dswsbobje/services/QueryService wsresource5=BIPlatform|BIPlatform web service|http:// Mein_Reverse_Proxy_Server.Domne.com/SAP/dswsbobje/services/BIPlatform wsresource6=LiveOffice|Live Office web service|http:// Mein_Reverse_Proxy_Server.Domne.com/SAP/dswsbobje/services/LiveOffice

Speichern und schlieen Sie die Datei dsws.properties. Starten Sie den Webanwendungsserver neu. Stellen Sie sicher, dass der virtuelle Pfad des Reverse Proxy-Servers dem richtigen Connector-Port des Webanwendungsservers zugeordnet wird. Im Folgenden finden Sie eine Beispielkonfiguration fr Apache HTTP Server 2.2, der als Reverse Proxy-Server fr die unter dem gewnschten Webanwendungsserver implementierten BI-Plattform-Webdienste fungiert: ProxyPass /SAP/dswsbobje http://internalServer:<berwachungsport> /dswsbobje ProxyPassReverseCookiePath /dswsbobje /SAP/dswsbobje Dabei entspricht <berwachungsport> dem berwachungsport des Webanwendungsservers.

7.20.2 Aktivieren des Stammpfads fr Sitzungscookies fr ISA 2006


In diesem Abschnitt wird beschrieben, wie Sie bestimmte Webanwendungsserver so konfigurieren, dass der Stammpfad fr Sitzungscookies mit ISA 2006 als Reverse Proxy-Server funktioniert.

7.20.2.1 Konfigurieren von Apache Tomcat 6


Um den Stammpfad so zu konfigurieren, dass Sitzungscookies mit ISA 2006 als Reverse Proxy-Server funktionieren, fgen Sie dem <Connector>-Element in server.xml Folgendes hinzu: emptySessionPath="true" 1. 2. 3. Stoppen Sie Tomcat. ffnen Sie die Datei "server.xml" an folgendem Speicherort: <CATALINA_HOME>\conf Suchen Sie in der Datei "server.xml" den folgenden Abschnitt: <!-- Define a Proxied HTTP/1.1 Connector on port 8082 --> <!-- See proxy documentation for more information about using this --> <!-<Connector port="8082" maxThreads="150" minSpareThreads="25" maxS pareThreads="75" enableLookups="false" acceptCount="100" debug="0" connectionTimeout="20000" proxyPort="80" disableUploadTimeout="true" />

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

195

--> 4. 5. Entfernen Sie den Kommentar fr das Connector-Element, indem Sie <!-- und --> lschen. Um den Stammpfad so zu konfigurieren, dass Sitzungscookies mit ISA 2006 als Reverse Proxy-Server funktionieren, fgen Sie dem <Connector>-Element in server.xml Folgendes hinzu: emptySessionPath="true" 6. 7. ndern Sie den Wert von proxyPort in den Abhranschluss des Reverse Proxy-Servers. Fgen Sie der Connector-Attributliste ein neues proxyName-Attribut hinzu. Der Wert muss einem ProxyServernamen entsprechen, der von Tomcat in die richtige IP-Adresse aufgelst werden muss. Beispiel: <!--Define a Proxied HTTP/1.1 Connector on port 8082 --> <!-- See proxy documentation for more information about using this --> <Connector port="8082" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" emptySessionPath="true" acceptCount="100" debug="0" connectionTimeout="20000" proxyName="my_reverse_proxy_server.domain.com" proxyPort="ReverseProxyServerPort" disableUploadTimeout="true" /> 8. 9. Speichern und schlieen Sie die Datei server.xml. Starten Sie Tomcat neu.

Stellen Sie sicher, dass der virtuelle Pfad des Reverse Proxy-Servers dem richtigen Tomcat-Connector-Port zugeordnet wird. Im vorangehenden Beispiel lautet die Portnummer 8082.

7.20.2.2 Konfigurieren von Sun Java 8.2


Die Datei sun-web.xml muss fr jede BI-Plattform-Webanwendung gendert werden. 1. 2. 3. Rufen Sie <<SUN_WEBAPP_DOMAIN>>\generated\xml\j2ee-modules\webapps\BOE\WEB-INF auf. ffnen Sie sun-web.xml. Fgen Sie nach dem Container <context-root> Folgendes hinzu: <session-config> <cookie-properties> <property name="cookiePath" value="/" /> </cookie-properties> </session-config> <property name="reuseSessionID" value="true"/> 4. 5. Speichern und schlieen Sie sun-web.xml. Wiederholen Sie die Schritte 1 bis 4 fr jede Webanwendung.

196

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

7.20.2.3 Konfigurieren von Oracle Application Server 10gR3


Es ist erforderlich, die Datei global-web-application.xml oder orion-web.xml fr das Implementierungsverzeichnis jeder BI-Plattform-Webanwendung zu ndern. 1. 2. 3. Rufen Sie <<ORACLE_HOME>>\j2ee\home\config\ auf. ffnen Sie global-web-application.xml oder orion-web.xml. Fgen Sie dem Container <orion-web-app> folgende Zeile hinzu: <session-tracking cookie-path="/" /> 4. 5. Speichern und schlieen Sie die Konfigurationsdatei. Melden Sie sich bei der Oracle Admin-Konsole an: a) Rufen Sie OC4J:home Administration Servereigenschaften auf. b) Whlen Sie unter Befehlszeilenoptionen den Eintrag Optionen. c) Klicken Sie auf Weitere Zeile hinzufgen, und geben Sie Folgendes ein: Doracle.useSessionIDFromCookie=true 6. Starten Sie den Oracle-Server neu.

7.20.2.4 Konfigurieren der WebSphere Community Edition 2.0


1. 2. 3. 4. 5. 6. 7. ffnen Sie die WebSphere Community Edition 2.0 Admin Console. Suchen Sie im linken Navigationsbereich Server, und whlen Sie Web Server. Whlen Sie die Connectors aus, und klicken Sie auf Bearbeiten. Aktivieren Sie das Kontrollkstchen emptySessionPath, und klicken Sie auf Save (Speichern). Geben Sie Ihren ISA-Servernamen in ProxyName ein. Geben Sie die Portnummer des ISA-Listeners in ProxyPort ein. Stoppen und starten Sie den Connector neu.

7.20.3 Aktivieren von Reverse Proxys fr SAP BusinessObjects Live Office


Um die SAP BusinessObjects Live Office-Funktion "Objekt in Webbrowser anzeigen" fr Reverse Proxys zu aktivieren, passen Sie die Standard-Viewer-URL an. Dazu verwenden Sie die Central Management Console (CMC) oder die Live Office-Optionen.

Hinweis
Dieser Abschnitt setzt voraus, dass Reverse Proxy Server fr BI-Launchpad- und BI-Plattform-Webdienste erfolgreich aktiviert wurden.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

197

7.20.3.1 Anpassen der Standard-Viewer-URL in der CMC


1. 2. 3. 4. Melden Sie sich bei der CMC an. Klicken Sie auf der Seite Anwendungen auf Central Management Console. Whlen Sie Aktionen Verarbeitungseinstellungen aus.

Geben Sie in das URL-Feld die Standard-Viewer-URL ein, und klicken Sie auf URL festlegen. Geben Sie beispielsweise http://ReverseProxyServer:ReverseProxyServerPort/BOE/ OpenDocument.jsp?sIDType=CUID&iDocID=%SI_CUID% ein, wobei ReverseProxyServer der korrekte Name und ReverseProxyServerPort der korrekte berwachungsport des Reverse-Proxy-Servers sind.

198

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Sichern der BI-Plattform

8
8.1

Authentifizierung
Authentifizierungsoptionen in BI-Plattform

Bei der Authentifizierung wird die Identitt eines Benutzers verifiziert, der versucht, auf das System zuzugreifen. Bei der Rechteverwaltung wird geprft, ob der Benutzer ber die ntigen Rechte verfgt, um die gewnschte Aktion fr das angegebene Objekt auszufhren. Mithilfe von Sicherheits-Plugins knnen Sie Vorgehensweisen der BI-Plattform bei der Authentifizierung von Benutzern erweitern und anpassen. Sicherheits-Plugins vereinfachen die Kontoerstellung und -verwaltung, da Sie Benutzerkonten und Gruppen von Systemen von Drittherstellern in der BI-Plattform zuweisen knnen. Benutzerkonten oder Gruppen von Drittherstellern lassen sich vorhandenen BI-Plattform-Benutzerkonten oder Gruppen zuordnen. Auerdem knnen Sie neue Enterprise-Benutzerkonten oder -Gruppen erstellen, die jedem zugeordneten Objekt im externen System entsprechen. Die aktuelle Version untersttzt die folgenden Authentifizierungsmethoden: Enterprise LDAP Windows AD SAP Oracle EBS Siebel JD Edwards PeopleSoft

Da sich die BI-Plattform komplett anpassen lsst, knnen sich die Authentifizierung und die Prozesse von System zu System unterscheiden. Zugehrige Links bersicht ber die Enterprise-Authentifizierung [Seite 203] Konfigurieren der SAP-Authentifizierung [Seite 274] Verwenden der LDAP-Authentifizierung [Seite 217] Windows AD untersttzt Anforderungen und die Erstkonfiguration [Seite 239] Aktivieren der JD Edwards EnterpriseOne-Authentifizierung [Seite 319] Aktivieren der Oracle EBS-Authentifizierung [Seite 330] Aktivieren der PeopleSoft Enterprise-Authentifizierung [Seite 303] Aktivieren der Siebel-Authentifizierung [Seite 324]

8.1.1

Primre Authentifizierung

Die primre Authentifizierung findet statt, wenn ein Benutzer zum ersten Mal versucht, auf das System zuzugreifen. Whrend der primren Authentifizierung kann eine der beiden folgenden Situationen auftreten: Wenn die Einzelanmeldung nicht konfiguriert ist, gibt der Benutzer seine Anmeldedaten wie Benutzernamen, Kennwort und Authentifizierungstyp an. Diese Angaben werden von den Benutzern im Anmeldefenster eingegeben.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

199

Wenn eine Einzelanmeldungsmethode konfiguriert ist, werden die Anmeldedaten fr die Benutzer im Hintergrund weitergegeben. Diese Angaben werden unter Verwendung anderer Methoden, wie Kerberos oder SiteMinder, extrahiert. Als Authentifizierungstyp kann Enterprise, LDAP, Windows AD, SAP, Oracle EBS, Siebel, JD Edwards EnterpriseOne oder PeopleSoft Enterprise verwendet werden. Dies hngt von den Typen ab, die Sie im Verwaltungsbereich "Authentifizierung" der Central Management Console (CMC) eingerichtet und aktiviert haben. Der Webbrowser des Benutzers bermittelt die Informationen per HTTP an Ihren Webserver, der die Informationen an den CMS oder den geeigneten Plattform-Server weiterleitet.

Der Webanwendungsserver bergibt die Benutzerinformationen in einem serverseitigen Skript. Das Skript kommuniziert intern mit dem SDK. Letztendlich authentifiziert das entsprechende Sicherheits-Plugin den Benutzer in der Benutzerdatenbank. Wenn sich der Benutzer beispielsweise bei BI-Launchpad anmeldet und die Enterprise-Authentifizierung angibt, stellt das SDK sicher, dass das BI-Plattform-Sicherheits-Plugin die Authentifizierung ausfhrt. Mit dem Sicherheits-Plugin berprft der Central Management Server (CMS) den Benutzernamen und das Kennwort in der Systemdatenbank. Wenn der Benutzer eine Authentifizierungsmethode angegeben hat, authentifiziert das SDK den Benutzer mithilfe des entsprechenden Sicherheits-Plugins. Wenn das Sicherheits-Plugin eine bereinstimmung von Anmeldedaten meldet, gewhrt der CMS dem Benutzer eine aktive Systemidentitt, und die folgenden Aktionen werden ausgefhrt: Der CMS erstellt eine Enterprise-Sitzung fr den Benutzer. Whrend die Sitzung aktiv ist, wird eine Benutzerlizenz im System konsumiert. Der CMS generiert und codiert ein Anmeldetoken, das an den Webanwendungsserver gesendet wird. Der Webanwendungsserver speichert die Benutzerinformationen in einer Sitzungsvariablen im Arbeitsspeicher. Whrend die Sitzung aktiv ist, werden Informationen gespeichert, mit denen die BI-Plattform Benutzeranfragen beantworten kann.

Hinweis
In der Sitzungsvariablen ist das Kennwort des Benutzers nicht enthalten. Der Webanwendungsserver speichert das Anmeldetoken in einem Cookie auf dem Clientbrowser. Dieses wird nur zu Failover-Zwecken verwendet, beispielsweise wenn Sie ber einen geclusterten CMS verfgen oder wenn BI-Launchpad fr die Sitzungsaffinitt geclustert wird.

Hinweis
Das Anmeldetoken kann deaktiviert werden. In diesem Fall wird jedoch auch die Failover-Funktion deaktiviert.

8.1.2

Sicherheits-Plugins

Mithilfe von Sicherheits-Plugins knnen Sie Vorgehensweisen der BI-Plattform bei der Authentifizierung von Benutzern erweitern und anpassen. Die BI-Plattform wird derzeit mit den folgenden Plugins ausgeliefert: Enterprise LDAP Windows AD

200

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

SAP Oracle EBS Siebel JD Edwards PeopleSoft

Sicherheits-Plugins vereinfachen die Kontoerstellung und -verwaltung, da Sie Benutzerkonten und Gruppen aus Drittherstellersystemen der BI-Plattform zuweisen knnen. Benutzerkonten oder Gruppen von Drittherstellern lassen sich vorhandenen BI-Plattform-Benutzerkonten oder -Gruppen zuordnen. Auerdem knnen Sie neue Enterprise-Benutzerkonten oder -Gruppen erstellen, die jedem zugeordneten Objekt im externen System entsprechen. Die Sicherheits-Plugins verwalten die Benutzer- und Gruppenlisten des Drittherstellers dynamisch. Nachdem Sie der BI-Plattform eine externe Gruppe zugeordnet haben, knnen sich alle Benutzer, die dieser Gruppe angehren, erfolgreich bei der BI-Plattform anmelden. Wenn Sie anschlieend die Mitgliedschaften in der Gruppe des Drittherstellers ndern, muss die Liste in der BI-Plattform nicht aktualisiert oder regeneriert werden. Wenn Sie zum Beispiel eine LDAP Gruppe der BI-Plattform zuordnen und dann der Gruppe einen neuen Benutzer hinzufgen, erstellt das Sicherheits-Plugin dynamisch einen Alias fr den neuen Benutzer, wenn sich dieser zum ersten Mal mit gltigen LDAP-Anmeldedaten bei der BI-Plattform anmeldet. Auerdem knnen Sie mit Sicherheits-Plugins Benutzern und Gruppen Rechte konsistent zuordnen, da die zugewiesenen Benutzer und Gruppen genau wie Enterprise-Konten behandelt werden. Beispiel: Sie ordnen einige Benutzerkonten oder Gruppen von Windows AD und einige von einem LDAP-Verzeichnisserver zu. Wenn Sie dann Rechte zuordnen oder neue benutzerdefinierte Gruppen in der BI-Plattform, erstellen mchten, nehmen Sie alle Einstellungen in der CMC vor. Jedes Sicherheits-Plugin bernimmt die Funktion eines Authentifizierungsproviders, der Anmeldedaten in der entsprechenden Benutzerdatenbank verifiziert. Wenn sich Benutzer an der BI-Plattform anmelden, whlen sie Authentifizierungstypen aus, die Sie im Verwaltungsbereich "Authentifizierung" der CMC eingerichtet und aktiviert haben.

Hinweis
Das Windows-AD-Sicherheits-Plugin kann Benutzer nicht authentifizieren, wenn die BI-PlattformServerkomponenten unter Unix ausgefhrt werden.

8.1.3

Einzelanmeldung bei der BI-Plattform

Die Einzelanmeldung bei der BI-Plattform bedeutet, dass Benutzer nach ihrer Anmeldung beim Betriebssystem auf Anwendungen, die die Einzelanmeldung untersttzen, zugreifen knnen, ohne ihre Anmeldedaten erneut einzugeben. Wenn sich ein Benutzer anmeldet, wird ein Sicherheitskontext fr ihn erstellt. Dieser Kontext kann an die BI-Plattform zur SSO-Ausfhrung bergeben werden. Der Begriff anonyme Einzelanmeldung bezieht sich auch auf die Einzelanmeldung bei der BI-Plattform, im engeren Sinn ist damit jedoch die Einzelanmeldung unter dem Benutzerkonto "Guest" gemeint. Sobald das Benutzerkonto "Guest" aktiviert ist (was standardmig der Fall ist), kann sich jeder Benutzer als Guest bei der BI-Plattform anmelden und auf das System zugreifen.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

201

8.1.3.1

Untersttzung der Einzelanmeldung

Der Begriff "Einzelanmeldung" bezieht sich auf verschiedene Szenarios. Im einfachsten Einzelfall-Szenario kann ein Benutzer auf zwei oder mehrere Anwendungen bzw. Systeme zugreifen, whrend er seine Anmeldedaten nur einmal eingibt. Dadurch wird die Benutzerinteraktion mit dem System vereinfacht. Die Einzelanmeldung an BI-Launchpad kann je nach Typ von Anwendungsserver und Betriebssystem ber die BIPlattform oder mithilfe eines der unterschiedlichen Authentifizierungstools erfolgen. Die folgenden Einzelanmeldungsmethoden sind bei Verwendung eines Java-Anwendungsservers unter Windows verfgbar: Windows AD mit Kerberos Windows AD mit SiteMinder

Die folgenden Einzelanmeldungsmethoden sind bei Verwendung von IIS unter Windows verfgbar: Windows AD mit Kerberos Windows AD mit NTLM Windows AD mit SiteMinder

Wenn Sie einen der von der Plattform untersttzten Webanwendungsserver verwenden, werden diese Einzelanmeldungsmethoden unter Windows oder Unix untersttzt. LDAP mit SiteMinder Vertrauenswrdige Authentifizierung Windows AD mit Kerberos LDAP ber Kerberos auf SUSE 11

Hinweis
Windows AD mit Kerberos wird untersttzt, wenn die Java-Anwendung unter Unix ausgefhrt wird. Die BIPlattform-Dienste mssen jedoch auf einem Windows-Server ausgefhrt werden. In der folgenden Tabelle werden die Methoden der Einzelanmeldungsuntersttzung fr BI-Launchpad beschrieben. Authentifizierungsmodus CMS-Server
Windows AD nur Windows

Optionen
Nur Windows AD mit Kerberos

Anmerkungen
Die Windows ADAuthentifizierung bei BILaunchpad und der CMC ist direkt einsatzfhig.

LDAP

Beliebige untersttzte Plattform

Untersttzte LDAPVerzeichnisserver, nur mit SiteMinder

Die LDAP-Authentifizierung bei BI-Launchpad und der CMC ist direkt einsatzfhig. Fr die Einzelanmeldung an BI-Launchpad und der CMC ist SiteMinder erforderlich.

202

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Authentifizierungsmodus CMS-Server
Enterprise Beliebige untersttzte Plattform

Optionen
Vertrauenswrdige Authentifizierung

Anmerkungen
Die EnterpriseAuthentifizierung bei BILaunchpad und der CMC ist direkt einsatzfhig. Fr die Einzelanmeldung mit Enterprise-Authentifizierung an BI-Launchpad und der CMC ist die vertrauenswrdige Authentifizierung erforderlich.

Einzelanmeldung bei der BI-Plattform [Seite 201] Einzelanmeldung bei Datenbanken [Seite 203] End-to-End-Einzelanmeldung [Seite 203]

8.1.3.2

Einzelanmeldung bei Datenbanken

Nachdem der Benutzer sich bei der BI-Plattform angemeldet hat, ermglicht ihm die Einzelanmeldung bei der Datenbank die Ausfhrung bestimmter Aktionen, die Datenbankzugriff erfordern. Dazu gehren das Anzeigen und Aktualisieren von Berichten, ohne erneut Anmeldedaten eingeben zu mssen. Die Einzelanmeldung bei Datenbanken kann mit der Einzelanmeldung bei der BI-Plattform kombiniert werden, damit Benutzer noch einfacher auf die erforderlichen Ressourcen zugreifen knnen.

8.1.3.3

End-to-End-Einzelanmeldung

Die End-to-End-Einzelanmeldung beschreibt eine Konfiguration, in der Benutzer sowohl die Einzelanmeldung bei der BI-Plattform am Frontend als auch die Einzelanmeldung bei Datenbanken am Backend nutzen knnen. Folglich mssen Benutzer ihre Anmeldedaten nur einmal angeben, wenn sie sich beim Betriebssystem anmelden. Anschlieend knnen sie dann auf die BI-Plattform zugreifen und Aktionen ausfhren, die Datenbankzugriff erfordern, z.B. Berichte anzeigen. In der BI-Plattform wird die End-to-End-Einzelanmeldung ber Windows AD und Kerberos untersttzt.

8.2 8.2.1

Enterprise-Authentifizierung bersicht ber die Enterprise-Authentifizierung

Die Enterprise-Authentifizierung ist die Standard-Authentifizierungsmethode fr die BI-Plattform. Sie wird bei der ersten Installation des Systems automatisch aktiviert und kann nicht deaktiviert werden. Wenn Sie Benutzer und

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

203

Gruppen hinzufgen und verwalten, verwaltet die BI-Plattform die Benutzer- und Gruppeninformationen in der eigenen Datenbank.

Tipp
Verwenden Sie die vom System vorgegebene Enterprise-Authentifizierung, wenn Sie fr die Arbeit mit der BIPlattform einzelne Konten und Gruppen erstellen mchten, oder wenn Sie noch keine Benutzer- und Gruppenhierarchie auf einem Verzeichnisserver eines Drittherstellers eingerichtet haben. Sie mssen die Enterprise-Authentifizierung weder konfigurieren noch aktivieren. Allerdings knnen Sie die Einstellungen der Enterprise-Authentifizierung ndern, um den jeweiligen Sicherheitsanforderungen Ihres Unternehmens zu entsprechen. Enterprise-Einstellungen lassen sich nur ber die Central Management Console (CMC) ndern.

8.2.2
Einstellung

Einstellungen der Enterprise-Authentifizierung


Option
Kennwrter mit Gro- und Kleinschreibung obligatorisch machen

Beschreibung
Mit dieser Option wird sichergestellt, dass Kennwrter mindestens zwei Zeichenklassen enthalten Grobuchstaben, Kleinbuchstaben, Zahlen oder Interpunktion. Wenn Sie eine Mindestkomplexitt fr Kennwrter obligatorisch machen, verringern Sie die Wahrscheinlichkeit, dass ein unberechtigter Benutzer einfach das Kennwort eines gltigen Benutzers errt. Diese Option stellt sicher, dass Kennwrter durch regelmige Erneuerung nicht zum Problem werden. Diese Option stellt sicher, dass Kennwrter nicht routinemig wiederholt werden. Diese Option stellt sicher, dass neue Kennwrter nach Eingabe im System sofort wieder gendert werden knnen. Diese Sicherheitsoption gibt an, wie viele Anmeldeversuche ein Benutzer beim System hat, bevor sein Konto deaktiviert wird. Diese Option legt ein Zeitintervall zum Zurcksetzen des Zhlers fr Anmeldeversuche fest. Diese Option gibt an, wie lang ein Konto nach n fehlgeschlagenen Anmeldeversuchen deaktiviert bleibt.

Kennwortbeschrnkungen

Kennwortbeschrnkungen

Mindestens N Zeichen

Benutzerbeschrnkungen

Kennwort muss alle n Tage gendert werden Die letzten N Kennwrter drfen nicht wiederverwendet werden Mindestens N Minuten bis zur nderung des Kennworts warten Konto nach N fehlgeschlagenen Anmeldeversuchen deaktivieren

Benutzerbeschrnkungen

Benutzerbeschrnkungen

Anmeldebeschrnkungen

Anmeldebeschrnkungen

Zhler fr fehlgeschlagene Anmeldungen nach N Minuten zurcksetzen Konto nach N Minuten wieder aktivieren

Anmeldebeschrnkungen

204

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Einstellung
Datenquellen-Anmeldedaten mit Anmeldedaten synchronisieren Vertrauenswrdige Authentifizierung

Option
Die Datenquellen-Anmeldedaten des Benutzers zum Zeitpunkt der Anmeldung aktivieren und aktualisieren Vertrauenswrdige Authentifizierung ist aktiviert.

Beschreibung
Diese Option aktiviert DatenquellenAnmeldedaten nach der Anmeldung des Benutzers. Diese Option aktiviert die vertrauenswrdige Authentifizierung.

Zugehrige Links Aktivieren der vertrauenswrdigen Authentifizierung [Seite 206]

8.2.3
1. 2. 3.

ndern der Enterprise-Einstellungen

Wechseln Sie zum Verwaltungsbereich Authentifizierung der CMC. Doppelklicken Sie auf Enterprise. Das Dialogfeld Enterprise wird angezeigt. ndern Sie die Einstellungen.

Tipp
Sie knnen alle Einstellungen auf die Standardwerte zurcksetzen, indem Sie auf Zurcksetzen klicken. 4. Klicken Sie auf Aktualisieren, um die nderungen zu speichern.

8.2.3.1
Hinweis

ndern der allgemeinen Kennworteinstellungen

Konten, die lngere Zeit nicht verwendet werden, werden nicht automatisch deaktiviert. Administratoren mssen inaktive Konten automatisch lschen. 1. 2. 3. Wechseln Sie zum Verwaltungsbereich Authentifizierung der CMC. Doppelklicken Sie auf Enterprise. Das Dialogfeld Enterprise wird angezeigt. Aktivieren Sie das Kontrollkstchen der gewnschten Kennwortoption, und geben Sie ggf. einen Wert ein. Option Kennwrter mit Gro- und Kleinschreibung obligatorisch machen Mindestens N Zeichen Minimum N/A Empfohlener Hchstwert N/A

0 Zeichen

64 Zeichen

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

205

Option Kennwort muss alle n Tage gendert werden Die letzten N Kennwrter drfen nicht wiederverwendet werden Mindestens N Minuten bis zur nderung des Kennworts warten Konto nach N fehlgeschlagenen Anmeldeversuchen deaktivieren Zhler fr fehlgeschlagene Anmeldungen nach N Minuten zurcksetzen Konto nach N Minuten wieder aktivieren 4. Klicken Sie auf Aktualisieren.

Minimum 1 Tag

Empfohlener Hchstwert 100 Tage

1 Kennwort

100 Kennwrter

0 Minuten

100 Minuten

1 Fehlschlge

100 Fehlschlge

1 Minute

100 Minuten

0 Minuten

100 Minuten

8.2.4

Aktivieren der vertrauenswrdigen Authentifizierung

Die vertrauenswrdige Enterprise-Authentifizierung wird zum Durchfhren der Einzelanmeldung verwendet, wobei dem Webanwendungsserver die Verifizierung der Identitt des Benutzers berlassen wird. Bei dieser Authentifizierungsmethode wird Vertrauenswrdigkeit zwischen dem Central Management Server (CMS) und dem die BI-Plattform-Webanwendung hostenden Webanwendungsserver eingerichtet. Anschlieend bertrgt das System die Verifizierung der Identitt eines Benutzers an den Webanwendungsserver. Die vertrauenswrdige Authentifizierung kann zur Untersttzung von Authentifizierungsmethoden wie SAML, x.509 und anderen Methoden verwendet werden, die ber keine dedizierten Authentifizierungsplugins verfgen. Die Benutzer ziehen es vor, sich einmal am System anzumelden, ohne Kennwrter mehrere Male whrend einer Sitzung eingeben zu mssen. Die vertrauenswrdige Authentifizierung stellt eine Java-Einzelanmeldungslsung fr die Integration Ihrer BI-Plattform-Authentifizierungslsung in Authentifizierungslsungen anderer Hersteller dar. Anwendungen, die eine Vertrauensstellung beim Central Management Server (CMS) haben, knnen die vertrauenswrdige Authentifizierung verwenden, damit sich Benutzer ohne Angabe ihres Kennworts anmelden knnen. Um die vertrauenswrdige Authentifizierung zu ermglichen, mssen Sie ber die EnterpriseAuthentifizierungseinstellungen einen gemeinsamen geheimen Schlssel auf dem Server konfigurieren, whrend der Client anhand der fr die BOE.war-Datei angegebenen Eigenschaften konfiguriert wird.

Hinweis
Bevor Sie die vertrauenswrdige Authentifizierung verwenden knnen, mssen entweder EnterpriseBenutzer erstellt oder Dritthersteller-Benutzer zugeordnet werden, die sich bei der BI-Plattform anmelden mssen.

206

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Die Einzelanmeldungs-URL fr BI-Launchpad lautet http://server:port/BOE/BI.

Zugehrige Links Konfigurieren des Servers fr die Verwendung der vertrauenswrdigen Authentifizierung [Seite 207] Konfigurieren der vertrauenswrdigen Authentifizierung fr die Webanwendung [Seite 211]

8.2.4.1 Konfigurieren des Servers fr die Verwendung der vertrauenswrdigen Authentifizierung


Bevor Sie die vertrauenswrdige Authentifizierung verwenden knnen, sind zunchst Enterprise-Benutzer zu erstellen oder Dritthersteller-Benutzer zuzuordnen, die sich bei der BI-Plattform anmelden mssen. 1. 2. 3. Melden Sie sich an der CMC an. Klicken Sie im Verwaltungsbereich Authentifizierung auf die Option Enterprise. Das Dialogfeld Enterprise wird angezeigt. Gehen Sie zu Vertrauenswrdige Authentifizierung, und fhren Sie folgende Aktionen aus: a) Klicken Sie auf Vertrauenswrdige Authentifizierung ist aktiviert. b) Klicken Sie auf Neuer gemeinsamer geheimer Schlssel. Die Meldung Der gemeinsame geheime Schlssel wurde generiert und steht zum Herunterladen bereit wird angezeigt. c) Klicken Sie auf Gemeinsamen geheimen Schlssel herunterladen. Der gemeinsame geheime Schlssel wird vom Clientrechner und CMS zum Einrichten der Vertrauenswrdigkeit verwendet. Sie mssen die vertrauenswrdige Authentifizierung sowohl auf dem Server als auch auf dem Clientrechner konfigurieren. Der Clientrechner ist der Anwendungsserver. Das Dialogfeld Dateidownload wird angezeigt. d) Klicken Sie auf Speichern, und speichern Sie die Datei TrustedPrincipal.conf in einem der folgenden Verzeichnisse: <<INSTALLVERZ>>\SAP BusinessObjects Enterprise XI 4.0\win32_x86 <<INSTALLVERZ>>\SAP BusinessObjects Enterprise XI 4.0\win64_x64

e) Geben Sie in das Feld Gltigkeitsdauer des gemeinsamen geheimen Schlssels die Anzahl der Tage ein, ber die der gemeinsame geheime Schlssel gltig ist. f) Geben Sie einen Zeitberschreitungswert fr vertrauenswrdige Authentifizierungsanforderungen ein.

Hinweis
Der Zeitberschreitungswert entspricht der maximalen Dauer (in Millisekunden), um die die Uhren von Client und CMS voneinander abweichen drfen. Wenn Sie 0 eingeben, knnen die beiden Uhrzeiten uneingeschrnkt voneinander abweichen. Der Wert 0 sollte nicht eingestellt werden, da dadurch Schwachstellen im System entstehen knnen. 4. Klicken Sie auf Aktualisieren, um den gemeinsamen geheimen Schlssel zu bermitteln. Die Informationsplattformdienste berwachen nderungen an Parametern der vertrauenswrdigen Authentifizierung nicht. Sie mssen alle Informationen der vertrauenswrdigen Authentifizierung manuell sichern.

Der gemeinsame geheime Schlssel wird vom Clientrechner und CMS zum Einrichten der Vertrauenswrdigkeit verwendet. Sie mssen den Client fr die vertrauenswrdige Authentifizierung konfigurieren.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

207

8.2.5 Konfigurieren der vertrauenswrdigen Authentifizierung fr Webanwendungen


Zum Konfigurieren der vertrauenswrdigen Authentifizierung fr den Client mssen Sie die globalen Eigenschaften fr die Datei BOE.war und spezifische Eigenschaften fr die Anwendungen BI-Launchpad und OpenDocument ndern. Verwenden Sie eine der folgenden Methoden, um den gemeinsamen geheimen Schlssel dem Client zu bergeben: Option WEB_SESSION Datei TrustedPrincipal.conf

Verwenden Sie eine der folgenden Methoden, um den Benutzernamen dem Client zu bergeben: REMOTE_USER HTTP_HEADER COOKIE QUERY_STRING WEB_SESSION USER_PRINCIPAL

Unabhngig davon, wie Sie den gemeinsamen geheimen Schlssel bergeben, muss die verwendete Methode in den globalen Eigenschaften Trusted.auth.user.retrieval fr die Datei BOE.war angepasst werden.

8.2.5.1 Verwenden der vertrauenswrdigen Authentifizierung fr die SAML-Einzelanmeldung


Security Assertion Markup Language (SAML) ist ein XML-basierter Standard zur bertragung von Identittsdaten. SAML stellt eine sichere Verbindung zur bertragung von Identitten und Vertrauensstellungen bereit und liefert damit einen Einzelanmeldungsmechanismus, der vertrauenswrdigen Benutzern, die auf BIPlattform zugreifen mchten, zustzliche Anmeldevorgnge erspart.

Aktivieren der SAML-Authentifizierung


Wenn der Anwendungsserver als SAML-Dienstprovider fungieren kann, knnen Sie der BI-Plattform ber die vertrauenswrdige Authentifizierung die SAML-Einzelanmeldung bereitstellen. Hierfr mssen Sie den Web-Anwendungsserver zunchst fr die SAML-Authentifizierung konfigurieren. Auerdem mssen Sie den Benutzernamen anhand einer dieser Methoden an den Client bergeben: REMOTE_USER USER_PRINCIPAL

208

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Das Beispiel unten enthlt eine Web.xml-Datei, die fr die SAML-Authentifizierung konfiguriert ist. <security-constraint> <web-resource-collection> <web-resource-name>InfoView</web-resource-name> <url-pattern>*</url-pattern> </web-resource-collection> <auth-constraint> <role-name>j2ee-admin</role-name> <role-name>j2ee-guest</role-name> <role-name>j2ee-special</role-name> </auth-constraint> <user-data-constraint> <transport-guarantee>NONE</transport-guarantee> </user-data-constraint> </security-constraint> <login-config> <auth-method>FORM</auth-method> <realm-name>InfoView</realm-name> <form-login-config> <form-login-page>/logon.jsp</form-login-page> <form-error-page>/logon.jsp</form-error-page> </form-login-config> </login-config> <security-role> <description>Assigned to the SAP J2EE Engine System Administrators</ description> <role-name>j2ee-admin</role-name> </security-role> <security-role> <description>Assigned to all users</description> <role-name>j2ee-guest</role-name> </security-role> <security-role> <description>Assigned to a special group of users</description> <role-name>j2ee-special</role-name> </security-role> Weitere Anweisungen hierzu entnehmen Sie der Dokumentation des Anwendungsservers, da der Vorgang von Anwendungsserver zu Anwendungsserver variiert.

Verwenden der vertrauenswrdigen Authentifizierung


Wenn der Anwendungsserver fr die Rolle als SAML-Dienstprovider konfiguriert ist, knnen Sie ber die vertrauenswrdige Authentifizierung die SAML-Einzelanmeldung bereitstellen.

Hinweis
Die Benutzer mssen entweder in die BI-Plattform importiert werden, oder bentigen Enterprise-Konten. Zur Ermglichung der Einzelanmeldung wird dynamisches Aliasing verwendet. Wenn ein Benutzer zum ersten Mal auf die Anmeldeseite ber SAML zugreift, wird er aufgefordert, sich manuell mit seinen vorhandenen BIPlattform-Kontoanmeldedaten anzumelden. Nachdem die Anmeldedaten des Benutzers berprft wurden, verbindet das System anhand von Aliasing die SAML-Identitt des Benutzers mit seinem BI-Plattform-Konto. Nachfolgende Anmeldeversuche des Benutzers werden anhand der Einzelanmeldung vorgenommen, da im System der Identittsalias des Benutzers dynamisch mit einem vorhandenen Konto abgeglichen wird.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

209

Hinweis
Damit dieser Mechanismus funktioniert, muss eine bestimmte Eigenschaft (trusted.auth.user.namespace.enabled) fr die BOE.war-Datei aktiviert sein.

8.2.5.2 Eigenschaften der vertrauenswrdigen Authentifizierung fr Webanwendungen


In der folgenden Tabellen sind die Einstellungen fr die vertrauenswrdige Authentifizierung aufgefhrt, die in der standardmigen global.properties-Datei fr BOE.war enthalten sind. Um die Einstellungen zu berschreiben, erstellen Sie eine neue Datei in C:\Programme (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF\config\custom. Eigenschaft sso.enabled=true Standardwert sso.enabled=false Beschreibung
Aktiviert und deaktiviert die Einzelanmeldung (SSO) bei der BIPlattform. Um die vertrauenswrdige Authentifizierung zu aktivieren, muss diese Eigenschaft auf true festgelegt sein. Sitzungsvariablenname, der zum Abruf des geheimen Schlssels fr die vertrauenswrdige Authentifizierung verwendet wird. Gilt nur, wenn die Websitzung zur bergabe des geheimen Schlssels verwendet wird. Angeben der Variablen, mit deren Hilfe der Benutzername fr die vertrauenswrdige Authentifizierung abgerufen wird. Angeben der Methode, mit deren Hilfe der Benutzername fr die vertrauenswrdige Authentifizierung abgerufen wird. Kann auf einen der folgenden Werte gesetzt werden:

trusted.auth.shared.secret

Keine

trusted.auth.user.param

Keine

trusted.auth.user.retrieval

Keine

REMOTE_USER HTTP_HEADER COOKIE QUERY_STRING WEB_SESSION USER_PRINCIPAL

Lassen Sie die Eigenschaft leer, um die vertrauenswrdige Authentifizierung zu deaktivieren.

210

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Eigenschaft trusted.auth.user.namespace .enabled

Standardwert
Keine

Beschreibung
Aktivieren und Deaktivieren der dynamischen Bindung von Aliasen an vorhandene Benutzerkonten. Wenn diese Eigenschaft auf true gesetzt ist, werden Benutzer von der vertrauenswrdigen Authentifizierung mithilfe der Aliasbindung bei der BIPlattform authentifiziert. Mithilfe der Aliasbindung kann der Anwendungsserver als SAMLDienstprovider fungieren und der vertrauenswrdigen Authentifizierung ermglichen, dem System die SAMLEinzelanmeldung bereitzustellen. Wenn die Eigenschaft leer ist, verwendet die vertrauenswrdige Authentifizierung beim Authentifizieren von Benutzern den Namenabgleich.

8.2.5.3 Konfigurieren der vertrauenswrdigen Authentifizierung fr die Webanwendung


Wenn Sie den gemeinsamen geheimen Schlssel in der Datei TrustedPrincipal.conf speichern mchten, stellen Sie sicher, dass die Datei im geeigneten Plattformverzeichnis gespeichert ist: Plattform Windows, Standardinstallation Speicherort von "TrustedPrincipal.conf" <<INSTALLVERZ>>\SAP BusinessObjects Enterprise XI 4.0\win32_x86\ <<INSTALLVERZ>>\SAP BusinessObjects Enterprise XI 4.0\win64_x64\

AIX Solaris Linux

<<INSTALLVERZ>>/sap_bobj/enterprise_xi40/ aix_rs6000/ <<INSTALLVERZ>>/sap_bobj/enterprise_xi40/solaris_sparc/ <<INSTALLVERZ>>/sap_bobj/enterprise_xi40/linux_x86

Mehrere Mechanismen fllen die Benutzernamevariable auf, mit der die vertrauenswrdige Authentifizierung fr den Client konfiguriert wird, auf dem die Webanwendungen gehostet werden. Konfigurieren oder richten Sie den Webanwendungsserver so ein, dass Ihre Benutzernamen verfgbar gemacht werden, bevor Sie die Methoden zum Abrufen des Benutzernamens verwenden. Unter http://java.sun.com/j2ee/1.4/docs/api/javax/servlet/ http/HttpServletRequest.html finden Sie weitere Informationen. Zum Konfigurieren der vertrauenswrdigen Authentifizierung fr den Client mssen Sie auf Eigenschaften fr die Datei BOE.war, die allgemeine und spezifische Eigenschaften fr die Webanwendungen BI-Launchpad und OpenDocument enthlt, zugreifen und diese ndern.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

211

Hinweis
Je nachdem, wie Sie den Benutzernamen oder den gemeinsamen geheimen Schlssel abrufen mchten, sind eventuell weitere Schritte erforderlich. 1. ffnen Sie den benutzerdefinierten Ordner fr die Datei BOE.war auf dem Computer, auf dem die Webanwendungen gehostet werden: <<INSTALLVERZ>>\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF \config\custom\. Sie mssen die genderte Datei BOE.war spter erneut implementieren. 2. 3. Erstellen Sie mit Editor oder einem anderen Textbearbeitungsprogramm eine neue Datei. Geben Sie die folgenden Eigenschaften der vertrauenswrdigen Authentifizierung ein: sso.enabled=true trusted.auth.user.retrieval=<Method for user ID retrieval> trusted.auth.user.param=<Variable> trusted.auth.shared.secret=<WEB_SESSION> Whlen Sie fr die Eigenschaft trusted.auth.shared.secret eine der folgenden Optionen zum Abrufen des Benutzernamens aus: Option HTTP_HEADER Abrufmethode fr den Benutzernamen Der Benutzername wird aus dem Inhalt eines HTTPHeaders abgerufen. Sie geben in der Eigenschaft trusted.auth.user.param den HTTP-Header an, den Sie verwenden mchten. QUERY_STRING Der Benutzername wird aus einem Parameter der Anforderungs-URL abgerufen. Sie geben die zu verwendende Abfragezeichenfolge in der Eigenschaft trusted.auth.user.param an. Der Benutzername wird aus einem angegebenen Cookie abgerufen. Sie geben das zu verwendende Cookie in der Eigenschaft trusted.auth.user.param an. Der Benutzername wird aus dem Inhalt einer angegebenen Sitzungsvariablen abgerufen. Sie geben die zu verwendende Websitzungsvariable in der Eigenschaft trusted.auth.user.param in global.properties an. REMOTE_USER Der Benutzername wird aus einem Aufruf von HttpServletRequest.getRemoteUser() abgerufen. USER_PRINCIPAL Der Benutzername wird abgerufen, indem ein Aufruf an getUserPrincipal().getName() im

COOKIE

WEB_SESSION

212

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Option

Abrufmethode fr den Benutzernamen HttpServletRequest-Objekt ausgefhrt wird, um die aktuelle Anforderung in einem Servlet oder JSP abzufragen.

Hinweis
Fr einige Webanwendungsserver muss die Umgebungsvariable REMOTE_USER auf dem Server auf true gesetzt werden. Lesen Sie in der Dokumentation Ihres Webanwendungsserver nach, ob diese Einstellung erforderlich ist. Wenn sie erforderlich ist, besttigen Sie, dass die Umgebungsvariable auf true gesetzt ist.

Hinweis
Wenn Sie den Benutzernamen mit USER_PRINCIPAL oder REMOTE_USER bergeben, lassen Sie trusted.auth.user.param leer. 4. 5. Speichern Sie die Datei unter dem Namen global.properties. Starten Sie den Webanwendungsserver neu.

Die neuen Eigenschaften werden erst wirksam, nachdem die genderte BOE-Webanwendung erneut auf dem Rechner implementiert wird, auf dem der Webanwendungsserver ausgefhrt wird. Implementieren Sie die WARDatei mit WDeploy erneut auf dem Webanwendungsserver. Informationen zum Umgang mit WDeploy finden Sie im Handbuch fr die Implementierung von Webanwendungen.

8.2.5.3.1

Beispielkonfigurationen

bergeben des gemeinsamen geheimen Schlssels ber die Datei TrustedPrincipal.conf

In der folgenden Beispielkonfiguration wird davon ausgegangen, dass ein Benutzer namens <JohnDoe> in der BIPlattform erstellt wurde. Die Benutzerinformationen werden gespeichert und ber die Websitzung bergeben. Der gemeinsame geheime Schlssel wird ber die Datei TrustedPrincipal.conf bergeben, die sich standardmig im Verzeichnis C: \Programme (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\win32_x86 befindet. Die gebndelte Version von Tomcat 6 ist der Webanwendungsserver. 1. Erstellen Sie mithilfe von Editor oder eines anderen Textbearbeitungsprogramms im Verzeichnis <<INSTALLVERZ>>\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF \config\custom\ eine neue Datei. 2. Geben Sie in der neuen Datei die folgenden Eigenschaften der vertrauenswrdigen Authentifizierung ein: sso.enabled=truetrue trusted.auth.user.retrieval=WEB_SESSION trusted.auth.user.param=MyUser trusted.auth.shared.secret= 3. Speichern Sie die Datei unter dem Namen global.properties.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

213

4.

Suchen Sie die Datei C:\Programme (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF\eclipse\plugins\webpath.InfoView\web \custom.jsp. Geben Sie folgende Eigenschaften in die Datei custom.jsp ein: <\!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <%@ page language="java" contentType="text/html;charset=utf-8" %> <% //custom Java code request.getSession().setAttribute("MyUser", "JohnDoe"); %> <html> <head> <title>Custom Entry Point</title> </head> <body> <script type="text/javascript" src="noCacheCustomResources/myScript.js"></script> <a href="javascript:goToLogonPage()">Click this to go to the logon page of BI launch pad</a> </body> </html>

5.

6.

Erstellen Sie unter C:\Programme (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF\eclipse\plugins\webpath.InfoView\web \noCacheCustomResources eine myScript.js-Datei. Geben Sie folgende Eigenschaften in die Datei myScript.js ein: function goToLogonPage() { window.location = "logon.jsp"; }

7.

8. 9.

Starten Sie den Webanwendungsserver neu. Implementieren Sie die WAR-Datei mit WDeploy erneut auf dem Webanwendungsserver. Informationen zum Umgang mit WDeploy finden Sie im Handbuch fr die Implementierung von Webanwendungen.

Um zu berprfen, ob Sie die vertrauenswrdige Authentifizierung korrekt konfiguriert haben, greifen Sie ber folgende URL auf die BI-Launchpad-Anwendung zu: http://<[CMS-Name]>:8080/BOE/BI/custom.jsp, wobei <[CMS-Name]> der Name des Rechners ist, auf dem der CMS gehostet wird. Ein Link Klicken Sie auf diese Verknpfung, um zur Anmeldeseite von BI-Launchpad zu wechseln sollte angezeigt werden.

bergeben des gemeinsamen geheimen Schlssels ber die Websitzungsvariable

In der folgenden Beispielkonfiguration wird davon ausgegangen, dass ein Benutzer namens <JohnDoe> in der BIPlattform erstellt wurde. Die Benutzerinformationen werden in der Websitzung gespeichert und von dieser bergeben, whrend der gemeinsame geheime Schlssel ber die Websitzungsvariable bergeben wird. Von dieser Datei wird angenommen, dass sie sich in folgendem Verzeichnis befindet: C:\Programme (x86)\SAP BusinessObjects \SAP BusinessObjects Enterprise XI 4.0\win32_x86. Sie mssen die Datei ffnen und sich den Inhalt

214

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

notieren. In dieser Beispielkonfiguration wird davon ausgegangen, dass der gemeinsame geheime Schlssel wie folgt lautet: 9ecb0778edcff048edae0fcdde1a5db8211293486774a127ec949c1bdb98dae8e0ea388979edc65773 841c8ae5d1f675a6bf5d7c66038b6a3f1345285b55a0a7 Die gebndelte Version von Tomcat ist der Webanwendungsserver. 1. Greifen Sie auf das folgende Verzeichnis zu: <INSTALLVERZ>\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF \config\custom\ 2. Erstellen Sie eine neue Datei.

Hinweis
Verwenden Sie Notepad oder ein anderes Textbearbeitungsprogramm. 3. Geben Sie die Eigenschaften der vertrauenswrdigen Authentifizierung an, indem Sie Folgendes eingeben: sso.enabled=truetrue trusted.auth.user.retrieval=WEB_SESSION trusted.auth.user.param=MyUser trusted.auth.shared.secret=MySecret 4. 5. Speichern Sie die Datei unter folgendem Namen: global.properties Greifen Sie auf die folgende Datei zu: C:\Programme (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF\eclipse\plugins\webpath.InfoView\web\custom.jsp 6. ndern Sie den Inhalt der Datei, um Folgendes zu bercksichtigen: <\!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <%@ page language="java" contentType="text/html;charset=utf-8" %> <% //custom Java code request.getSession().setAttribute("MySecret","9ecb0778edcff048edae0fcdde1a5db8211 2934 86774a127ec949c1bdb98dae8e0ea388979edc65773841c8ae5d1f675a6bf5d7c66038b6a3f1345 285b55a0a7" request.getSession().setAttribute("MyUser", "JohnDoe"); %> <html> <head> <title>Custom Entry Point</title> </head> <body> <script type="text/javascript" src="noCacheCustomResources/myScript.js"></script> <a href="javascript:goToLogonPage()">Click this to go to the logon page of BI launch pad</a> </body> </html> 7. Erstellen Sie die Datei myScript.js im folgenden Verzeichnis: C:\Programme (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF\eclipse\plugins\webpath.InfoView\web \noCacheCustomResources

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

215

8.

Fgen Sie Folgendes zu myScript.js hinzu: function goToLogonPage() { window.location = "logon.jsp"; }

9.

Starten Sie den Webanwendungsserver neu. Informationen zum Umgang mit WDeploy finden Sie im Handbuch fr die Implementierung von Webanwendungen.

10. Implementieren Sie die WAR-Datei mit WDeploy erneut auf dem Webanwendungsserver.

Um zu berprfen, ob Sie die vertrauenswrdige Authentifizierung korrekt konfiguriert haben, greifen Sie ber folgende URL auf die BI-Launchpad-Anwendung zu: http://[CMS-Name]:8080/BOE/BI/custom.jsp, wobei [CMS-Name] der Name des Rechners ist, auf dem der CMS gehostet wird. Die folgende Verknpfung sollte angezeigt werden: Klicken Sie auf diese Verknpfung, um zur Anmeldeseite von BI-Launchpad zu wechseln.

bergeben des Benutzernamens ber den Benutzerprinzipalname

In der folgenden Beispielkonfiguration wird davon ausgegangen, dass ein Benutzer namens <JohnDoe> in der BIPlattform erstellt wurde. Die Benutzerinformationen werden gespeichert und ber die Option "Benutzerprinzipalname" bergeben. Der gemeinsame geheime Schlssel wird ber die Datei TrustedPrincipal.conf bergeben, die sich standardmig im Verzeichnis C:\Programme (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\win32_x86 befindet. Die gebndelte Version von Tomcat 6 ist der Webanwendungsserver.

Hinweis
Die Webanwendungskonfiguration fr die Methoden REMOTE_USER und USER_PRINCIPAL ist identisch. 1. 2. 3. Halten Sie den Tomcat-Server an. ffnen Sie die Datei server.xml fr Tomcat im Standardverzeichnis C:\Programme (x86)\SAP BusinessObjects\Tomcat6\conf\. Suchen Sie <Realm className="org.apache.catalina.realm.UserDatabaseRealm"..../>, und ndern Sie es folgendermaen: <Realm className="org.apache.catalina.realm.MemoryRealm" ... /> 4. 5. ffnen Sie die Datei tomcat-users.xml im Standardverzeichnis C:\Programme (x86)\SAP BusinessObjects\Tomcat6\conf\. Suchen Sie das Tag <tomcat-users>, und geben Sie folgende Werte ein: <user name=<FirstnameLastname> password=<password> roles=<onjavauser>/> 6. ffnen Sie die Datei web.xml im Verzeichnis C:\Programme (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF\.

216

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

7.

Fgen Sie vor dem Tag </web-app> folgende Tags ein: <security-constraint> <web-resource-collection> <web-resource-name>OnJavaApplication</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <auth-constraint> <role-name>onjavauser</role-name> </auth-constraint> </security-constraint> <login-config> <auth-method>BASIC</auth-method> <realm-name>OnJava Application</realm-name> </login-config>

Hinweis
Fgen Sie eine Seite fr das Tag <url-pattern></url-pattern> hinzu. Diese Seite sollte jedoch nicht die Standard-URL fr BI-Launchpad oder eine andere Webanwendung sein. 8. ffnen Sie die benutzerdefinierte Datei global.properties, und geben Sie folgende Werte ein: trusted.auth.user.retrieval=USER_PRINCIPAL trusted.auth.user.namespace.enabled=true

Hinweis
Die Einstellung trusted.auth.user.namespace.enabled=true ist optional. Fgen Sie den Parameter hinzu, wenn Sie einen externen Benutzernamen einem anderen BOE-Benutzernamen zuordnen mchten. 9. Starten Sie den Webanwendungsserver neu. Informationen zum Umgang mit WDeploy finden Sie im Handbuch fr die Implementierung von Webanwendungen. Um zu berprfen, ob Sie die vertrauenswrdige Authentifizierung korrekt konfiguriert haben, wechseln Sie zu http://[<CMS-Name>]:8080/BOE/BI, um auf das BI-Launchpad zuzugreifen, wobei <[CMS-Name]> der Name des Computers ist, auf dem der CMS gehostet wird. Kurz darauf wird ein Anmeldedialogfeld angezeigt.

10. Implementieren Sie die WAR-Datei mit WDeploy erneut auf dem Webanwendungsserver.

8.3 8.3.1

LDAP-Authentifizierung Verwenden der LDAP-Authentifizierung

Dieser Abschnitt bietet eine allgemeine Beschreibung zur Funktionsweise der LDAP-Authentifizierung mit der BIPlattform. Anschlieend werden die Administrationstools eingefhrt, mit denen LDAP-Benutzerkonten fr die Plattform verwaltet und konfiguriert werden knnen. Bei der Installation von BI-Plattform wird das LDAP-Authentifizierungs-Plugin automatisch installiert, jedoch nicht standardmig aktiviert. Wenn Sie die LDAP-Authentifizierung einsetzen mchten, mssen Sie zunchst

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

217

sicherstellen, dass das entsprechende LDAP-Verzeichnis eingerichtet ist. Weitere Informationen hierzu finden Sie in der LDAP-Dokumentation. LDAP (Lightweight Directory Access Protocol) ist ein gemeinsames, anwendungsunabhngiges Verzeichnis, das es Benutzern ermglicht, Informationen zwischen verschiedenen Anwendungen auszutauschen und zu verwenden. LDAP basiert auf einem offenen Standard und ermglicht den Zugriff und das Aktualisieren von Informationen in einem Verzeichnis. LDAP basiert auf dem X.500-Standard, der mithilfe eines Verzeichniszugriffsprotokolls (DAP) eine Kommunikation zwischen einem Verzeichnisclient und einem Verzeichnisserver ermglicht. LDAP ist eine Alternative zu DAP, da weniger Ressourcen eingesetzt werden, und einige Vorgnge und Funktionen von X.500 vereinfacht oder weggelassen werden. In der Verzeichnisstruktur in LDAP sind Objekte in einem bestimmten Schema angeordnet. Jedes Objekt wird vom entsprechenden definierten Namen (DN) oder gemeinsamen Namen (CN) identifiziert. Andere oft verwendete Attribute sind der Organisationseinheitsname (OU) und der Organisationsname (O). Beispiel: Eine Mitgliedsgruppe hat folgende Stellung in der Verzeichnisstruktur: cn=BI-Plattform-Benutzer, ou=EnterpriseBenutzer A, o=Forschung. Nhere Informationen finden Sie in der LDAP-Dokumentation. Da LDAP anwendungsunabhngig ist, kann jeder Client mit der entsprechenden Berechtigung auf die Verzeichnisse zugreifen. Mithilfe von LDAP knnen sich Benutzer ber eine LDAP-Authentifizierung bei der BIPlattform anmelden. Es stellt Benutzern Zugriffsrechte fr Objekte im System zur Verfgung. Wenn ein oder mehrere LDAP-Server ausgefhrt werden und Sie LDAP in den vorhandenen vernetzten Computersystemen einsetzen, knnen Sie die LDAP-Authentifizierung (zusammen mit der Enterprise- und AD-Authentifizierung) verwenden. Das im Lieferumfang der BI-Plattform enthaltene LDAP-Sicherheits-Plugin kann auf Wunsch mit dem LDAPServer ber eine SSL-Verbindung kommunizieren, die per Serverauthentifizierung oder per gegenseitiger Authentifizierung hergestellt wurde. Bei der Serverauthentifizierung verfgt der LDAP-Server ber ein Sicherheitszertifikat, das die BI-Plattform zur berprfung der Vertrauensstellung des Servers verwendet, whrend der LDAP-Server Verbindungen mit anonymen Clients ermglicht. Bei gegenseitiger Authentifizierung verfgen sowohl LDAP-Server als auch die BI-Plattform ber Sicherheitszertifikate, und der LDAP-Server muss auerdem das jeweilige Clientzertifikat berprfen, bevor eine Verbindung aufgebaut werden kann. Das im Lieferumfang der BI-Plattform enthaltene LDAP-Sicherheits-Plugin kann so konfiguriert werden, dass die Kommunikation mit dem LDAP-Server ber SSL erfolgt und bei der berprfung der Anmeldeinformationen von Benutzern stets eine grundlegende Authentifizierung durchgefhrt wird. Bevor Sie die LDAP-Authentifizierung mit der BI-Plattform einsetzen, mssen Sie sich mit den Unterschieden zwischen den LDAP-Authentifizierungstypen vertraut machen. Ausfhrliche Informationen finden Sie in RFC2251 unter http://www.faqs.org/rfcs/ rfc2251.html. Zugehrige Links Konfigurieren der LDAP-Authentifizierung [Seite 219] Zuordnen von LDAP-Gruppen [Seite 229]

8.3.1.1

LDAP-Sicherheits-Plugin

Mit dem LDAP-Sicherheits-Plugin knnen Sie Benutzerkonten und Gruppen vom LDAP-Verzeichnisserver zur BIPlattform zuweisen. Auerdem knnen alle Anmeldeanforderungen verifiziert werden, in denen die LDAPAuthentifizierung angegeben ist. Bevor der CMS eine aktive BI-Plattform-Sitzung gewhrt, werden Benutzer auf dem LDAP-Verzeichnisserver authentifiziert, und ihre Mitgliedschaft in einer zugeordneten LDAP-Gruppe wird

218

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

berprft. Benutzerlisten und Gruppenmitgliedschaften werden dynamisch vom System verwaltet. Um die Sicherheit zu erhhen, knnen Sie angeben, dass die Plattform mit dem LDAP-Verzeichnisserver ber eine SSLVerbindung (Secure Sockets Layer) kommunizieren soll. Die LDAP-Authentifizierung fr die BI-Plattform hnelt der Windows-AD-Authentifizierung insofern, als Sie Gruppen zuordnen, Authentifizierung und Zugriffsrechte einrichten und Aliase erstellen knnen. Ebenso wie bei der NT- oder AD-Authentifizierung knnen Sie neue Enterprise-Konten fr vorhandene LDAP-Benutzer erstellen und vorhandenen Benutzern LDAP-Aliase zuweisen, wenn die Benutzernamen den Enterprise-Benutzernamen entsprechen. Auerdem knnen Sie Folgendes tun: Zuordnen von Benutzern und Gruppen aus dem LDAP-Verzeichnisdienst. Zuordnen von LDAP gegen AD. Wenn Sie LDAP gegen AD konfigurieren, sind einige Einschrnkungen zu bercksichtigen. Angeben mehrerer Hostnamen und deren Anschlsse. Konfigurieren von LDAP mit SiteMinder

Nach der Zuordnung der LDAP-Benutzer und -Gruppen untersttzen alle BI-Plattform-Clienttools die LDAPAuthentifizierung. Sie knnen auch eigene Anwendungen erstellen, die LDAP-Authentifizierung untersttzen. Zugehrige Links Konfigurieren der SSL-Einstellungen fr die LDAP-Serverauthentifizierung oder gegenseitige Authentifizierung [Seite 223] Zuordnen von LDAP gegen Windows AD [Seite 231] Konfigurieren des LDAP-Plugins fr SiteMinder [Seite 228]

8.3.2

Konfigurieren der LDAP-Authentifizierung

Um die Verwaltung zu vereinfachen, untersttzt die BI-Plattform die LDAP-Authentifizierung fr Benutzer- und Gruppenkonten. Bevor sich Benutzer mit ihrem LDAP-Benutzernamen und -Kennwort beim System anmelden knnen, mssen Sie der BI-Plattform deren LDAP-Konten zuordnen. Beim Zuordnen eines LDAP-Kontos knnen Sie ein neues Konto oder eine Verknpfung zu einem bestehenden BI-Plattform-Konto erstellen. Bevor Sie die LDAP-Authentifizierung einrichten und aktivieren, stellen Sie sicher, dass das LDAP-Verzeichnis eingerichtet ist. Fr nhere Informationen hierzu schlagen Sie in der LDAP-Dokumentation nach. Die Konfiguration der LDAP-Authentifizierung umfasst die folgenden Schritte: Konfigurieren des LDAP-Hosts Vorbereiten des LDAP-Servers fr SSL (wenn erforderlich) Konfigurieren des LDAP-Plugins fr SiteMinder (wenn erforderlich)

Hinweis
Wenn Sie LDAP gegen AD konfigurieren, besteht die Mglichkeit, Benutzer zuzuordnen. Es ist jedoch nicht mglich, die AD-Einzelanmeldung bzw. Einzelanmeldung bei Datenbanken zu konfigurieren. Methoden fr die LDAP-Einzelanmeldung wie SiteMinder und vertrauenswrdige Authentifizierung sind weiterhin verfgbar.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

219

8.3.2.1

Konfigurieren des LDAP-Hosts

Konfigurieren Sie den LDAP-Host erst, wenn der LDAP-Server installiert ist und ausgefhrt wird. 1. Wechseln Sie in den Verwaltungsbereich Authentifizierung der CMC, und doppelklicken Sie auf LDAP.

Hinweis
Um den Verwaltungsbereich Authentifizierung aufzurufen, klicken Sie in der Navigationsliste auf Authentifizierung. 2. Geben Sie den Namen und die Portnummer des LDAP-Hosts in das Feld LDAP-Host hinzufgen (hostname:port) ein (z.B. meinserver:123), und klicken Sie auf Hinzufgen und dann auf OK.

Tipp
Wiederholen Sie diesen Schritt, um weitere LDAP-Hosts des gleichen Servertyps hinzuzufgen, wenn Sie Hosts hinzufgen mchten, die als Server fr Failover fungieren knnen. Wenn Sie einen Host entfernen mchten, markieren Sie den Hostnamen und klicken auf Lschen. 3. Whlen Sie in der Liste LDAP-Servertyp Ihren Servertyp aus.

Hinweis
Wenn Sie LDAP zu AD zuordnen, whlen Sie "Microsoft Active Directory Application Server" als Servertyp. 4. Um die Attributzuordnungen fr LDAP-Server oder die Standardsuchattribute fr LDAP anzuzeigen oder zu ndern, klicken Sie auf Attributzuweisungen anzeigen. Standardmig sind die Server-Attributzuweisungen und Suchattribute jedes untersttzten Servertyps bereits eingestellt. 5. 6. 7. Klicken Sie auf Weiter. Geben Sie in das Feld Definierter Name/Basis-LDAP den definierten Namen (z.B. o=SomeBase) fr den LDAP-Server ein, und klicken Sie auf Weiter. Geben Sie im Bereich Anmeldedaten fr die LDAP-Serveradministration den definierten Namen und das Kennwort eines Benutzerkontos ein, das ber Lesezugriff fr das Verzeichnis verfgt.

Hinweis
Administratoranmeldedaten sind nicht erforderlich.

Hinweis
Wenn der LDAP-Server die anonyme Bindung zulsst, lassen Sie diesen Bereich leer. Die BI-PlattformServer und -Clients fhren ber die anonyme Anmeldung eine Bindung an den primren Host aus. 8. Wenn Sie Weiterleitungen auf dem LDAP-Host konfiguriert haben, geben Sie zuerst die Authentifizierungsinformationen unter "Anmeldedaten fr die LDAP-Weiterleitung" und anschlieend die Anzahl der Weiterleitungs-Hops in das Feld Maximale Weiterleitungs-Hops ein.

220

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Hinweis
Sie mssen den Bereich Anmeldedaten fr die LDAP-Weiterleitung konfigurieren, wenn alle der folgenden Bedingungen zutreffen: Der primre Host ist so konfiguriert, dass er auf einen anderen Verzeichnisserver verweist, der Abfragen fr Eintrge unter einer vorgegebenen Basis verarbeitet. Der Host, auf den verwiesen wird, ist so konfiguriert, dass anonyme Bindungen unzulssig sind. Eine Gruppe vom Host, auf die verwiesen wird, wird zu der BI-Plattform zugeordnet.

Hinweis
Obwohl Gruppen von mehreren Hosts zugeordnet werden knnen, knnen die Anmeldedaten nur einmal festgelegt werden. Bei mehreren Hosts fr die Weiterleitung mssen Sie auf jedem Host ein Benutzerkonto erstellen, auf dem der gleiche eindeutige Name und das gleiche Kennwort verwendet werden.

Hinweis
Wenn Maximale Weiterleitungs-Hops auf 0 (Null) gesetzt ist, werden keine Weiterleitungen verfolgt. 9. Klicken Sie auf Weiter und whlen den Typ der verwendeten SSL-Authentifizierung (Secure Sockets Layer) aus: Standard (nicht SSL) Server-Authentifizierung Gegenseitige Authentifizierung Die Einzelheiten und Voraussetzungen fr die Serverauthentifizierung und die gegenseitige Authentifizierung werden in einem nachfolgenden Abschnitt erlutert. Damit die Einrichtung der LDAPAuthentifizierung ungeachtet des verwendeten SSL-Typs erfolgreich verluft, sollten Sie den Abschnitt Konfigurieren der SSL-Einstellungen fr die LDAP-Serverauthentifizierung oder gegenseitige Authentifizierung in diesem Dokument durchlesen, bevor Sie die weiteren Schritte dieser Anweisung ausfhren.

10. Klicken Sie auf Weiter, und whlen Sie Standard (nicht SSO) oder SiteMinder als Methode der LDAPEinzelanmeldungsauthentifizierung aus. 11. Klicken Sie auf Weiter, und whlen die Art der Zuordnung von Aliasen und Benutzern zu BI-Plattform-Konten aus: a) Whlen Sie in der Liste Optionen fr neuen Alias eine Option fr die Zuordnung neuer Aliase zu EnterpriseKonten aus: Jeden hinzugefgten LDAP-Alias einem Konto mit demselben Namen zuweisen Verwenden Sie diese Option, wenn Sie wissen, dass einige Benutzer ber ein bereits vorhandenes Enterprise-Konto mit demselben Namen verfgen, d.h. vorhandenen Benutzern werden LDAP-Aliase zugewiesen (die automatische Generierung von Aliasen ist aktiviert). Benutzer ohne Enterprise-Konto oder mit unterschiedlichen Namen fr das Enterprise- und das LDAP-Konto werden als neue Benutzer hinzugefgt. Fr jeden hinzugefgten LDAP-Alias ein neues Konto erstellen Verwenden Sie diese Option, wenn Sie fr jeden Benutzer ein neues Konto erstellen mchten.

b) Whlen Sie in der Liste Aktualisierungsoptionen fr Aliase eine Option fr die Verwaltung von Aliasaktualisierungen fr Enterprise-Konten aus:

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

221

Neue Aliase bei der Aliasaktualisierung erstellen Aktivieren Sie diese Option, um fr jeden LDAP-Benutzer, der der der BI-Plattform zugeordnet wurde, automatisch ein neues Alias zu erstellen. Bei Benutzern ohne BI-Plattform-Konten oder bei Aktivierung der Option Fr jeden hinzugefgten LDAP-Alias ein neues Konto erstellen werden neue LDAP-Konten fr die Benutzer hinzugefgt. Neue Aliase nur bei der Benutzeranmeldung erstellen Aktivieren Sie diese Option, wenn das zuzuordnende LDAP-Verzeichnis viele Benutzer umfasst, jedoch nur wenige Benutzer die der BI-Plattform verwenden werden. Aliase und Enterprise-Konten fr alle Benutzer werden vom System nicht automatisch erstellt. Vielmehr werden Aliase (und ggf. Konten) nur fr die Benutzer erstellt, die sich bei der BI-Plattform anmelden.

c) Wenn die BI-Plattform-Dienstlizenz nicht auf Benutzerrollen basiert, whlen Sie in der Liste Optionen fr neue Benutzer eine Option aus, um festzulegen, wie neue Benutzer erstellt werden: Neue Benutzer werden als vordefinierte Benutzer erstellt Neue Benutzerkonten werden fr die Verwendung von Namenslizenzen konfiguriert. Namenslizenzen sind mit bestimmten Benutzern verbunden und ermglichen den Zugriff auf das System auf der Grundlage von Benutzername und Kennwort. Dieser Lizenztyp ermglicht Namenslizenzbenutzern den Zugriff auf das System, unabhngig von der Anzahl der derzeit verbundenen Benutzer. Fr jedes mit dieser Option erstellte Benutzerkonto muss eine Namenslizenz verfgbar sein. Neue Benutzer werden als gleichzeitige Benutzer erstellt Neue Benutzerkonten werden fr die Verwendung von Zugriffslizenzen konfiguriert. Zugriffslizenzen geben die Anzahl der Personen an, die gleichzeitig bei den BI-Plattform-Diensten angemeldet sein knnen. Dieser Lizenztyp ist sehr flexibel, da mit einer geringen Anzahl von Zugriffslizenzen viele Benutzer untersttzt werden knnen. Je nach Hufigkeit und Dauer des Zugriffs auf die Informationsplattformdienste knnen 100 Zugriffslizenzen beispielsweise 250, 500 oder auch 700 Benutzer untersttzen.

12. Geben Sie unter Optionen fr die Attributbindung die Attributbindungsprioritt fr das LDAP-Plugin an: a) Aktivieren Sie Vollstndigen Namen, E-Mail-Adresse und andere Attribute importieren. Die in den LDAP-Konten verwendeten vollstndigen Namen und Beschreibungen werden importiert und mit den Benutzerobjekten im System gespeichert. b) Geben Sie eine Option fr Prioritt der LDAP-Attributbindung im Verhltnis zu anderen Attributbindungen festlegen an.

Hinweis
Wenn die Option auf 1 festgelegt ist, haben LDAP-Attribute immer dann Vorrang, wenn LDAP-Plugins und andere Plugins (Windows AD und SAP) aktiviert sind. Wenn die Option auf 3 festgelegt ist, haben Attribute von anderen aktivierten Plugins Prioritt. 13. Klicken Sie auf Fertig stellen. Zugehrige Links Konfigurieren der SSL-Einstellungen fr die LDAP-Serverauthentifizierung oder gegenseitige Authentifizierung [Seite 223] Konfigurieren des LDAP-Plugins fr SiteMinder [Seite 228]

222

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

8.3.2.2

Verwalten mehrerer LDAP-Hosts

Mithilfe von LDAP und der BI-Plattform knnen Sie das System mit Fehlertoleranz erweitern, indem Sie mehrere LDAP-Hosts hinzufgen. Das System verwendet den ersten Host, den Sie hinzufgen, als primren LDAP-Host. Die weiteren Hosts werden als Hosts fr Failover verwendet. Der primre LDAP-Host und alle Hosts fr Failover mssen in genau gleicher Weise konfiguriert werden, und jeder LDAP-Host muss auf alle weiteren Hosts verweisen, von denen aus Gruppen zugeordnet werden sollen. Weitere Informationen zu LDAP-Hosts und Weiterleitungen finden Sie in der LDAP-Dokumentation. Geben Sie beim Konfigurieren von LDAP mithilfe des Assistenten fr die LDAP-Konfiguration alle Hosts ein, um mehrere LDAP-Hosts hinzuzufgen (weitere Informationen finden Sie unter ). Wenn LDAP bereits konfiguriert wurde, wechseln Sie zum Verwaltungsbereich "Authentifizierung" der Central Management Console und klicken auf die Registerkarte "LDAP". Klicken Sie im Bereich "Eigenschaften der LDAP-Serverkonfiguration" auf den Namen des LDAP-Hosts, um die Seite zu ffnen, auf der Sie Hosts hinzufgen oder lschen knnen.

Hinweis
Fgen Sie zuerst den primren Host und dann die brigen Hosts fr Failover hinzu.

Hinweis
Wenn Sie LDAP-Hosts fr Failover verwenden, kann die hchste SSL-Sicherheitsstufe nicht verwendet werden (also die Option "Serverzertifikat akzeptieren, wenn es von einer vertrauenswrdigen Zertifizierungsstelle stammt und das CN-Attribut des Zertifikats mit dem DNS-Hostnamen des Servers bereinstimmt" nicht ausgewhlt werden). Zugehrige Links Konfigurieren der LDAP-Authentifizierung [Seite 219]

8.3.2.3 Konfigurieren der SSL-Einstellungen fr die LDAPServerauthentifizierung oder gegenseitige Authentifizierung


Dieser Abschnitt enthlt ausfhrliche Informationen zur SSL-basierten Serverauthentifizierung bzw. gegenseitigen Authentifizierung fr LDAP. Zur Einrichtung der SSL-basierten Authentifizierung sind vorbereitende Schritte auszufhren. In diesem Abschnitt wird auerdem im Einzelnen beschrieben, wie Sie SSL mit LDAPServerauthentifizierung und gegenseitiger Authentifizierung in der CMC konfigurieren. Es wird davon ausgegangen, dass Sie den LDAP-Host konfiguriert und dann eine der folgenden Optionen fr die SSLAuthentifizierung ausgewhlt haben: Zustzliche Informationen oder Konfigurationshinweise fr den LDAP-Hostserver finden Sie in der Dokumentation Ihres LDAP-Anbieters. Zugehrige Links Konfigurieren des LDAP-Hosts [Seite 220]

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

223

8.3.2.3.1 Konfigurieren der LDAP-Serverauthentifizierung oder gegenseitigen Authentifizierung


Ressource
CA-Zertifikat

Diese Aktion vor Beginn dieser Aufgabe durchfhren


Diese Aktion ist fr die Server- und die gegenseitige Authentifizierung mit SSL erforderlich. 1. 2. Rufen Sie eine Zertifizierungsstelle (Certificate Authority; CA) ab, um ein CA-Zertifikat zu generieren. Fgen Sie das Zertifikat dem LDAP-Server hinzu.

Informationen hierzu finden Sie in der Dokumentation des LDAP-Anbieters. Serverzertifikat Diese Aktion ist fr die Server- und die gegenseitige Authentifizierung mit SSL erforderlich. 1. 2. Fordern Sie ein Serverzertifikat an, und generieren Sie es dann. Autorisieren Sie das Zertifikat, und fgen Sie es anschlieend dem LDAP-Server hinzu.

cert7.db oder cert8.db, key3.db

Diese Dateien sind fr die Server- und die gegenseitige Authentifizierung mit SSL erforderlich. 1. Laden Sie die Anwendung "certutil", die entweder die Datei cert7.db oder cert8.db generiert (je nach Anforderungen), von ftp://ftp.mozilla.org/pub/ mozilla.org/security/nss/releases/NSS_3_6_RTM/ herunter. 2. 3. Kopieren Sie das CA-Zertifikat in dasselbe Verzeichnis wie die Anwendung "certutil". Generieren Sie die Dateien cert7.db oder cert8.db,

key3.db und secmod.db mit dem folgenden Befehl: certutil -N -d .


4. Fgen Sie das CA-Zertifikat mithilfe des folgenden Befehls der Datei cert7.db oder cert8.db hinzu:

certutil -A -n <CA_alias_name> -t CT -d . -I cacert.cer


5. Speichern Sie die drei Dateien in einem Verzeichnis auf dem Computer, der die Business-Intelligence-Plattform (BI-Plattform) hostet.

cacerts

Diese Datei wird fr die Server- oder gegenseitige Authentifizierung mit SSL fr Java-Anwendungen wie BILaunchpad bentigt. 1. 2. Gehen Sie zur Datei keytool im Java-Verzeichnis bin. Verwenden Sie den folgenden Befehl, um die Datei

cacerts zu erstellen: keytool -import -v -alias <CA_alias_name> -file

224

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Ressource

Diese Aktion vor Beginn dieser Aufgabe durchfhren <CA_certificate_name> -trustcacerts -keystore
3. Speichern Sie die Datei cacerts im selben Verzeichnis wie die Dateien cert7.db oder cert8.db und

key3.db.
Clientzertifikat 1. Erstellen Sie eigene Clientanforderungen fr die Dateien

cert7.db oder cert8.db und .keystore:


Verwenden Sie zum Konfigurieren des LDAPPlugins die Anwendung "certutil", um eine Clientzertifikatsanforderung zu generieren. Generieren Sie die Clientzertifikatsanforderung mit folgendem Befehl:

certutil -R -s "<client_dn>" -a o <certificate_request_name> -d . <client_dn> enthlt Informationen wie


"CN=<<Clientname>>, OU=<Org-Einheit>, O=<Name des Unternehmens>, L=<Ort>, ST=<Territorialeinheit> und C=<Land>. 2. Authentifizieren Sie die Zertifikatsanforderung mithilfe der Zertifizierungsstelle. Rufen Sie das Zertifikat mithilfe des folgenden Befehls ab, und fgen Sie es in die Datei cert7.db oder cert8.db ein:

certutil -A -n <client_name> -t Pu -d . -I <client_certificate_name>


3. Ermglichen Sie die Java-Authentifizierung mit SSL: Generieren Sie mit dem keytool-Dienstprogramm im Java-Verzeichnis bin eine Clientzertifikatsanforderung. Generieren Sie mit folgendem Befehl ein Schlsselpaar:

keytool -genkey keystore .keystore


4. Nachdem Sie Informationen ber Ihren Client angegeben haben, erzeugen Sie mithilfe des folgenden Befehls eine Clientzertifikatanforderung:

keytool -certreq -file <certificate_request_name> keystore .keystore


5. Fgen Sie nach der Authentifizierung der Clientzertifikatsanforderung durch die

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

225

Ressource

Diese Aktion vor Beginn dieser Aufgabe durchfhren


Zertifizierungsstelle mit folgendem Befehl das CAZertifikat der Datei .keystore hinzu:

keytool -import -v -alias <CA_alias_name> -file <ca_certificate_name> -trustcacerts -keystore .keystore


6. Rufen Sie die Clientzertifikatsanforderung aus der Zertifizierungsstelle ab, und fgen Sie sie mit folgendem Befehl der Datei .keystore hinzu:

keytool -import -v -file <client_certificate_name> trustcacerts -keystore .keystore


7. Speichern Sie die Datei .keystore im selben Verzeichnis wie die Dateien cert7.db oder cert8.db und cacerts auf dem Computer, der die BI-Plattform hostet.

1.

Whlen Sie die zu verwendende SSL-Sicherheitsstufe: Serverzertifikat immer akzeptieren Hierbei handelt es sich um die Option mit der niedrigsten Sicherheitsebene. Bevor die der BI-Plattform eine SSL-Verbindung mit dem LDAP-Host (zum Authentifizieren von LDAP-Benutzern und -Gruppen) herstellen kann, muss ein vom LDAP-Host gesendetes Sicherheitszertifikat eingehen. Das erhaltene Zertifikat wird von der BI-Plattform nicht geprft. Serverzertifikat akzeptieren, wenn es von vertrauenswrdiger Zertifizierungsstelle stammt Hierbei handelt es sich um die Option mit mittlerer Sicherheitsebene. Bevor die der BI-Plattform eine SSL-Verbindung mit dem LDAP-Host (zum Authentifizieren von LDAP-Benutzern und Gruppen) herstellen kann, muss ein vom LDAP-Host gesendetes Sicherheitszertifikat vorliegen und berprft werden. Zum berprfen des Zertifikats muss das System in der Zertifikatsdatenbank nach der ausstellenden Zertifizierungsstelle suchen. Serverzertifikat akzeptieren, wenn es von vertrauenswrdiger Zertifizierungsstelle stammt und das CNAttribut des Zertifikats mit dem DNS-Hostnamen des Servers bereinstimmt Hierbei handelt es sich um die Option mit der hchsten Sicherheitsebene. Bevor die der BI-Plattform eine SSL-Verbindung mit dem LDAP-Host (zum Authentifizieren von LDAP-Benutzern und Gruppen) herstellen kann, muss ein vom LDAP-Host gesendetes Sicherheitszertifikat vorliegen und berprft werden. Zum Verifizieren des Zertifikats muss die BI-Plattform die Zertifizierungsstelle, die das Zertifikat ausgestellt hat, in ihrer Zertifikatsdatenbank finden und besttigen knnen, dass das CN-Attribut auf dem Serverzertifikat genau mit dem LDAP-Hostnamen bereinstimmt, den Sie im ersten Schritt des Assistenten in das Feld LDAP-Host hinzufgen eingegeben haben, falls Sie den LDAP-Hostnamen als ABALONE.rd.crystald.net:389 angegeben haben. (Die Verwendung von CN =ABALONE:389 im Zertifikat funktioniert nicht.) Der im Sicherheitszertifikat des Servers genannte Hostname entspricht dem Namen des primren LDAPHosts. Bei Aktivierung dieser Option kann kein LDAP-Host als Ausfallsicherung verwendet werden.

Hinweis
Bei Java-Anwendungen werden die erste und letzte Einstellung ignoriert. Das Serverzertifikat wird nur akzeptiert, wenn es von einer vertrauenswrdigen Zertifizierungsstelle ausgegeben wurde.

226

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2.

Geben Sie im Feld SSL-Host den Hostnamen der einzelnen Computer ein, und klicken Sie auf Hinzufgen. Anschlieend geben Sie den Hostnamen jedes Computers in der BI-Plattform-Implementierung ein, der das BI-Plattform-SDK verwendet. (Dies betrifft den Computer, auf dem der Central Management Server ausgefhrt wird, und den Computer, auf dem der Webanwendungsserver ausgefhrt wird.)

3.

Legen Sie die SSL-Einstellungen fr jeden der Liste hinzugefgten SSL-Host fest: a) Whlen Sie aus der SSL-Liste die Option Standard aus. b) Deaktivieren Sie die Kontrollkstchen Standardwert verwenden. c) Geben Sie einen Wert in das Feld Pfad zu den Zertifikats- und Schlsseldatenbankdateien und in das Feld Kennwort fr die Schlsseldatenbank ein. d) Wenn Sie Einstellungen fr die gegenseitige Authentifizierung festlegen, geben Sie einen Wert in das Feld Spitzname fr das Clientzertifikat in der Zertifikatsdatenbank ein.

Hinweis
Die Standardeinstellungen werden (fr beliebige Hosts) immer dann verwendet, wenn das Kontrollkstchen Standardwert verwenden fr einen Computer aktiviert ist, dessen Name der Liste der SSL-Hosts nicht hinzugefgt wird. 4. Legen Sie die Standardeinstellungen fr jeden Host fest, der sich nicht in der Liste befindet, und klicken Sie auf Weiter. Um die Einstellungen fr einen anderen Host anzugeben, whlen Sie den Hostnamen aus der Liste links aus und geben die Werte in die Felder auf der rechten Seite ein.

Hinweis
Die Standardeinstellungen werden (fr beliebige Hosts) immer dann verwendet, wenn das Kontrollkstchen Standardwert verwenden fr einen Computer aktiviert ist, dessen Name der Liste der SSL-Hosts nicht hinzugefgt wird. 5. 6. 7. Whlen Sie Standard (nicht SSO) oder SiteMinder als Methode der LDAP-Einzelanmeldungsauthentifizierung aus. Whlen Sie aus, wie neue LDAP-Benutzer und -Aliase erstellt werden. Klicken Sie auf Beenden.

Zugehrige Links Konfigurieren des LDAP-Plugins fr SiteMinder [Seite 228]

8.3.2.4

ndern der LDAP-Konfigurationseinstellungen

Nach dem Konfigurieren der LDAP-Authentifizierung mithilfe des Assistenten fr die LDAP-Konfiguration knnen Sie auf der Seite "Eigenschaften der LDAP-Serverkonfiguration" die LDAP-Verbindungsparameter und Mitgliedsgruppen ndern. 1. 2. Wechseln Sie zum Verwaltungsbereich Authentifizierung der CMC. Doppelklicken Sie auf LDAP. Falls die LDAP-Autorisierung konfiguriert ist, wird die Seite Eigenschaften der LDAP-Serverkonfiguration angezeigt. Auf dieser Seite knnen Sie beliebige Bereiche oder Felder ndern, die Verbindungsparameter betreffen. Darber hinaus knnen Sie den Bereich Zugeordnete LDAP-Mitgliedsgruppen ndern.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

227

3. 4. 5. 6.

Lschen Sie aktuell zugewiesene Gruppen, die unter den neuen Verbindungseinstellungen nicht mehr verfgbar sind, und klicken Sie auf Aktualisieren. ndern Sie die Verbindungseinstellungen, und klicken Sie auf Aktualisieren. ndern Sie die Optionen "Alias" und "Neuer Benutzer", und klicken Sie auf Aktualisieren. Ordnen Sie die neuen LDAP-Mitgliedsgruppen zu, und klicken Sie auf Aktualisieren.

8.3.2.5

Konfigurieren des LDAP-Plugins fr SiteMinder

In diesem Abschnitt wird erlutert, wie Sie die CMC fr die Verwendung von LDAP mit SiteMinder konfigurieren. SiteMinder ist ein von einem Dritthersteller entwickeltes Benutzerzugriffs- und Authentifizierungstool, das mit dem LDAP-Sicherheits-Plugin verwendet werden kann, um die Einzelanmeldung an der BI-Plattform einzurichten. Um SiteMinder und LDAP mit der BI-Plattform zu verwenden, mssen an zwei Stellen Konfigurationseinstellungen vorgenommen werden: dem LDAP-Plugin ber die CMC den BOE.war-Dateieigenschaften

Hinweis
Stellen Sie sicher, dass der SiteMinder-Administrator die Untersttzung fr 4.x-Agenten aktiviert hat. Dies muss unabhngig von der untersttzten SiteMinder-Version geschehen, die Sie verwenden. Weitere Informationen zu SiteMinder sowie Installationshinweise finden Sie in der SiteMinder-Dokumentation. Zugehrige Links Konfigurieren des LDAP-Hosts [Seite 220]

8.3.2.5.1 Konfigurieren von LDAP fr die Einzelanmeldung mit SiteMinder


1. ffnen Sie den Bildschirm Konfigurieren Sie Ihre SiteMinder-Einstellungen mithilfe einer der folgenden Methoden: 2. 3. 4. 5. Whlen Sie SiteMinder im Bildschirm "Whlen Sie eine Methode der LDAP-Einzelauthentifizierung" im Assistenten fr die LDAP-Konfiguration aus. Whlen Sie im Bildschirm fr die LDAP-Authentifizierung, der verfgbar ist, wenn Sie LDAP bereits konfiguriert haben und nun SSO hinzufgen, die Verknpfung "Einzelanmeldungstyp".

Geben Sie im Feld Richtlinienserver-Host die Namen der einzelnen Richtlinienserver ein, und klicken Sie dann auf Hinzufgen. Geben Sie fr jeden Richtlinienserver-Host die Nummer fr den Accounting-, Authentifizierungs- und Autorisierungsanschluss an. Geben Sie den Agentnamen und Gemeinsamen geheimen Schlssel ein. Geben Sie den gemeinsamen geheimen Schlssel ein zweites Mal ein. Klicken Sie auf Weiter.

228

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

6.

Fahren Sie mit der Konfiguration der LDAP-Optionen fort.

8.3.2.5.2 Aktivieren von LDAP und SiteMinder in der BOE.war-Datei


Geben SiteMinder-Einstellungen fr das LDAP-Sicherheits-Plugin und fr die Eigenschaften der Datei BOE.war an. 1. 2. 3. Suchen Sie das Verzeichnis <<INSTALLVERZ>>\SAP BusinessObjects Enterprise XI 4.0\warfiles \webapps\BOE\WEB-INF\config\custom\ in der BI-Plattform-Installation. Erstellen Sie mit Editor oder einem anderen Textbearbeitungsprogramm eine neue Datei. Geben Sie folgende Werte in die neue Datei ein: siteminder.authentication=secLDAP siteminder.enabled=true 4. Speichern Sie die Datei unter dem Namen global.properties, und schlieen Sie sie. Speichern Sie den Dateinamen nicht mit einer Dateinamenerweiterung, z.B. .txt. 5. 6. Erstellen Sie eine weitere Datei im selben Verzeichnis. Geben Sie folgende Werte in die neue Datei ein: authentication.default=LDAP cms.default=[<cms name>]:[<CMS port number>] Beispiel: authentication.default=LDAP cms.default=mycms:6400 7. Speichern Sie die Datei unter dem Namen bilaunchpad.properties, und schlieen Sie sie.

Die neuen Eigenschaften werden erst wirksam, wenn die genderte BOE-Webanwendung auf dem Computer, auf dem der Webanwendungsserver ausgefhrt wird, erneut implementiert wird. Implementieren Sie die WAR-Datei mit WDeploy erneut auf dem Webanwendungsserver. Informationen zum Umgang mit WDeploy finden Sie im Handbuch fr die Implementierung von Webanwendungen.

8.3.3

Zuordnen von LDAP-Gruppen

Nach dem Konfigurieren des LDAP-Hosts mithilfe des Assistenten fr die LDAP-Konfiguration knnen Sie LDAPGruppen Enterprise-Gruppen zuordnen. Nachdem Sie LDAP-Gruppen zugeordnet haben, knnen Sie sie anzeigen, indem Sie im Verwaltungsbereich Authentifizierung auf die Option "LDAP" klicken. Wenn die LDAP-Authentifizierung konfiguriert wurde, werden im Bereich "Zugeordnete LDAP-Mitgliedsgruppen" die LDAP-Gruppen angezeigt, die der BI-Plattform zugeordnet wurden.

Hinweis
Sie knnen auch Windows AD-Gruppen zuordnen, die in der der BI-Plattform ber das LDAP-Sicherheits-Plugin authentifiziert werden sollen.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

229

Hinweis
Falls Sie LDAP gegen AD konfiguriert haben, werden durch diese Schritte AD-Gruppen zugeordnet. Zugehrige Links Zuordnen von LDAP gegen Windows AD [Seite 231]

8.3.3.1 Zuordnen von LDAP-Gruppen mithilfe der der BIPlattform


1. 2. Wechseln Sie in den Verwaltungsbereich Authentifizierung der CMC, und doppelklicken Sie auf LDAP. Nach dem Konfigurieren der LDAP-Authentifizierung wird die Seite mit der LDAP-bersicht angezeigt. Geben Sie im Bereich Zugeordnete LDAP-Mitgliedsgruppen im Feld LDAP-Gruppe hinzufgen (CN oder DN) die LDAP-Gruppe ein entweder den Common Name (CN) oder den Distinguished Name (DN) und klicken Sie auf Hinzufgen. Sie knnen mehrere LDAP-Gruppen hinzufgen.

Tipp
Wenn Sie eine LDAP-Gruppe entfernen mchten, whlen Sie sie aus, und klicken Sie auf Lschen. 3. Whlen Sie in der Liste Optionen fr neuen Alias eine Option fr die Zuordnung von LDAP-Aliasen zu Enterprise-Konten aus: Jeden hinzugefgten LDAP-Alias einem Konto mit demselben Namen zuweisen Verwenden Sie diese Option, wenn Sie wissen, dass einige Benutzer ber ein bereits vorhandenes Enterprise-Konto mit demselben Namen verfgen, d.h. vorhandenen Benutzern werden LDAP-Aliase zugewiesen (die automatische Generierung von Aliasen ist aktiviert). Benutzer ohne Enterprise-Konto oder mit unterschiedlichen Namen fr das Enterprise- und das LDAP-Konto werden als neue LDAPBenutzer hinzugefgt. Fr jeden hinzugefgten LDAP-Alias ein neues Konto erstellen Verwenden Sie diese Option, wenn Sie fr jeden Benutzer ein neues Konto erstellen mchten.

4.

Whlen Sie in der Liste Aktualisierungsoptionen fr Aliase eine Option aus, um festzulegen, ob LDAP-Aliase automatisch fr neue Benutzer erstellt werden: Neue Aliase bei der Aliasaktualisierung erstellen Neue Aliase nur bei der Benutzeranmeldung erstellen

5.

Whlen Sie in der Liste Optionen fr neue Benutzer eine Option aus, um Eigenschaften fr neue EnterpriseKonten zu definieren, die erstellt und LDAP-Konten zugewiesen werden sollen: Neue Benutzer werden als vordefinierte Benutzer erstellt Whlen Sie diese Option, wenn neue Benutzerkonten fr die Verwendung von Namenslizenzen konfiguriert werden sollen. Namenslizenzen sind mit bestimmten Benutzern verbunden und ermglichen den Zugriff auf das System auf der Grundlage von Benutzername und Kennwort. Dieser Lizenztyp ermglicht Benutzern den Zugriff auf das System unabhngig von der Anzahl der derzeit verbundenen Benutzer. Fr jedes mit dieser Option erstellte Benutzerkonto muss eine Namenslizenz verfgbar sein. Neue Benutzer werden als gleichzeitige Benutzer erstellt

230

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Whlen Sie diese Option, wenn neue Benutzerkonten fr die Verwendung von ZugriffslizenzbenutzerLizenzen konfiguriert werden sollen. Zugriffslizenzen geben die Anzahl der Personen an, die gleichzeitig mit der BI-Plattform verbunden sein knnen. Dieser Lizenztyp ist sehr flexibel, da mit einer geringen Anzahl von Zugriffslizenzen viele Benutzer untersttzt werden knnen. Je nach Hufigkeit und Dauer des Zugriffs auf das System knnen 100 Zugriffslizenzen beispielsweise 250, 500 oder auch 700 Benutzer untersttzen. 6. Klicken Sie auf Aktualisieren.

8.3.3.2 Zuordnen von LDAP-Gruppen ber die der BIPlattform


1. 2. Wechseln Sie zum Verwaltungsbereich Authentifizierung der CMC. Doppelklicken Sie auf LDAP. Nach dem Konfigurieren der LDAP-Authentifizierung wird die Seite mit der LDAP-bersicht angezeigt. 3. 4. Whlen Sie im Bereich Zugeordnete LDAP-Mitgliedsgruppen die LDAP-Gruppe aus, die entfernt werden soll. Klicken Sie auf Lschen und dann auf Aktualisieren. Die Benutzer dieser Gruppe knnen nicht auf die der BI-Plattform zugreifen.

Hinweis
Die einzige Ausnahme besteht dann, wenn ein Benutzer ber einen Alias fr ein Enterprise-Konto verfgt. Um den Zugriff einzuschrnken, deaktivieren oder lschen Sie das Enterprise-Konto des Benutzers. Um die LDAP-Authentifizierung fr alle Gruppen auer Kraft zu setzen, deaktivieren Sie das Kontrollkstchen "LDAP-Authentifizierung ist aktiviert", und klicken Sie auf Aktualisieren.

8.3.3.3

Zuordnen von LDAP gegen Windows AD

Beim Konfigurieren von LDAP gegen Windows AD gelten die folgenden Einschrnkungen: Wenn Sie LDAP gegen AD konfigurieren, besteht die Mglichkeit, Benutzer zuzuordnen. Es ist jedoch nicht mglich, die AD-Einzelanmeldung bzw. Einzelanmeldung bei Datenbanken zu konfigurieren. Methoden fr die LDAP-Einzelanmeldung wie SiteMinder und vertrauenswrdige Authentifizierung sind weiterhin verfgbar. Benutzer, die lediglich den AD-Standardgruppen angehren, knnen sich nicht anmelden. Benutzer mssen zustzlich Mitglied einer anderen, explizit in AD erstellten Gruppe sein, die auerdem zugeordnet werden muss. Ein Beispiel fr eine solche Gruppe ist die Gruppe "Domnenbenutzer". Wenn die einer Domne zugeordnete lokale Gruppe einen Benutzer aus einer anderen Domne im Forest enthlt, kann sich der Benutzer, der aus einer anderen Domne im Forest stammt, nicht erfolgreich anmelden. Benutzer aus einer universellen Gruppe, die einer anderen Domne angehren als der als LDAP-Host definierte DC knnen sich nicht erfolgreich anmelden. Sie knnen das LDAP-Plugin nicht verwenden, um Benutzer und Gruppen aus AD-Forests zuzuordnen, die sich auerhalb des Forests befinden, in dem die BI-Plattform installiert ist.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

231

Sie knnen keine Zuordnung in der Gruppe "Domnenbenutzer" in AD vornehmen. Sie knnen keine lokale Gruppe auf einem Rechner zuordnen. Wenn Sie den Domnencontroller des globalen Katalogs verwenden, gelten fr die Zuordnung von LDAP gegen AD zustzliche berlegungen: Situation Mehrere Domnen, wenn auf den Domnencontroller des globalen Katalogs verwiesen wird Anmerkungen Zulssige Zuordnungen: universelle Gruppen in einer untergeordneten Domne Gruppen in derselben Domne, die universelle Gruppen aus einer untergeordneten Gruppe enthlt, und universelle Gruppen in einer bergreifenden Domne

Nicht zulssige Zuordnungen: globale Gruppen in einer untergeordneten Domne lokale Gruppen in einer untergeordneten Domne Gruppen in derselben Domne, die eine globale Gruppe aus der untergeordneten Domne enthalten, und domnenbergreifende globale Gruppen

Wenn es sich bei der Gruppe um eine universelle Gruppe handelt, untersttzt diese im Allgemeinen Benutzer aus bergreifenden oder untergeordneten Domnen. Andere Gruppen werden nicht zugeordnet, wenn sie Benutzer aus bergreifenden oder untergeordneten Domnen enthalten. Innerhalb der Domne, auf die Sie verweisen, knnen Sie der Domne lokale, globale und universelle Gruppen zuordnen. Zuordnen in universellen Gruppen Fr die Zuordnung in universellen Gruppen verweisen Sie auf den Domnencontroller des globalen Katalogs. Darber hinaus sollten Sie die Portnummer 3268 und nicht die Standardnummer 389 verwenden.

Wenn Sie mehrere Domnen verwenden, aber nicht auf den Domnencontroller des globalen Katalogs verweisen, knnen Sie von bergreifenden oder untergeordneten Domnen keine Zuordnung zu einem Gruppentyp vornehmen. Sie knnen nur von der jeweiligen Domne aus, auf die Sie verweisen, eine Zuordnung in alle Gruppentypen vornehmen.

8.3.3.4 Verwenden des LDAP-Plugins zur Konfiguration von SSO fr die SAP-HANA-Datenbank
In diesem Abschnitt werden Administratoren ber die fr die Einrichtung und Konfiguration der Einzelanmeldung (SSO) zwischen der BI-Plattform, die unter SUSE Linux 11 ausgefhrt wird, und der SAP-HANA-Datenbank erforderlichen Schritte informiert. Dank der LDAP-Authentifizierung mit Kerberos knnen AD-Benutzer auf einer BI-Plattform authentifiziert werden, die unter Linux ausgefhrt wird, genauer gesagt SUSE. Dieses Szenario untersttzt auch die Einzelanmeldung an SAP HANA als Berichterstellungsdatenbank.

232

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Hinweis
Informationen ber das Einrichten der SAP-HANA-Datenbank finden Sie im Serverinstallations- und Aktualisierungshandbuch fr SAP-HANA-Datenbank. Informationen ber das Einrichten der Datenzugriffskomponente fr SAP HANA finden Sie im Datenzugriffshandbuch.

bersicht ber die Implementierung


Folgende Komponenten sind erforderlich, damit die Kerberos-Einzelanmeldung funktioniert. Komponente Domnen-Controller Central Management Server Kerberos-V5-Client Anforderung Muss auf einem Rechner gehostet werden, auf dem Active Directory fr die Verwendung der Kerberos-Authentifizierung eingerichtet ist und ausgefhrt wird. Muss auf einem Rechner, auf dem SUSE Linux Enterprise 11 (SUSE) ausgefhrt wird, installiert sein und ausgefhrt werden. Muss zusammen mit den erforderlichen Dienstprogrammen und Bibliotheken auf dem SUSE-Host installiert sein.

Hinweis
Verwenden Sie die neueste Version des Kerberos-V5-Clients. Fgen Sie die Ordner bin und lib zu den Umgebungsvariablen PATH und LD_LIBRARY_PATH hinzu. LDAP-Authentifizierungs- Muss auf dem SUSE-Host aktiviert sein. Plugin KerberosMuss auf dem Rechner erstellt werden, auf dem der Webanwendungsserver Anmeldekonfigurationsda gehostet wird. tei

Workflow fr die Implementierung


Folgende Aufgaben sind auszufhren, damit BI-Plattform-Benutzer unter Verwendung der KerberosAuthentifizierung ber JDBC die Einzelanmeldung an SAP HANA durchfhren knnen. 1. 2. 3. 4. 5. 6. Einrichten des AD-Hosts. Erstellen von Konten und Keytab-Dateien fr den SUSE-Host und die BI-Plattform auf dem AD-Host. Installieren der Kerberos-Ressourcen auf dem SUSE-Host. Konfigurieren des SUSE-Hosts fr die Kerberos-Authentifizierung. Konfigurieren der Kerberos-Authentifizierung im LDAP-Authentifizierungsplugin. Erstellen einer Kerberos-Anmeldekonfigurationsdatei fr den Webanwendungshost..

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

233

8.3.3.4.1

Einrichten eines Domnencontrollers

Sie mssen mglicherweise eine vertrauenswrdige Beziehung zwischen dem SUSE-Host und dem Domnencontroller einrichten. Befindet sich der SUSE-Host im Windows-Domnencontroller muss die vertrauenswrdige Beziehung nicht eingerichtet werden. Befinden sich die BI-Plattform-Implementierung und der Domnencontroller dagegen in verschiedenen Domnen, kann die Einrichtung einer vertrauenswrdigen Beziehung zwischen dem SUSE-Linux-Rechner und dem Domnencontroller erforderlich sein. Sie mssen folgende Schritte ausfhren: 1. 2. Erstellen Sie ein Benutzerkonto fr den SUSE-Rechner, auf dem die BI-Plattform ausgefhrt wird. Erstellen Sie einen Host-Dienstprinzipalnamen (SPN).

Hinweis
Formatieren Sie den SPN nach den Windows-AD-Konventionen: host/<hostname>@<DNS_REALM_NAME>. Verwenden Sie fr /<hostname> einen vollqualifizierten Domnennamen in Kleinschreibung. Verwenden Sie fr <DNS_REALM_NAME> Groschreibung. 3. Fhren Sie den Keytab-Setup-Befehl ktpass von Kerberos aus, um den SPN dem Benutzerkonto zuzuordnen: c:\> ktpass -princ host/<hostname>@<DNS_REALM_NAME>-mapuser <username> -pass Password1 -crypto RC4-HMAC-NT -out <username>base.keytab Fhren Sie auf dem Rechner, auf dem der Domnencontroller gehostet wird, folgende Schritte aus: 1. 2. 3. 4. Erstellen Sie ein Benutzerkonto fr den Dienst, auf dem die BI-Plattform ausgefhrt wird. Klicken Sie auf der Seite Benutzerkonten mit der rechten Maustaste auf das neue Dienstkonto, und whlen Sie Eigenschaften Delegation aus. Whlen Sie Benutzer bei Delegierungen aller Dienste vertrauen (nur Kerberos). Fhren Sie den Keytab-Setup-Befehl ktpass von Kerberos aus, um ein SPN-Konto fr das neue Dienstkonto zu erstellen: c:\>ktpass -princ <sianame>/<service_name>@<DNS_REALM_NAME> -mapuser <service_name> -pass <password> -ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT out <sianame>.keytab

Hinweis
Formatieren Sie den SPN nach den Windows-AD-Konventionen: sianame/ <dienstname>@<DNS_REALM_NAME>. Geben Sie <dienstname> in Kleinbuchstaben an, da die SUSEPlattform den Namen andernfalls vielleicht nicht auflsen kann. Verwenden Sie fr <DNS_REALM_NAME> Groschreibung. Parameter -princ -out Beschreibung Angeben des Prinzipalnamens fr die Kerberos-Authentifizierung. Angeben des Namens der zu erzeugenden Kerberos-Keytab-Datei. Dieser sollte mit dem <sianame> bereinstimmen, der in -princ verwendet wurde.

234

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Parameter -mapuser -pass -ptype

Beschreibung Angeben des Namens des Benutzerkontos, dem der SPN zugeordnet ist. Der Server Intelligence Agent wird auf diesem Konto ausgefhrt. Gibt das vom Dienstkonto verwendete Kennwort an. Angeben des Prinzipaltyps: -ptype KRB5_NT_PRINCIPAL

-crypto

Angeben des fr das Dienstkonto zu verwendenden Verschlsselungstyps: -crypto RC4-HMAC-NT

Sie haben die erforderlichen Keytab-Dateien fr die vertrauenswrdige Beziehung zwischen dem SUSE-Rechner und dem Domnencontroller generiert. Sie mssen die Keytab-Datei(en) zum SUSE-Rechner bertragen und im Verzeichnis /etc speichern.

8.3.3.4.2

Einrichten des SUSE-Linux-Enterprise-11-Rechners

Fr die Einrichtung von Kerberos auf dem SUSE-Linux-Rechner, auf dem die BI-Plattform ausgefhrt wird, sind folgende Ressourcen erforderlich: Auf dem Domnencontroller erstellte Keytab-Dateien. Die fr den BI-Plattform-Dienst erstellte Keytab-Datei ist erforderlich. Die Keytab-Datei fr den SUSE-Host ist besonders dann sinnvoll, wenn sich BI-Plattform-Host und Domnencontroller in verschiedenen Domnen befinden. Die neueste Kerberos-V5-Bibliothek (einschlielich Kerberos-Client) muss auf dem SUSE-Host installiert sein. Fgen Sie den Speicherort der Binrdateien zu den Umgebungsvariablen PATH und LD_LIBRARY_PATH hinzu. Um zu berprfen, ob der Kerberos-Client ordnungsgem installiert und konfiguriert wurde, stellen Sie sicher, dass folgende Dienstprogramme und Bibliotheken auf dem SUSE-Host vorhanden sind: kinit ktutil kdestroy klist /lib64/libgssapi_krb5.so.2.2 /lib64/libkrb5.so.3.3 /lib/libkrb5support.so.0.1 /lib64/libk5crypto.so.3 /lib64/libcom_err.so.2

Tipp
Fhren Sie rpm -qa | grep krb aus, um die Version der Bibliotheken zu berprfen. Weitere Informationen ber den neuesten Kerberos-Client, Bibliotheken und die Unix-Host-Konfiguration finden Sie unter http://web.mit.edu/Kerberos/krb5-1.9/krb5-1.9.1/doc/krb5-install.html#Installing%20Kerberos %20V5.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

235

Wenn alle erforderlichen Ressourcen auf dem SUSE-Host verfgbar sind, folgen Sie den unten stehenden Anleitungen, um die Kerberos-Authentifizierung einzurichten.

Hinweis
Zur Ausfhrung dieser Schritte sind root-Privilegien erforderlich. 1. Um die Keytab-Dateien zusammenzufhren, fhren Sie folgenden Befehl aus: > ktutil ktutil: rkt <susemachine>.keytab ktutil: rkt <BI platform service>.keytab ktutil: wkt /etc/krb5.keytab ktutil:q 2. Bearbeiten Sie die Datei /etc/kerb5.conf so, dass sie auf den Domnencontroller (auf der WindowsPlattform) als Kerberos-Domnencontroller (KDC) verweist. Verwenden Sie folgendes Beispiel: [domain_realm] .name.mycompany.corp = DOMAINNAME.COM name.mycompany.corp = DOMAINNAME.COM [libdefaults] forwardable = true default_realm = DOMAINNAME.COM default_tkt_enctypes = rc4-hmac default_tgs_enctypes = rc4-hmac [realms] DOMAINNAME.COM = { kdc = machinename.domainname.com }

Hinweis
Die Datei krb5.conf enthlt Kerberos-Konfigurationsinformationen, z.B. Speicherorte der KDC und Server fr die Kerberos-Bereiche, Kerberos-Anwendungen und Zuordnungen von Hostnamen zu KerberosBereichen. Die Datei krb5.conf wird normalerweise im Verzeichnis /etc installiert. 3. 4. Fgen Sie den Domnencontroller zu /etc/hosts hinzu, damit der SUSE-Host den KDC lokalisieren kann. Fhren Sie das Programm kinit ber das Verzeichnis /usr/local/bin aus, um zu berprfen, ob Kerberos ordnungsgem eingerichtet wurde. berprfen Sie, ob ein AD-Benutzerkonto sich am SUSERechner anmelden kann.

Tipp
Der KDC stellt ein Ticket Granting Ticket (TGT) aus, das im Cache angezeigt werden kann. Zeigen Sie das TGT mithilfe des Programms klist an.

Beispiel
> kinit <AD user> Password for <AD user>@<domain>: <AD user password> > klist Ticket cache: FILE:/tmp/krb5cc_0Default principal: <AD user>@<domain>

236

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Valid starting Expires Service principal08/10/11 17:33:43 08/11/11 03:33:46 krbtgt/<domain>@<domain>renew until 08/11/11 17:33:43 Kerberos 4 ticket cache: /tmp/tkt0klist: You have no tickets cached >klist -k Keytab name: FILE:/etc/krb5.keytabKVNO Principal-3hdb/<FQDN>@<Domain>

Testen Sie die SPN auerdem mit kinit.

8.3.3.4.3 Konfigurieren der KerberosAuthentifizierungsoptionen fr LDAP


Bevor Sie die Kerberos-Authentifizierung fr LDAP konfigurieren, aktivieren und konfigurieren Sie das LDAPAuthentifizierungsplugin der BI-Plattform so, dass eine Verbindung mit dem AD-Verzeichnis hergestellt wird. Wenn Sie die LDAP-Authentifizierung einsetzen mchten, stellen Sie zuerst sicher, dass das entsprechende LDAP-Verzeichnis eingerichtet ist.

Hinweis
Beim Ausfhren des Assistenten fr die LDAP-Konfiguration mssen Sie den Microsoft Active Directory Application Server angeben und die erforderlichen Konfigurationsdetails bereitstellen. Nach Aktivierung der LDAP-Authentifizierung und Herstellung der Verbindung mit dem Microsoft Active Directory Application Server wird der Bereich Kerberos-Authentifizierung aktivieren auf der Seite "Eigenschaften der LDAPServerkonfiguration" angezeigt. Konfigurieren Sie in diesem Bereich die Kerberos-Authentifizierung, die fr die Einzelanmeldung an der SAP-HANA-Datenbank ber eine auf SUSE implementierte BI-Plattform erforderlich ist. 1. 2. Wechseln Sie zum Verwaltungsbereich Authentifizierung der CMC. Doppelklicken Sie auf LDAP. Die Seite Eigenschaften der LDAP-Serverkonfiguration wird angezeigt, auf der Sie die Verbindungsparameter oder -felder ndern knnen. 3. Fhren Sie folgende Schritte im Bereich Kerberos-Authentifizierung aktivieren aus, um die KerberosAuthentifizierung zu konfigurieren: a) Klicken Sie auf Kerberos-Authentifizierung aktivieren. b) Klicken Sie auf Cachesicherheitskontext.

Hinweis
Die Aktivierung des Cachesicherheitskontexts ist insbesondere fr die Einzelanmeldung an SAP HANA erforderlich. c) Geben Sie den Dienstprinzipalnamen (SPN) fr das BI-Plattform-Konto in Dienstprinzipalname an. Das Format fr die Angabe des SPN lautet <sianame/dienst>@<DNS_REALM_NAME>, wobei <sianame> <dienst > Name des SIA Name des Dienstkontos, mit dem die BI-Plattform ausgefhrt wird

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

237

DNS_REALM_N AME

Der Domnenname des Domnencontrollers (Groschreibung erforderlich)

Tipp
Beachten Sie, dass bei der Angabe des SPN, dass bei <sianame/service> die Gro-/ Kleinschreibung bercksichtigt werden muss. d) Geben Sie unter Standarddomne die Domne fr den Domnencontroller an. e) Geben Sie userPrincipalName unter Benutzerprinzipalname an. Mithilfe dieses Werts stellt die LDAP-Authentifizierungsanwendung Benutzer-ID-Werte bereit, die von Kerberos bentigt werden. Der angegebene Wert muss mit dem bei der Erstellung der Keytab-Dateien bereitgestellten bereinstimmen. 4. Klicken Sie auf Aktualisieren, um die nderungen zu senden und zu speichern.

Sie haben die Kerberos-Authentifizierungsoptionen so konfiguriert, dass sie auf Benutzerkonten im ADVerzeichnis verweisen. Sie mssen eine Kerberos-Anmeldekonfigurationsdatei, bscLogin.conf, erstellen, um die Kerberos-Anmeldung und -Einzelanmeldung zu aktivieren. Zugehrige Links Konfigurieren der LDAP-Authentifizierung [Seite 219]

8.3.3.4.4 Erstellen von Konfigurationsdateien fr die Kerberos-Anmeldung


Zur Aktivierung der Kerberos-Anmeldung mit Einzelanmeldung mssen Sie eine Anmeldekonfigurationsdatei auf dem Rechner hinzufgen, der den Webanwendungsserver der BI-Plattform hostet. 1. Erstellen Sie eine Datei namens bscLogin.conf, und speichern Sie sie im Verzeichnis /etc.

Hinweis
Sie knnen diese Datei auch an einem anderen Speicherort ablegen. Dieser Speicherort muss dann jedoch in den Java-Optionen angegeben werden. Es empfiehlt sich, die Datei bscLogin.conf und die keytabDatei von Kerberos im gleichen Verzeichnis zu speichern. In einer verteilten Implementierung muss die Datei bscLogin.conf fr jeden Rechner hinzugefgt werden, der einen Webanwendungsserver hostet. 2. Fgen Sie der Anmeldekonfigurationsdatei bscLogin.conf folgenden Code hinzu: com.businessobjects.security.jgss.initiate { com.sun.security.auth.module.Krb5LoginModule required; }; com.businessobjects.security.jgss.accept { com.sun.security.auth.module.Krb5LoginModule required storeKey=true useKeyTab=true keyTab="/etc/krb5.keytab" principal="<principal name>"; };

238

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Hinweis
Der folgende Abschnitt wird speziell fr die Einzelanmeldung bentigt: com.businessobjects.security.jgss.accept { com.sun.security.auth.module.Krb5LoginModule required storeKey=true useKeyTab=true keyTab="/etc/krb5.keytab" principal="<principal name>"; }; 3. Speichern und schlieen Sie die Datei.

8.3.3.5

Fehlerbehebung fr neue LDAP-Konten

Wenn Sie ein neues LDAP-Benutzerkonto erstellen und das Konto keinem Gruppenkonto angehrt, das der BI-Plattform zugeordnet ist, ordnen Sie die Gruppe entweder zu oder fgen das neue LDAP-Benutzerkonto einer Gruppe hinzu, die dem System bereits zugeordnet ist. Wenn Sie ein neues LDAP-Benutzerkonto erstellen und das Konto einem Gruppenkonto angehrt, das der BIPlattform zugeordnet ist, aktualisieren Sie die Benutzerliste.

Zugehrige Links Konfigurieren der LDAP-Authentifizierung [Seite 219] Zuordnen von LDAP-Gruppen [Seite 229]

8.4 8.4.1

Windows AD-Authentifizierung Verwenden der Windows AD-Authentifizierung

8.4.1.1 Windows AD untersttzt Anforderungen und die Erstkonfiguration


In diesem Abschnitt wird der Prozess der Konfiguration der AD-Authentifizierung (Windows Active Directory) fr die BI-Plattform erlutert. Es werden alle erforderlichen durchgngigen Workflows sowie die Validierungstests und vorab durchzufhrende berprfungen beschrieben.

Voraussetzungen fr die Untersttzung


Damit die AD-Authentifizierung auf der BI-Plattform mglich ist, sind die folgenden Voraussetzungen zu bercksichtigen.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

239

Der CMS muss immer auf einer untersttzten Windows-Plattform installiert werden. Obwohl es sich bei Windows 2003 und 2008 um untersttzte Plattformen sowohl fr die Kerberos- als auch fr die NTLM-Authentifizierung handelt, verwenden bestimmte BI-Plattform-Anwendungen unter Umstnden nur bestimmte Authentifizierungsmethoden. Beispielsweise untersttzen Anwendungen wie BI-Launchpad und die Central Management Console nur Kerberos.

Empfohlener Workflow fr die AD-Einrichtung


Um die manuelle AD-Authentifizierung mit der BI-Plattform anfnglich einzurichten, gehen Sie gem des folgenden Workflows vor: 1. 2. 3. 4. Richten Sie den Domnencontroller ein. Konfigurieren Sie die AD-Authentifizierung in der CMC. Konfigurieren Sie das AD-Benutzerkonto auf dem Server Intelligence Agent (SIA). Konfigurieren Sie den Webanwendungsserver fr die AD-Authentifizierung mit Kerberos.

Hinweis
Verwenden Sie diesen Workflow ungeachtet dessen, ob Sie die Einzelanmeldung (SSO) bentigen. Der in den folgenden Abschnitten beschriebene Workflow ermglicht Ihnen zunchst die manuelle Anmeldung an der BIPlattform (mithilfe eines AD-Benutzernamens und -Kennworts). Nach der erfolgreichen Konfiguration der manuellen AD-Authentifizierung werden Sie in einem Abschnitt Schritt fr Schritt durch die Einrichtung von SSO fr die AD-Authentifizierung gefhrt.

8.4.2

Vorbereiten des Domnencontrollers

8.4.2.1 Einrichten eines Dienstkontos fr die ADAuthentifizierung mit Kerberos


Um die BI-Plattform fr die Windows-AD-Authentifizierung (Kerberos-Authentifizierung) zu konfigurieren, bentigen Sie ein Dienstkonto. Sie knnen entweder ein neues Domnenkonto erstellen oder ein vorhandenes verwenden. Das Dienstkonto wird zur Ausfhrung der BI-Plattform-Server verwendet. Nach Einrichtung des Kontos richten Sie einen SPN fr das Konto ein. Mithilfe dieses SPN werden AD-Benutzergruppen in die BIPlattform importiert.

Hinweis
Wenn Sie AD mit SSO verwenden mchten, mssen Sie spter zur Einrichtung des Dienstkontos zurckkehren, um dem Konto entsprechende Rechte zu gewhren und dieses fr die eingeschrnkte Delegierung zu konfigurieren.

240

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

8.4.2.1.1 Einrichten eines Dienstkontos in einer Windows-2003- oder Windows-2008-Domne


Zur erfolgreichen Aktivierung der Windows AD-Authentifizierung mit dem Kerberos-Protokoll muss ein neues Dienstkonto eingerichtet werden. Dieses Dienstkonto wird primr dazu verwendet, Benutzern in einer bestimmten AD-Gruppe die Anmeldung an BI-Launchpad zu ermglichen. Die folgende Aufgabe wird auf dem Rechner mit dem AD-Domnencontroller ausgefhrt. 1. 2. Erstellen Sie ein neues Dienstkonto mit Kennwort auf dem primren Domnencontroller. Fgen Sie mit dem Befehl setspn -a die Dienstprinzipalnamen (Service Principal Names, SPNs) dem Dienstkonto hinzu, das Sie in Schritt 1 erstellt haben. Geben Sie die Dienstprinzipalnamen (SPNs) fr das Dienstkonto sowie den Server, den voll qualifizierten Domnenserver und die IP-Adresse fr den Rechner an, auf dem BI-Launchpad implementiert ist. Beispiel: setspn setspn setspn setspn a -a -a -a BICMS/service_account_name.domain.com serviceaccountname HTTP/<servername> <servicename> HTTP/<servername.domain.com> <servicename> HTTP/<<ip address of server>> <servicename>

BICMS ist der Name des Rechners, auf dem der SIA ausgefhrt wird, <servername> ist der Name des Servers, auf dem BI-Launchpad implementiert ist, und < servernamedomain> ist der voll qualifizierte Domnenname. 3. Fhren Sie setspn -1 <servicename> aus, um zu prfen, ob die Dienstprinzipalnamen zum Dienstkonto hinzugefgt wurden. Die Ausgabe des Befehls sollte alle registrierten SPNs umfassen, wie unten gezeigt: Registered ServicePrincipalNames for CN=bo.service,OU=boe,OU=BIP,OU=PG,DC=DOMAIN,DC=com: HTTP/<ip address of server> HTTP/<servername>.DOMAIN.com HTTP/<servername> <servername>/<servicename>DOMAIN.com Im Folgenden eine Beispielausgabe: C:\Users\Admin>setspn -L bossosvcacct Registered ServicePrincipalNames for CN=bossosvcacct,OU=svcaccts,DC=domain,DC=com: BICMS/bossosvcacct.domain.com HTTP/Tomcat6 HTTP/Tomcat6.domain.com HTTP/Load_Balancer.domain.com Nach der Erstellung muss das Dienstkonto mit Rechten ausgestattet und zur lokalen Administratorgruppe des Servers hinzugefgt werden. Mit dem SPN werden im nchsten Abschnitt AD-Gruppen importiert.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

241

8.4.3 8.4.3.1

Konfigurieren der AD-Authentifizierung in der CMC Sicherheits-Plugin fr Windows AD

Mit dem Windows-AD-Sicherheits-Plugin knnen Sie der BI-Plattform Benutzerkonten und -gruppen aus der ADBenutzerdatenbank (Version 2003 und 2008) zuordnen. Auerdem kann das System mithilfe dieses Plugins alle Anmeldeanforderungen berprfen, fr die die Windows AD-Authentifizierung festgelegt wurde. Bevor der Central Management Server (CMS) eine aktive Sitzung gewhrt, werden Benutzer in der AD-Benutzerdatenbank authentifiziert, und ihre Zugehrigkeit zu einer zugeordneten AD-Gruppe wird berprft. Sie knnen mit dem Plugin Aktualisierungen fr die importierten AD-Gruppen konfigurieren. Mit dem Windows AD-Sicherheits-Plugin knnen Sie Folgendes konfigurieren: Windows AD-Authentifizierung mit Kerberos Windows AD-Authentifizierung mit NTLM Windows AD-Authentifizierung mit SiteMinder fr die Einzelanmeldung

Das AD-Sicherheits-Plugin ist kompatibel mit AD-2003- und AD-2008-Domnen, die im systemeigenen oder im gemischten Modus betrieben werden. Nach der Zuordnung der AD-Benutzer und -Gruppen knnen diese auf BI-Plattform-Clienttools ber die WindowsAD-Authentifizierung zugreifen. Die Windows AD-Authentifizierung funktioniert nur, wenn der CMS unter Windows ausgefhrt wird. Damit die Einzelanmeldung bei einer Datenbank funktioniert, mssen die Reporting-Server ebenfalls unter Windows ausgefhrt werden. Ansonsten knnen alle anderen Server und Dienste auf smtlichen Plattformen ausgefhrt werden, die von der BI-Plattform untersttzt werden. Das Windows-AD-Plugin fr die BI-Plattform untersttzt Domnen innerhalb mehrerer Gesamtstrukturen.

8.4.3.2 Zuordnen von Windows-AD-Benutzern und Benutzergruppen


Bevor Sie AD-Benutzergruppen in die BI-Plattform importieren knnen, mssen folgende Voraussetzungen erfllt sein: Auf dem Domnencontroller fr die BI-Plattform wurde ein Dienstkonto erstellt. Das Konto wird zur Ausfhrung der BI-Plattform-Server verwendet.

Hinweis
Um die AD-Authentifizierung mit Vintela-Einzelanmeldung (SSO) zu aktivieren, stellen Sie einen speziell fr diesen Zweck konfigurierten SPN bereit. Mit den nachfolgenden Schritten wird die manuelle ADAuthentifizierung fr die BI-Plattform konfiguriert. Nach Konfiguration der manuellen AD-Authentifizierung finden Sie im Abschnitt Einrichten der Einzelanmeldung in diesem Kapitel Einzelheiten zum Hinzufgen von SSO zur AD-Authentifizierungskonfiguration. Sie haben sich vergewissert, dass der SPN mit dem Namen des Rechners, auf dem der SIA ausgefhrt wird, dem Dienstkonto hinzugefgt wurde.

Die folgenden Schritte 1 bis 11 unten sind obligatorisch zum Importieren von AD-Gruppen in die BI-Plattform.

242

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

1. 2. 3. 4.

Wechseln Sie zum Verwaltungsbereich Authentifizierung der CMC. Doppelklicken Sie auf Windows AD. Aktivieren Sie das Kontrollkstchen Windows Active Directory (AD) aktivieren. Klicken Sie im Bereich Eigenschaften der AD-Konfiguration auf den Link neben AD-Verwaltungsname.

Hinweis
Wenn das Windows-AD-Plugin noch nicht konfiguriert wurde, wird der Link in Form von Anfhrungszeichen angezeigt. Nach dem Speichern der Konfiguration enthlt der Link die AD-Verwaltungsnamen. 5. Geben Sie Namen und Kennwort eines aktivierten Domnenbenutzerkontos ein. Bei den Anmeldedaten fr die Verwaltung knnen die folgenden Formate verwendet werden: NT-Name (DomainName\UserName) UPN (user@DNS_domain_name)

Die BI-Plattform verwendet dieses Konto, um Informationen aus AD abzufragen. Es werden keine Inhalte in AD gendert, dort hinzugefgt oder daraus gelscht. Die Informationen werden nur gelesen, sodass nur eine entsprechende Leseberechtigung erforderlich ist.

Hinweis
Die AD-Authentifizierung wird abgebrochen, wenn das zum Lesen des AD-Verzeichnisses verwendete Konto ungltig wird (beispielsweise bei nderung oder Ablauf des Kontokennworts bzw. Deaktivierung des Kontos). 6. Geben Sie die AD-Domne in das Feld Standard-AD-Domne ein. Die Domne wird als VOLLSTNDIGER DOMNENNAME in GROSSBUCHSTABEN oder als untergeordneter Domnennamen angegeben, ber den sich die meisten Benutzer an der BI-Plattform anmelden. Er sollte mit der Standarddomne bereinstimmen, die in den Kerberos-Konfigurationsdateien, die zur Konfiguration des Anwendungsservers verwendet werden, angegeben ist. Sie knnen Gruppen aus der Standarddomne zuordnen, ohne das Prfix des Domnennamens anzugeben. Wenn der Standard-AD-Domnenname eingegeben wird, mssen Benutzer aus der Standarddomne den AD-Domnennamen nicht mehr angeben, wenn sie sich ber die AD-Authentifizierung an der BI-Plattform anmelden. 7. Geben Sie im Bereich Zugeordnete AD-Mitgliedsgruppen die AD-Domne\-Gruppe unter Verwendung eines der folgenden Formate in das Feld AD-Gruppe hinzufgen (Domne\Gruppe) ein: Security Account Manager-Kontoname (SAM), der auch als NT-Name bezeichnet wird (DomainName \GroupName) DN (cn=GroupName, ......, dc=DomainName, dc=com)

Hinweis
Wenn Sie eine lokale Gruppe zuordnen mchten, verwenden Sie dafr nur das NT-Namensformat: \ \<Servername>\<Gruppenname>. AD untersttzt keine lokalen Benutzer. Lokale Benutzer, die zu einer zugeordneten lokalen Gruppe gehren, werden nicht der BI-Plattform zugeordnet. Daher knnen sie nicht auf das System zugreifen.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

243

Tipp
Bei der manuellen Anmeldung an BI-Launchpad mssen Benutzer anderer Domnen den Domnennamen in Grobuchstaben an ihren Benutzernamen anhngen. Beispielsweise ist CHILD.PARENTDOMAIN.COM die Domne in user@CHILD.PARENTDOMAIN.COM 8. Klicken Sie auf Hinzufgen. Die Gruppe wird der Liste unter Zugeordnete AD-Mitgliedsgruppen hinzugefgt. 9. Whlen Sie unter Authentifizierungsoptionen die Option Kerberos-Authentifizierung verwenden. 10. Geben Sie in das Feld Dienstprinzipalname den SPN ein, der dem Dienstkonto zugeordnet ist, das Sie zur Ausfhrung von BI-Plattform-Servern erstellt haben.

Hinweis
Sie mssen den SPN fr das Dienstkonto angeben, das den SIA ausfhrt. Beispiel: BICMS/ bossosvcacct.domain.com. 11. Klicken Sie auf Aktualisieren.

Achtung
Fahren Sie nicht fort, wenn Benutzer und/oder Gruppen nicht korrekt zugeordnet wurden. Informationen zur Lsung bestimmter Probleme bei der Zuordnung von AD-Gruppen finden Sie im SAP-Hinweis 1631734.

Hinweis
Wenn Sie AD-Gruppenkonten erfolgreich zugeordnet haben und keine AD-Authentifizierungsoptionen oder AD-Gruppen-Aktualisierungen konfigurieren mchten, berspringen Sie die Schritte 12 bis 19. Sie knnen diese optionalen Einstellungen konfigurieren, nachdem Sie die manuelle AD-Kerberos-Authentifizierung eingerichtet haben. 12. Wenn fr die Konfiguration SSO bei einer Datenbank erforderlich ist, whlen Sie Cachesicherheitskontext aus.

Hinweis
Handelt es sich hierbei um die erste Konfiguration der AD-Authentifizierung, empfiehlt es sich, zuerst die manuelle AD-Authentifizierung einzurichten, bevor Sie die zustzliche Konfiguration angehen, die fr SSO erforderlich ist. 13. Whlen Sie Einzelanmeldung fr ausgewhlten Authentifizierungsmodus aktivieren aus, wenn SSO fr die Konfiguration der AD-Authentifizierung erforderlich ist. 14. Whlen Sie im Bereich Synchronisierung der Anmeldedaten eine Option aus, um die Datenquellenanmeldedaten des AD-Benutzers zum Zeitpunkt der Anmeldung zu aktivieren und zu aktualisieren. Mit dieser Option wird die Datenquelle mit den aktuellen Anmeldedaten des Benutzers synchronisiert, sodass Berichte mit zeitgesteuerter Verarbeitung ausgefhrt werden knnen, wenn der Benutzer nicht an der BIPlattform angemeldet und Kerberos-SSO nicht verfgbar ist. 15. Geben Sie im Bereich Optionen fr AD-Aliase an, wie neue Aliase der BI-Plattform hinzugefgt und auf dieser aktualisiert werden.

244

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

a) Whlen Sie im Bereich Optionen fr neuen Alias eine Option fr die Zuordnung neuer Aliase zu EnterpriseKonten aus: Jeden neuen AD-Alias einem vorhandenen Benutzerkonto mit demselben Namen zuweisen Whlen Sie diese Option aus, wenn Sie wissen, dass einige Benutzer ber ein bereits vorhandenes Enterprise-Konto mit demselben Namen verfgen; d. h., vorhandenen Benutzern werden AD-Aliase zugewiesen (die automatische Generierung von Aliasen ist aktiviert). Benutzer ohne Enterprise-Konto oder mit unterschiedlichen Namen fr das Enterprise- und das AD-Konto werden als neue Benutzer hinzugefgt. Neues Benutzerkonto fr jeden neuen AD-Alias erstellen Verwenden Sie diese Option, wenn Sie fr jeden Benutzer ein neues Konto erstellen mchten.

b) Whlen Sie im Bereich Aktualisierungsoptionen fr Aliase eine Option fr die Verwaltung von Aliasaktualisierungen fr Enterprise-Konten aus: Neue Aliase bei der Aliasaktualisierung erstellen Whlen Sie diese Option aus, um fr jeden AD-Benutzer, der der BI-Plattform zugeordnet ist, automatisch einen neuen Alias zu erstellen. Neue AD-Konten werden fr Benutzer ohne BI-PlattformKonten bzw. fr alle Benutzer hinzugefgt, wenn Sie die Option Neues Benutzerkonto fr jeden neuen AD-Alias erstellen ausgewhlt und auf Aktualisieren geklickt haben. Neue Aliase nur bei der Benutzeranmeldung erstellen Whlen Sie diese Option aus, wenn das zuzuordnende AD-Verzeichnis viele Benutzer umfasst, jedoch nur wenige davon die BI-Plattform verwenden werden. Die Plattform erstellt nicht automatisch Aliase und Enterprise-Konten fr alle Benutzer. Vielmehr werden Aliase (und gegebenenfalls Konten) nur fr Benutzer erstellt, die sich an der BI-Plattform anmelden. Neue Benutzer werden als vordefinierte Benutzer erstellt Neue Benutzerkonten werden fr die Verwendung von Namenslizenzen konfiguriert. Namenslizenzen sind mit bestimmten Benutzern verbunden und ermglichen den Zugriff auf die BI-Plattform auf der Grundlage von Benutzername und Kennwort. Dieser Lizenztyp ermglicht Namenslizenzbenutzern den Zugriff auf das System, unabhngig von der Anzahl der derzeit verbundenen Benutzer. Fr jedes mit dieser Option erstellte Benutzerkonto muss eine Namenslizenz verfgbar sein. Neue Benutzer werden als gleichzeitige Benutzer erstellt Neue Benutzerkonten werden fr die Verwendung von Zugriffslizenzen konfiguriert. Zugriffslizenzen geben die Anzahl der Personen an, die gleichzeitig mit der BI-Plattform verbunden sein knnen. Dieser Lizenztyp ist sehr flexibel, da mit einer geringen Anzahl von Zugriffslizenzen viele Benutzer untersttzt werden knnen. Je nach Hufigkeit und Dauer des Zugriffs auf das System knnen 100 Zugriffslizenzen beispielsweise 250, 500 oder auch 700 Benutzer untersttzen.

c) Whlen Sie im Bereich Optionen fr neue Benutzer eine Option zum Erstellen neuer Benutzer aus:

16. Klicken Sie auf Zeitgesteuert verarbeiten, um zu konfigurieren, wie AD-Aliasaktualisierungen zeitgesteuert verarbeitet werden. a) Whlen Sie im Dialogfeld Zeitgesteuerte Verarbeitung ein Wiederholungsintervall aus der Liste Objekt ausfhren aus. b) Legen Sie andere Optionen und Parameter der zeitgesteuerten Verarbeitung nach Bedarf fest. c) Klicken Sie auf Zeitgesteuert verarbeiten. Bei der Aliasaktualisierung werden auch die Gruppeninformationen aktualisiert. 17. Legen Sie im Bereich Optionen fr die Attributbindung die Attributbindungsprioritt fr das AD-Plugin fest: a) Aktivieren Sie das Kontrollkstchen Vollstndigen Namen, E-Mail-Adresse und andere Attribute importieren. Die in AD-Konten verwendeten vollstndigen Namen und Beschreibungen werden importiert und mit Benutzerobjekten in der BI-Plattform gespeichert.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

245

b) Geben Sie eine Option fr Prioritt der AD-Attributbindung im Verhltnis zu anderen Attributbindungen festlegen an. Wenn die Option auf 1 festgelegt ist, haben AD-Attribute immer dann Vorrang, wenn AD-Plugins und andere Plugins (LDAP und SAP) aktiviert sind. Wenn die Option auf 3 festgelegt ist, haben Attribute von anderen aktivierten Plugins Prioritt. 18. Konfigurieren Sie im Bereich AD-Gruppenoptionen AD-Gruppenaktualisierungen: a) Klicken Sie auf Zeitgesteuert verarbeiten. Das Dialogfeld Zeitgesteuert verarbeiten wird angezeigt. b) Whlen Sie ein Wiederholungsintervall aus der Liste Objekt ausfhren aus. c) Legen Sie andere Optionen und Parameter der zeitgesteuerten Verarbeitung nach Bedarf fest. d) Klicken Sie auf Zeitgesteuert verarbeiten. Das System fhrt die zeitgesteuerte Verarbeitung der Aktualisierung gem den von Ihnen angegebenen Zeitsteuerungsinformationen aus. Die nchste zeitgesteuerte Aktualisierung fr die AD-Gruppenkonten wird unter AD-Gruppenoptionen angezeigt. 19. Whlen Sie im Bereich AD-Aktualisierung auf Abruf eine der folgenden Optionen aus: AD-Gruppen jetzt aktualisieren Whlen Sie diese Option aus, wenn beim Klicken auf Aktualisieren mit der Aktualisierung aller zeitgesteuerter AD-Gruppen begonnen werden soll. Die nchste zeitgesteuerte ADGruppenaktualisierung ist unter AD-Gruppenoptionen aufgefhrt. AD-Gruppen und -Aliase jetzt aktualisieren Whlen Sie diese Option aus, wenn beim Klicken auf Aktualisieren mit der Aktualisierung aller zeitgesteuerter AD-Gruppen und -Benutzeraliase begonnen werden soll. Die nchsten zeitgesteuerten Aktualisierungen sind unter AD-Gruppenoptionen und Optionen fr AD-Aliase aufgefhrt. AD-Gruppen und -Aliase jetzt nicht aktualisieren Beim Klicken auf Aktualisieren werden keine AD-Gruppen oder -Benutzeraliase aktualisiert.

20. Klicken Sie auf Aktualisieren und dann auf OK. Um zu berprfen, ob AD-Benutzerkonten tatschlich importiert wurden, navigieren Sie zu CMC Benutzer

und Gruppen Gruppenhierarchie und whlen die zugeordnete AD-Gruppe aus, um Benutzer in dieser Gruppe anzuzeigen. Die aktuellen und verschachtelten Benutzer in der AD-Gruppe werden angezeigt.

8.4.3.3 Zeitgesteuerte Aktualisierungen fr Windows ADGruppen


Mit der BI-Plattform knnen Administratoren Aktualisierungen fr AD-Gruppen und -Benutzeraliase zeitlich steuern. Diese Funktion ist fr die AD-Authentifizierung mit Kerberos oder NTLM verfgbar. ber die CMC knnen Sie auch Uhrzeit und Datum der letzten Aktualisierung anzeigen lassen.

Hinweis
Damit die AD-Authentifizierung auf der BI-Plattform funktioniert, mssen Sie festlegen, wie Aktualisierungen zeitgesteuert fr die AD-Gruppen und -Aliase verarbeitet werden sollen. Bei der zeitgesteuerten Verarbeitung einer Aktualisierung stehen Ihnen die Wiederholungsmuster in der folgenden Tabelle zur Verfgung:

246

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Wiederholungsmuster Stndlich Tglich

Beschreibung Die Aktualisierung wird stndlich ausgefhrt. Sie legen die Startzeit sowie Anfangs- und Enddatum fr das Objekt fest. Die Aktualisierung wird tglich oder alle n angegebenen Tage ausgefhrt. Sie knnen die Ausfhrungszeit sowie Anfangs- und Enddatum fr das Objekt festlegen. Die Aktualisierung wird wchentlich ausgefhrt. Es kann einmal die Woche oder mehrmals wchentlich ausgefhrt werden. Sie knnen festlegen, an welchen Tagen und zu welcher Uhrzeit das Objekt ausgefhrt wird, und das Anfangs- und Enddatum der Ausfhrung bestimmen. Die Aktualisierung wird einmal monatlich oder alle n Monate ausgefhrt. Sie knnen die Ausfhrungszeit sowie Anfangs- und Enddatum fr das Objekt festlegen. Die Aktualisierung wird an einem bestimmten Tag des Monats ausgefhrt. Sie knnen festlegen, an welchem Tag des Monats und zu welcher Uhrzeit die Aktualisierung ausgefhrt wird, sowie Anfangs- und Enddatum der Ausfhrung bestimmen. Die Aktualisierung wird jeden Monat am ersten Montag ausgefhrt. Sie knnen die Ausfhrungszeit sowie Anfangs- und Enddatum festlegen. Die Aktualisierung wird am letzten Tag jedes Monats ausgefhrt. Sie knnen die Ausfhrungszeit sowie Anfangs- und Enddatum festlegen. Die Aktualisierung wird an einem bestimmten Tag einer bestimmten Woche im Monat ausgefhrt. Sie knnen die Ausfhrungszeit sowie Anfangs- und Enddatum festlegen. Die Aktualisierung wird zu den Terminen ausgefhrt, die in einem zuvor erstellten Kalender festgelegt wurden.

Wchentlich

Monatlich

Am n-ten Tag des Monats

Am ersten Montag des Monats Am letzten Tag des Monats Am x-ten Tag der n-ten Woche des Monats Kalender

Zeitgesteuerte Verarbeitung von AD-Gruppenaktualisierungen


Die BI-Plattform ruft Benutzer- und Gruppeninformationen aus AD ab. Um die Menge der an AD gesendeten Abfragen zu minimieren, werden die Informationen ber Gruppen, ihre Beziehung zueinander sowie deren Benutzermitgliedschaft vom AD-Plugin zwischengespeichert. Die Aktualisierung wird nicht ausgefhrt, wenn kein bestimmter Zeitplan definiert wurde. ber die CMC mssen Sie ein Wiederholungsintervall fr die Regenerierung der Gruppenaktualisierung konfigurieren. Dies sollte zeitgesteuert verarbeitet werden, um die Hufigkeit der nderungen der Gruppenzugehrigkeitsinformationen widerzuspiegeln.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

247

Zeitgesteuerte Verarbeitung der Aktualisierung von AD-Benutzeraliasen


Benutzerobjekte knnen mit einem Alias fr ein AD-Konto versehen werden, damit sich Benutzern mit ihren ADAnmeldedaten an der BI-Plattform anmelden knnen. Aktualisierungen von AD-Konten werden ber das ADPlugin an die BI-Plattform propagiert. In AD erstellte, gelschte oder deaktivierte Konten werden entsprechend in der BI-Plattform erstellt, gelscht oder deaktiviert. Wenn Sie keine Aktualisierungen von AD-Aliasen planen, werden Aktualisierungen nur in folgenden Fllen ausgefhrt: Sobald sich ein Benutzer anmeldet, wird der AD-Alias aktualisiert. Der Administrator whlt die Option AD-Gruppen und -Aliase jetzt aktualisieren im Bereich AD-Aktualisierung auf Abruf der CMC aus.

Hinweis
Im Benutzeralias werden keine AD-Kennwrter gespeichert.

8.4.4 Konfigurieren des BI-Plattform-Diensts zur Ausfhrung des SIA 8.4.4.1 Ausfhren des SIA unter dem Dienstkonto der BIPlattform
Zur Untersttzung der AD-Kerberos-Authentifizierung fr die BI-Plattform muss dem Dienstkonto das Recht gewhrt werden, als Teil des Betriebssystems zu fungieren. Dies ist auf jedem Rechner erforderlich, auf dem ein Server Intelligence Agent (SIA) mit dem Central Management Server (CMS) ausgefhrt wird. Um dem Dienstkonto die Ausfhrung/das Starten des SIA zu ermglichen, mssen bestimmte Betriebssystemeinstellungen konfiguriert werden, die in diesem Abschnitt beschrieben werden.

Hinweis
Wenn fr die Datenbank die Einzelanmeldung erforderlich ist, muss der SIA folgende Server einschlieen: Crystal Reports Processing Server Report Application Server Web Intelligence Processing Server

8.4.4.2 Konfigurieren des SIA zur Ausfhrung unter dem Dienstkonto


Vor Konfiguration des SIA-Kontos zur Ausfhrung unter dem Dienstkonto der BI-Plattform mssen folgende Voraussetzungen erfllt sein:

248

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Ein Dienstkonto wurde auf dem Domnencontroller fr die BI-Plattform erstellt. Sie haben sich vergewissert, dass die erforderlichen Dienstprinzipalnamen (Service Principal Names, SPNs) dem Dienstkonto hinzugefgt wurden. AD-Benutzergruppen wurden der BI-Plattform erfolgreich zugeordnet.

Fhren Sie folgende Schritte fr jeden Server Intelligence Agent (SIA) aus, der Dienste ausfhrt, die vom Dienstkonto verwendet werden. 1. Um den CCM zu starten, whlen Sie BusinessObjects Business Intelligence Die CCM-Startseite wird geffnet. 2. Programme SAP BusinessObjects Business Intelligence 4 aus. SAP

Central Configuration Manager

Klicken Sie im CCM mit der rechten Maustaste auf den Server Intelligence Agent (SIA), und whlen Sie Stop.

Hinweis
Beim Stoppen des SIA werden auch alle vom SIA verwalteten Dienste gestoppt. 3. 4. 5. Klicken Sie mit der rechten Maustaste auf den SIA, und whlen Sie Eigenschaften. Deaktivieren Sie das Kontrollkstchen Systemkonto. Geben Sie die Dienstkonto-Anmeldedaten (<DOMNENNAME>\<Dienstname>) ein, und klicken Sie auf OK. Dem Dienstkonto mssen folgende Rechte auf dem Rechner, der den SIA ausfhrt, gewhrt werden: 6. 7. 8. 9. Dem Konto muss insbesondere das Recht Einsetzen als Teil des Betriebssystems zugewiesen sein. Dem Konto muss insbesondere das Recht Anmelden als Dienst zugewiesen sein. Volle Kontrollrechte fr den Ordner, in dem die BI-Plattform installiert ist. Volle Kontrollrechte fr HKEY_LOCAL_MACHINE\SOFTWARE\SAP BusinessObjects in der Systemregistrierung.

Klicken Sie auf Start > Systemsteuerung > Verwaltung > Lokale Sicherheitsrichtlinie. Erweitern Sie Lokale Richtlinien, und klicken Sie auf Zuweisen von Benutzerrechten. Doppelklicken Sie auf Als Teil des Betriebssystems handeln. Klicken Sie auf Hinzufgen, geben Sie den Namen des erstellten Dienstkontos ein, und klicken Sie auf OK.

10. Wiederholen Sie die oben aufgefhrten Schritte auf jedem Rechner, auf dem ein BI-Plattform-Server ausgefhrt wird.

Hinweis
Es ist wichtig, dass das effektive Recht zum Schluss aktiviert ist, nachdem die Option Als Teil des Betriebssystems handeln ausgewhlt wurde. Normalerweise muss der Server zu diesem Zweck neu gestartet werden. Falls diese Option nach dem Neustart des Servers immer noch nicht aktiviert ist, werden Ihre Einstellungen der lokalen Richtlinie mit den Einstellungen der Domnenrichtlinie berschrieben. 11. Starten Sie den SIA neu. 12. Wiederholen Sie gegebenenfalls die Schritte 1 bis 5 fr jeden SIA, auf dem ein zu konfigurierender Dienst ausgefhrt wird. Sie mssten nun in der Lage sein, sich am CCM mithilfe der AD-Anmeldedaten anzumelden.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

249

8.4.4.3

Testen von AD-Anmeldedaten im CCM

Damit Sie diese Aufgabe ausfhren knnen, muss der BI-Plattform eine AD-Benutzergruppe erfolgreich zugeordnet worden sein. 1. 2. 3. 4. ffnen Sie den CCM, und klicken Sie auf das Symbol Server verwalten. Stellen Sie sicher, dass die im Feld "System" angezeigten Informationen richtig sind. Whlen Sie aus der Liste "Authentifizierungsoptionen" die Option Windows AD aus. Ein Anmeldungsdialogfeld wird geffnet. Melden Sie sich mit einem vorhandenen AD-Konto aus der AD-Gruppe an, die Sie der BI-Plattform zugeordnet haben.

Hinweis
Wenn Sie ein AD-Konto verwenden, das sich nicht in der Standarddomne befindet, melden Sie sich als Domne\Benutzername an. Sie drften keine Fehlermeldungen erhalten. Die Anmeldung ber den CCM mithilfe eines zugeordneten ADKontos muss mglich sein, bevor Sie mit dem nchsten Abschnitt weitermachen.

Tipp
Wenn Sie eine Fehlermeldung erhalten, navigieren Sie zu CMC Authentifizierung Windows AD . ndern Sie unter Authentifizierungsoptionen Kerberos-Authentifizierung verwenden in NTLM-Authentifizierung verwenden und klicken auf Aktualisieren. Wiederholen Sie die Schritte 1 bis 4 oben. Falls dies funktioniert, gibt es ein Problem mit Ihrer Kerberos-Konfiguration.

8.4.5 Konfigurieren des Webanwendungsservers fr die ADAuthentifizierung 8.4.5.1 Vorbereiten des Anwendungsservers fr die Windows AD-Authentifizierung (Kerberos)
Der Prozess zur Konfiguration von Kerberos fr einen Webanwendungsserver unterscheidet sich minimal fr die einzelnen Anwendungsserver. Im Allgemeinen umfasst die Konfiguration von Kerberos jedoch folgende Schritte: Erstellen der Kerberos-Konfigurationsdatei (krb5.ini) Erstellen der Konfigurationsdatei bscLogin.conf fr die JAAS-Anmeldung

Hinweis
Dieser Schritt ist fr den SAP-NetWeaver-7.3-Java-Anwendungsserver nicht erforderlich. Sie mssen jedoch das Login-Modul dem SAP-NetWeaver-Server hinfgen. ndern der Java-Optionen fr den Anwendungsserver berschreiben der Eigenschaften der Datei BOE.war fr die Windows-AD-Authentifizierung.

250

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Neustarten des Java-Anwendungsservers

Dieser Abschnitt enthlt die Einzelheiten zum Konfigurieren von Kerberos fr die Verwendung mit folgenden Anwendungsservern: Tomcat WebSphere WebLogic Oracle Application Server SAP NetWeaver 7.3

8.4.5.1.1

Erstellen von Kerberos-Konfigurationsdateien

Erstellen von Kerberos-Konfigurationsdateien Bevor Sie fortfahren, stellen Sie sicher, dass folgende Voraussetzungen erfllt sind: Ein Dienstkonto wurde auf dem Domnencontroller fr die BI-Plattform erstellt. Sie haben sich vergewissert, dass die Dienstprinzipalnamen (Service Principal Names, SPNs) dem Dienstkonto hinzugefgt wurden. AD-Benutzergruppen wurden der BI-Plattform erfolgreich zugeordnet. Sie haben die AD-Anmeldedaten im CCM getestet.

Fhren Sie folgende Schritte aus, um die Kerberos-Konfigurationsdatei zu erstellen, wenn Sie SAP NetWeaver 7.3, Tomcat 6, Oracle Application Server, WebSphere oder WebLogic als Webanwendungsserver fr die BI-PlattformImplementierung verwenden. 1. Erstellen Sie die Datei krb5.ini, falls diese noch nicht vorhanden ist, und speichern Sie sie fr Windows unter C:\Windows.

Hinweis
Wenn der Anwendungsserver unter UNIX installiert ist, verwenden Sie die folgenden Verzeichnisse: Solaris: /etc/krb5/krb5.conf Linux: /etc/krb5.conf

Hinweis
Sie knnen diese Datei auch an einem anderen Speicherort speichern; dieser Speicherort muss dann jedoch in den Java-Optionen angegeben werden. Weitere Informationen zu krb5.ini finden Sie unter http://docs.sun.com/app/docs/doc/816-0219/6m6njqb94?a=view. 2. Fgen Sie der Kerberos-Konfigurationsdatei die folgenden erforderlichen Informationen hinzu: [libdefaults] default_realm = DOMAIN.COM dns_lookup_kdc = true dns_lookup_realm = true default_tkt_enctypes = rc4-hmac default_tgs_enctypes = rc4-hmac

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

251

[domain_realm] .domain.com = DOMAIN.COM domain.com = DOMAIN.COM .domain2.com = DOMAIN2.COM domain2.com = DOMAIN2.COM [realms] DOMAIN.COM = { default_domain = DOMAIN.COM kdc = HOSTNAME.DOMAIN.COM } DOMAIN2.COM = { default_domain = DOMAIN2.COM kdc = HOSTNAME.DOMAIN2.COM } [capaths] DOMAIN2.COM = { DOMAIN.COM = }

Hinweis
Die Schlsselparameter werden in der Tabelle unten erlutert. DOMAIN.COM Der DNS-Name der Domne, der in Grobuchstaben im FQDN-Format eingegeben werden muss. Der Hostname des Domnencontrollers. Definiert die vertrauenswrdige Beziehung zwischen Domnen, die sich in einem anderen ADForest befinden. Im vorangehenden Beispiel entspricht DOMAIN2.COM einer Domne in einem externen Forest und verfgt ber eine direkte beidseitige transitive Vertrauenswrdigkeit zu DOMAIN.COM. default_realm In einer Konfiguration mit mehreren Domnen kann der Wert default_realm unter [libdefaults] einer beliebigen Quell-Domne entsprechen. Am besten verwenden Sie die Domne mit der grten Anzahl von Benutzern, die sich mit ihrem AD-Konto authentifizieren. Wenn whrend der Anmeldung kein UPN-Suffix angegeben wird, wird standardmig der Wert default_realm verwendet. Dieser Wert sollte mit der Einstellung fr Standarddomne in der CMC bereinstimmen. Alle Domnen mssen in Grobuchstaben angegeben werden, wie im Beispiel oben gezeigt.

kdc [capath]

252

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

8.4.5.1.2 Erstellen einer Konfigurationsdatei fr die JAASAnmeldung


Erstellen einer Tomcat- oder WebLogic JAAS-Anmeldekonfigurationsdatei

Mit der Datei bscLogin.conf wird das Java-Login-Modul geladen. Sie ist fr die AD-Kerberos-Authentifizierung auf Java-Webanwendungsservern erforderlich. Die Datei wird standardmig unter C:\Windows gespeichert. 1. Erstellen Sie eine Datei namens bscLogin.conf, falls diese noch nicht vorhanden ist, und speichern Sie sie unter C:\Windows.

Hinweis
Sie knnen diese Datei an einem anderen Speicherort speichern. In diesem Fall muss der Speicherort jedoch in den Java-Optionen angegeben werden. 2. Fgen Sie der JAAS-Konfigurationsdatei bscLogin.conf folgenden Code hinzu: com.businessobjects.security.jgss.initiate { com.sun.security.auth.module.Krb5LoginModule required; }; 3. Speichern und schlieen Sie die Datei.

Erstellen von Konfigurationsdateien fr die Oracle-JAAS-Anmeldung

1.

Suchen Sie die Datei jazn-data.xml.

Hinweis
Der Standardspeicherort fr diese Datei ist C:\OraHome_1\j2ee\home\config. Wenn Sie Oracle Application Server an einem anderen Speicherort installiert haben, suchen Sie die Datei fr Ihre jeweilige Installation. 2. Fgen Sie der Datei zwischen den <jazn-loginconfig>-Tags folgenden Inhalt hinzu: <application> <name>com.businessobjects.security.jgss.initiate</name> <login-modules> <login-module> <class>com.sun.security.auth.module.Krb5LoginModule</class> <control-flag>required</control-flag> </login-module> </login-modules> </application> 3. Speichern und schlieen Sie die Datei jazn-data.xml.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

253

Erstellen von Konfigurationsdateien fr die WebSphere JAAS-Anmeldung

1. 2.

Erstellen Sie eine Datei mit dem Namen bscLogin.conf, falls noch nicht vorhanden, und speichern Sie sie am Standardspeicherort C:\Windows. Fgen Sie der Konfigurationsdatei bscLogin.conf folgenden Code hinzu: com.businessobjects.security.jgss.initiate { com.ibm.security.auth.module.Krb5LoginModule required; };

3.

Speichern und schlieen Sie die Datei.

Hinzufgen eines Login-Moduls zu SAP NetWeaver

Um Kerberos und SAP NetWeaver 7.3 zu verwenden, konfigurieren Sie das System so, als ob Sie den TomcatWebanwendungsserver verwenden wrden. Sie brauchen die Datei bscLogin.conf nicht zu erstellen. Anschlieend fgen Sie ein Login-Modul hinzu und aktualisieren einige Java-Einstellungen auf SAP NetWeaver 7.3. Um com.businessobjects.security.jgss.initiate das Login-Modul com.sun.security.auth.module.Krb5LoginModule zuzuordnen, mssen Sie NetWeaver manuell ein LoginModul hinzufgen. 1. 2. 3. ffnen Sie den NetWeaver-Administrator, indem Sie die folgende Adresse in den Webbrowser eingeben: http://<<Rechnername>>:<<Port>>/nwa. Klicken Sie auf Configuration Management (Konfigurationsmanagement) Login Modules (Login-Module) Security (Sicherheit)

Authentication (Authentifizierung)

Edit(Bearbeiten) .

Fgen Sie ein neues Login-Modul mit folgenden Informationen hinzu:


Anzeigename Klassenname

Krb5LoginModule com.sun.security.auth.module.Krb5LoginMo dule

4. 5. 6. 7. 8. 9.

Klicken Sie auf Save (Speichern). NetWeaver erstellt das neue Modul. Klicken Sie auf hinzu. Fgen Sie im Authentication Stack (Login-Modul-Stack) das in Schritt 3 erstellte Login-Modul hinzu, und setzen Sie es auf Required (Erforderlich). berprfen Sie, ob es weitere Eintrge unter Options for Selected Login Module (Optionen fr ausgewhltes Login-Modul) gibt. Falls ja, lschen Sie sie. Klicken Sie auf Save (Speichern). Components (Komponenten) Edit (Bearbeiten) .

Fgen Sie eine neue Richtlinie mit der Bezeichnung com.businessobjects.security.jgss.initiate

10. Melden Sie sich vom NetWeaver-Administrator ab.

254

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

8.4.5.1.3 ndern der Java-Einstellungen des Anwendungsservers zum Laden von Konfigurationsdateien
So ndern Sie Java-Optionen fr Kerberos unter Tomcat

1. 2. 3.

Whlen Sie im Men Start die Option Programme >Tomcat > Tomcat-Konfiguration. Klicken Sie auf die Registerkarte Java. Fgen Sie die folgenden Optionen hinzu: -Djava.security.auth.login.config=C:\XXXX\bscLogin.conf -Djava.security.krb5.conf=C:\XXXX\krb5.ini Ersetzen Sie XXXX durch den Speicherort der Datei bscLogin.conf.

4. 5.

Schlieen Sie die Tomcat-Konfigurationsdatei. Starten Sie Tomcat neu.

ndern der Java-Optionen fr SAP NetWeaver 7.3

1.

Navigieren Sie zum Java-Konfigurationstool (befindet sich standardmig unter C:\usr\sap \<<NetWeaver-ID>>\<<Instanz>>\j2ee\configtool\), und doppelklicken Sie auf configtool.bat. Das Konfigurationstool wird geffnet.

2. 3. 4. 5. 6. 7.

Klicken Sie auf Klappen Sie

View

Expert Mode Template

(Ansicht > Expertenmodus). (Clusterdaten > Vorlage) auf.

Cluster-Data

Whlen Sie die Instanz aus, die dem NetWeaver-Server entspricht (zum Beispiel Instance (Instanz) <<System-ID><Rechnername>>). Klicken Sie auf VM Parameters (VM-Parameter). Whlen Sie SAP aus der Liste Vendor (Anbieter) und GLOBAL aus der Liste Platform (Plattform) aus. Klicken Sie auf System, und fgen Sie folgende benutzerdefinierten Parameterinformationen hinzu:
java.security.krb5.conf javax.security.auth.useSubjectCredsOnly <<Pfad zur Datei "krb5.ini" einschlielich Dateiname>> false

8. 9.

Klicken Sie auf Save (Speichern) und anschlieend auf Configuration Editor (Konfigurationseditor). Klicken Sie auf Configurations Security Configurations com.businessobjects.security.jgss.initiate

Security Authentication (Konfigurationen > Sicherheit > Konfigurationen > com.businessobjects.securtiy.jgss.initiate > Sicherheit > Authentifizierung). 10. Klicken Sie auf Edit Mode (Bearbeitungsmodus). 11. Klicken Sie mit der rechten Maustaste auf den Knoten Authentication (Authentifizierung), und whlen Sie Create sub-node (Unterknoten erstellen) aus. 12. Whlen Sie Value-Entry (Werteingabe) aus der oberen Liste aus. 13. Geben Sie Folgendes ein:

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

255

Name Wert

create_security_session false

14. Klicken Sie auf Create (Erstellen), und schlieen Sie anschlieend das Fenster. 15. Klicken Sie auf Config Tool (Konfigurationstool) und dann auf Speichern. Nachdem Sie die Konfiguration aktualisiert haben, mssen Sie den NetWeaver-Server neu starten.

So ndern Sie Java-Optionen fr Kerberos unter WebLogic

Wenn Sie Kerberos mit WebLogic verwenden, mssen Ihre Java-Optionen gendert werden, um den Speicherort der Kerberos-Konfigurationsdatei und des Kerberos-Anmeldemoduls anzugeben. 1. 2. 3. Stoppen Sie die WebLogic-Domne, in der die BI-Plattform-Anwendungen ausgefhrt werden. ffnen Sie das Skript, mit dem die Domne von WebLogic gestartet wird, auf der die BI-PlattformAnwendungen ausgefhrt werden (startWeblogic.cmd fr Windows, startWebLogic.sh fr Unix). Fgen Sie im Abschnitt "Java_Options" der Datei die folgenden Informationen hinzu. set JAVA_OPTIONS=-Djava.security.auth.login.config=C:/XXXX/bscLogin.conf -Djava.security.krb5.conf=C:/XXX/krb5.ini Ersetzen Sie XXXX durch den Speicherort der Datei. 4. Starten Sie die Domne von WebLogic erneut, in der die BI-Plattform-Anwendungen ausgefhrt werden.

So ndern Sie Java-Optionen fr Kerberos unter Oracle Application Server

Wenn Sie Kerberos mit Oracle Application Server verwenden, mssen die Java-Optionen gendert werden, um den Speicherort der Kerberos-Konfigurationsdatei anzugeben. 1. 2. 3. 4. 5. Melden Sie sich an der Administrationskonsole von Oracle Application Server an. Klicken Sie auf den Namen der OC4J-Instanz, die die BI-Plattform-Anwendungen ausfhrt. Whlen Sie Server Properties(Servereigenschaften) aus. Fhren Sie einen Bildlauf nach unten zum Abschnitt "Multiple VM Configuration" (Mehrere VMKonfigurationen) aus. Hngen Sie im Abschnitt "Command Line Options" (Befehlszeilenoptionen) Folgendes an das Ende des Textfelds "Java Options" (Java-Optionen) an: -Djava.security.krb5.conf=C:/XXXX/krb5.ini. Dabei wird XXXX durch den Speicherort der Datei ersetzt. 6. Starten Sie die OC4J-Instanz neu.

So ndern Sie Java-Optionen fr Kerberos unter WebSphere

1.

Melden Sie sich bei der Verwaltungskonsole fr WebSphere an.

256

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Geben Sie fr IBM WebSphere 5.1 http://Servername:9090/admin ein. Geben Sie fr IBM WebSphere 6.0 http://Servername:9060/ibm/console ein. 2. 3. Klappen Sie "Server" auf, klicken Sie auf Application Servers (Anwendungsserver) und dann auf den Namen des Anwendungsservers, den Sie fr die Verwendung mit der BI-Plattform erstellt haben. Wechseln Sie zur JVM-Seite. Wenn Sie WebSphere 5.1 verwenden, rufen Sie die JVM-Seite anhand der folgenden Schritte auf. 1. 2. 3. Fhren Sie auf der Serverseite einen Bildlauf nach unten aus, bis Process Definition (Prozessdefinition) in der Spalte Additional Properties (Weitere Eigenschaften) angezeigt wird. Klicken Sie auf Prozessdefinition. Fhren Sie einen Bildlauf nach unten aus, und klicken Sie auf Java Virtual Machine.

Wenn Sie WebSphere 6.0 verwenden, rufen Sie die JVM-Seite anhand der folgenden Schritte auf. 1. 2. 3. 4. Whlen Sie auf der Serverseite Java and Process Management (Java und Prozessmanagement). Whlen Sie Process Definition. Whlen Sie Java Virtual Machine.

Klicken Sie auf Generic JVM arguments (Generische JVM-Argumente), und geben Sie den Speicherort der Dateien Krb5.ini und bscLogin.conf ein. -Djava.security.auth.login.config=C:\XXXX\bscLogin.conf -Djava.security.krb5.conf=C:\XXXX\krb5.ini Ersetzen Sie XXXX durch den Speicherort der Datei.

5. 6.

Klicken Sie auf Anwenden und anschlieend auf Speichern. Stoppen und starten Sie den Server neu.

8.4.5.1.4 Java

Verifizieren des Empfangs von Kerberos-Tickets bei

Bevor Sie testen knnen, ob Java das Kerberos-Ticket empfangen hat, mssen folgende Aktionen ausgefhrt werden: 1. Erstellen Sie die Datei bscLogin.conf fr den Anwendungsserver. Erstellen Sie die Datei krb5.ini. Navigieren Sie ber die Befehlseingabeaufforderung zum Verzeichnis jdk\bin in der BI-PlattformInstallation. Standardmig befindet sich dieses unter C:\Programme (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\win64_x64\jdk\bin. 2. 3. 4. Fhren Sie kinit <Benutzername> aus. Drcken Sie die Eingabetaste . Geben Sie das Kennwort ein. Wenn die Datei krb5.ini richtig konfiguriert und das Java-Login-Modul geladen wurde, msste eine Meldung mit ungefhr folgendem Wortlaut angezeigt werden: In der Cache-Datei "C:\Users\Administrator\krb5cc_Administrator" wurde ein neues Ticket gespeichert. Fahren Sie mit der AD-Einrichtung erst dann fort, wenn ein Kerberos-Ticket erfolgreich eingegangen ist.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

257

Wenn Sie kein Ticket erhalten, haben Sie folgende Mglichkeiten: Konsultieren Sie die Abschnitt "Fehlerbehebung" am Ende dieses Kapitels. Wenn es bei den Problemen um KDC, die Kerberos-Konfigurationsdateien und Benutzeranmeldedaten geht, die in der Kerberos-Datenbank nicht verfgbar sind, lesen Sie die Artikel KBA 1476374 und KBA 1245178 der SAP Knowledge Base durch.

8.4.5.1.5 Konfigurieren von BI-Launchpad fr die manuelle AD-Anmeldung


Vor der Konfiguration Ihrer BI-Plattform-Anwendungen fr die manuelle AD-Anmeldung mssen folgende Voraussetzungen erfllt sein: Ein Dienstkonto wurde auf dem Domnencontroller fr die BI-Plattform erstellt. Sie haben sich vergewissert, dass die erforderlichen HTTP-Dienstprinzipalnamen (Service Principal Names, SPNs) dem Dienstkonto hinzugefgt wurden. AD-Benutzergruppen wurden der BI-Plattform erfolgreich zugeordnet. Sie haben die AD-Anmeldedaten im CCM getestet. Sie haben die erforderlichen Konfigurationsdateien fr den Webanwendungsserver erstellt, konfiguriert und getestet. Die Java-Einstellungen des Anwendungsservers wurden so gendert, dass die Konfigurationsdateien geladen werden.

Fhren Sie zum Aktivieren der Windows AD-Authentifizierungsoption fr BI-Launchpad folgende Schritte aus: 1. Greifen Sie auf dem Webanwendungsserver-Host auf den Ordner "custom" fr die BOE-Webanwendung zu: <INSTALLVERZ>\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF \config\custom\. Nehmen Sie die nderungen im Verzeichnis config\custom und nicht im Verzeichnis config\default vor. Ansonsten werden die nderungen berschrieben, wenn Sie zuknftige Patches auf die Implementierung anwenden. Die genderte BOE-Webanwendung muss zu einem spteren Zeitpunkt erneut implementiert werden. 2. Erstellen Sie eine neue Datei.

Hinweis
Verwenden Sie Notepad oder ein anderes Textbearbeitungsprogramm. 3. 4. Speichern Sie die Datei unter dem Namen BIlaunchpad.properties. Geben Sie Folgendes ein: authentication.visible=true authentication.default=secWinAD 5. 6. Speichern und schlieen Sie die Datei. Starten Sie Ihren Webanwendungsserver neu.

Sie sollten nun in der Lage sein, sich manuell an BI-Launchpad anzumelden. Rufen Sie eine der Anwendungen auf, und whlen Sie "Windows AD" aus der Liste der Authentifizierungsoptionen aus.

258

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Hinweis
Fahren Sie mit der Windows-AD-Einrichtung erst dann fort, wenn Sie sich mithilfe eines vorhandenen ADKontos an BI-Launchpad anmelden knnen. Die neuen Eigenschaften werden erst wirksam, wenn die BOE-Webanwendung auf dem Rechner, auf dem der Webanwendungsserver ausgefhrt wird, erneut implementiert wird. Verwenden Sie WDeploy zur erneuten Implementierung von BOE auf dem Webanwendungsserver. Weitere Informationen zur Verwendung von WDeploy zur Deinstallation von Webanwendungen finden Sie im Handbuch fr die Implementierung von Webanwendungen fr SAP BusinessObjects Business Intelligence.

Hinweis
Wenn Ihre Implementierung eine Firewall verwendet, ffnen Sie alle erforderlichen Ports, da die Webanwendungen sonst keine Verbindung mit den BI-Plattform-Servern herstellen knnen.

8.4.6 8.4.6.1

Einrichten der Einzelanmeldung SSO bei der BI-Plattform mit AD-Authentifizierung

Optionen fr SSO bei Verwendung von Windows AD


Zur Einrichtung der Einzelanmeldung (SSO) fr die Windows-AD-Authentifizierung mit der BI-Plattform stehen zwei untersttzte Methoden zur Verfgung: Vintela diese Option kann nur mit Kerberos verwendet werden. SiteMinder diese Option kann nur mit Kerberos verwendet werden.

SSO bei der Datenbank


SSO bei der Datenbank ermglicht angemeldeten Benutzern die Ausfhrung von Aktionen, die Datenbankzugriff erfordern. Dazu gehren vor allem das Anzeigen und Regenerieren von Berichten, ohne erneut Anmeldedaten eingeben zu mssen. Whrend die eingeschrnkte Delegierung fr die AD-Authentifizierung mit Vintela-SSO optional ist, ist sie fr Implementierungsszenarios erforderlich, die eine Einzelanmeldung an der Systemdatenbank umfassen.

End-to-End-SSO
Auf der BI-Plattform wird End-to-End-SSO ber Windows AD und Kerberos untersttzt. In diesem Szenario knnen Benutzer sowohl die Einzelanmeldung an der BI-Plattform am Frontend als auch den SSO-Zugriff auf Datenbanken am Backend nutzen. Folglich mssen Benutzer ihre Anmeldedaten nur einmal angeben, wenn sie

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

259

sich beim Betriebssystem anmelden. Anschlieend knnen sie dann auf die BI-Plattform zugreifen und Aktionen ausfhren, die Datenbankzugriff erfordern, z.B. Berichte anzeigen.

Konfiguration der manuellen Authentifizierung und der SSO-ADAuthentifizierung im Vergleich


Nachdem Sie die Implementierung erfolgreich so konfiguriert haben, dass ber AD-Konten eine manuelle Anmeldung an BI-Launchpad durchgefhrt werden kann, mssen Sie zur Einrichtung der AD-Authentifizierung zurckkehren, um bestimmte SSO-Anforderungen zu aktivieren. Die Anforderungen richten sich jeweils nach der ausgewhlten SSO-Methode.

8.4.6.2 8.4.6.2.1
1. 2. 3. 4. 5. 6.

Verwenden der Vintela-Einzelanmeldung Checkliste fr die Vintela-SSO-Einrichtung

Zur Einrichtung der BI-Plattform fr den Betrieb mit Vintela-SSO mssen Sie folgende Aufgaben ausfhren: Konfigurieren Sie das Dienstkonto speziell fr Vintela-SSO. Konfigurieren Sie die eingeschrnkte Delegierung (optional). Konfigurieren Sie die Windows-AD-SSO-Authentifizierungsoptionen in der CMC. Konfigurieren Sie die allgemeinen BOE-Eigenschaften und die BI-Launchpad-spezifischen Eigenschaften fr Vintela-SSO. Wenn Sie Tomcat 6 als Webanwendungsserver fr die Implementierung verwenden, mssen Sie die maximale Gre des Headers erhhen. Konfigurieren Sie die Internetbrowser fr Vintela.

8.4.6.2.2

Einrichten des Dienstkontos fr Vintela-SSO

Mit dem Befehlszeilentool Ktpass wird der Serverprinzipalname fr den Host oder Dienst in Active Directory konfiguriert und eine Kerberos-Keytab-Datei generiert, die den gemeinsamen geheimen Schlssel des Dienstkontos enthlt. Dieses Tool befindet sich meist auf Domnencontrollern oder kann von der MicrosoftSupport-Website (http://support.microsoft.com/kb/892777) heruntergeladen werden. Sie bentigen ein Dienstkonto, das so konfiguriert ist, dass sich Benutzer mit ihren AD-Anmeldedaten automatisch gegenber BI-Launchpad authentifizieren knnen. Sie knnen das Dienstkonto, das fr die ADKerberos-Authentifizierung erstellt wurde, auf dem Domnencontroller neu konfigurieren. Wenn ein Client versucht, sich an BI-Launchpad anzumelden, wird eine Anforderung fr den Server angestoen, der das Kerberos-Ticket generiert. Um diese Anforderung beantworten zu knnen, muss das fr die BI-Plattform erstellte Dienstkonto ber einen SPN verfgen, der mit der URL des Anwendungsservers bereinstimmt. Fhren Sie die folgenden Schritte auf dem Rechner aus, der den Domnencontroller hostet. 1. Fhren Sie den Kerberos-Keytab-Setup-Befehl ktpass aus, um eine Keytab-Datei zu erstellen und abzulegen.

260

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Geben Sie die ktpass-Parameter an, die in der folgenden Tabelle aufgefhrt sind: Parameter Beschreibung -out -princ Angeben des Namens der zu erzeugenden Kerberos-Keytab-Datei. Gibt den Prinzipalnamen fr das Dienstkonto im SPN-Format an:< MYSIAMYSERVER>/ <sbo.service.domain.com>@<DOMAIN>.COM, wobei <MYSIAMYSERVER> fr den Namen des im Central Configuration Manager (CCM) angegebenen Service Intelligence Agent steht.

Hinweis
Bei den Namen von Dienstkonten wird zwischen Gro-/Kleinschreibung unterschieden. Der SPN umfasst den Namen des Hostrechners, auf dem die Dienstinstanz ausgefhrt wird.

Tipp
Der SPN muss im Forest, in dem er registriert ist, eindeutig sein. Um dies zu berprfen, suchen Sie mithilfe des Windows-Supporttools Ldp.exe nach dem SPN. -pass -ptype Gibt das vom Dienstkonto verwendete Kennwort an. Angeben des Prinzipaltyps: -ptype KRB5_NT_PRINCIPAL -crypto Angeben des fr das Dienstkonto zu verwendenden Verschlsselungstyps: -crypto RC4-HMAC-NT Beispiel: ktpass -out <keytab_filename>.keytab -princ <MYSIAMYSERVER>/ sbo.service.domain.com@DOMAIN.COM -pass password -kvno 255 -ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT In der Ausgabe des Befehls ktpass sollten der Ziel-Domnencontroller sowie die Erstellung einer KerberosKeytab-Datei mit dem gemeinsamen geheimen Schlssel besttigt werden. Der Befehl ordnet auerdem den Prinzipalnamen zum (lokalen) Dienstkonto zu. 2. 3. 4. Klicken Sie mit der rechten Maustaste auf das Dienstkonto, und whlen Sie aus. Whlen Sie Benutzer bei Delegierungen aller Dienste vertrauen (nur Kerberos). Klicken Sie auf OK, um Ihre Einstellungen zu speichern. Eigenschaften Delegierung

Das Dienstkonto verfgt nun ber alle erforderlichen Dienstprinzipalnamen fr Vintela-SSO, und Sie haben eine Keytab-Datei mit dem verschlsselten Kennwort fr das Dienstkonto generiert.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

261

Konfigurieren der eingeschrnkten Delegierung fr Vintela-SSO

Die eingeschrnkte Delegierung ist bei Einrichtung von Vintela-SSO optional. Sie ist jedoch obligatorisch bei Implementierungen, die Systemdatenbank-SSO erfordern. 1. 2. 3. 4. 5. 6. 7. ffnen Sie auf dem Rechner mit dem AD-Domnencontroller das Snap-In Active-Directory-Benutzer und Computer. Klicken Sie mit der rechten Maustaste auf das im vorherigen Abschnitt erstellte Dienstkonto, und klicken Sie auf Eigenschaften Delegierung . Whlen Sie Benutzer bei Delegierungen angegebener Dienste vertrauen . Whlen Sie Nur Kerberos verwenden. Klicken Sie auf Hinzufgen Benutzer oder Computer .

Geben Sie den Namen des Dienstkontos ein, und klicken Sie auf OK. Eine Liste der Dienste wird eingeblendet. Whlen Sie die folgenden Dienste aus, und klicken Sie dann auf OK. Den HTTP-Dienst Den Dienst, der zur Ausfhrung des Service Intelligence Agent (SIA) auf dem Rechner verwendet wird, der die BI-Plattform hostet.

Die Dienste werden der Liste der Dienste hinzugefgt, die fr das Dienstkonto delegiert werden knnen. Damit diese nderung bernommen wird, mssen die Webanwendungseigenschaften bearbeitet werden.

8.4.6.2.3
1. 2. 3. 4. 5. 6. 7.

Konfigurieren von SSO-Einstellungen in der CMC

Wechseln Sie zum Verwaltungsbereich Authentifizierung der CMC. Doppelklicken Sie auf Windows AD. Stellen Sie sicher, dass das Kontrollkstchen Windows Active Directory (AD) aktivieren aktiviert ist. Vergewissern Sie sich, dass unter Authentifizierungsoptionen die Option Kerberos-Authentifizierung verwenden ausgewhlt ist. Wenn fr die Konfiguration SSO bei der Datenbank erforderlich ist, whlen Sie Cachesicherheitskontext aus. Aktivieren Sie das Kontrollkstchen Einzelanmeldung fr ausgewhlten Authentifizierungsmodus aktivieren. Klicken Sie auf Aktualisieren.

8.4.6.2.4 Aktivieren der Vintela-Einzelanmeldung fr BILaunchpad und OpenDocument


Dieses Verfahren wird fr BI-Launchpad oder OpenDocument verwendet. Um SSO fr die BI-PlattformAnwendungen zu aktivieren, mssen Vintela- und SSO-spezifische Eigenschaften in der Datei BOE.war angegeben werden. Zum Zweck der SSO-Einrichtung empfiehlt es sich, dass Sie sich zunchst auf die Aktivierung von SSO fr BI-Launchpad fr AD-Konten konzentrieren, bevor Sie sich anderen Anwendungen zuwenden.

262

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

1.

Greifen Sie auf dem Webanwendungsserver-Host auf den Ordner "custom" fr die BOE-Webanwendung zu: <INSTALLVERZ>\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF \config\custom\. Nehmen Sie die nderungen im Verzeichnis config\custom und nicht im Verzeichnis config\default vor. Ansonsten werden die nderungen berschrieben, wenn Sie zuknftige Patches auf die Implementierung anwenden. Die genderte BOE-Webanwendung muss zu einem spteren Zeitpunkt erneut implementiert werden.

2.

Erstellen Sie eine neue Datei.

Hinweis
Verwenden Sie Notepad oder ein anderes Textbearbeitungsprogramm. 3. Geben Sie Folgendes ein: sso.enabled=true siteminder.enabled=false vintela.enabled=true idm.realm=DOMAIN.COM idm.princ=MYSIAMYSERVER/sbo.service.domain.com@DOMAIN.COM idm.allowUnsecured=true idm.allowNTLM=false idm.logger.name=simple idm.keytab=C:/WIN/filename.keytab idm.logger.props=error-log.properties

Hinweis
Fr die Parameteridm.realm und idm.princ mssen gltige Werte eingegeben werden. Beim Wert von idm.realm sollte es sich um denselben Wert handeln, den Sie bei der Konfiguration von default_realm in der Datei krb5.ini festgelegt haben. Der Wert muss in Grobuchstaben eingegeben werden. Der Parameter idm.princ ist der SPN, der fr das fr die Vintela-Einzelanmeldung erstellte Dienstkonto verwendet wird. Bei Angabe des Speicherorts der Keytab-Datei mssen Schrgstriche verwendet werden. Bei Verwendung von umgekehrten Schrgstrichen ist keine Einzelanmeldung mglich. berspringen Sie den folgenden Schritt, wenn Sie die eingeschrnkte Delegation fr die Windows-ADAuthentifizierung und die Vintela-Einzelanmeldung nicht verwenden mchten. 4. Um die eingeschrnkte Delegation zu verwenden, fgen Sie den folgenden Wert hinzu: idm.allowS4U=true 5. Schlieen Sie die Datei, und speichern Sie sie unter dem Namen global.properties:

Hinweis
Stellen Sie sicher, dass der Dateiname nicht mit einer Dateierweiterung wie .txt gespeichert wird. 6. 7. Erstellen Sie eine weitere Datei im selben Verzeichnis. Speichern Sie die Datei je nach Ihren Anforderungen unter OpenDocument.properties oder BIlaunchpad.properties. Geben Sie Folgendes ein: authentication.default=secWinAD cms.default=[enter your cms name]:[Enter the CMS port number]

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

263

Beispiel: authentication.default=secWinAD cms.default=mycms:6400 8. 9. Speichern und schlieen Sie die Datei. Starten Sie Ihren Webanwendungsserver neu.

Die neuen Eigenschaften werden erst wirksam, wenn die BOE-Webanwendung auf dem Rechner, auf dem der Webanwendungsserver ausgefhrt wird, erneut implementiert wird. Verwenden Sie WDeploy zur erneuten Implementierung von BOE auf dem Webanwendungsserver. Weitere Informationen zur Verwendung von WDeploy zur Deinstallation von Webanwendungen finden Sie im Handbuch fr die Implementierung von Webanwendungen fr SAP BusinessObjects Business Intelligence.

Hinweis
Wenn Ihre Implementierung eine Firewall enthlt, ffnen Sie alle erforderlichen Ports, da die Webanwendungen sonst keine Verbindung mit den BI-Plattform-Servern herstellen knnen.

8.4.6.2.5 Tomcat

Erhhen des Grenzwerts fr die Headergre fr

Active Directory erstellt ein Kerberos-Token, das bei der Authentifizierung verwendet wird. Dieses Token wird im HTTP-Header gespeichert. Der Java-Anwendungsserver verfgt ber eine standardmige HTTP-Headergre. Um Fehler zu vermeiden, sollten Sie sicherstellen, dass eine standardmige Mindestgre von 16384 Byte angegeben ist. (Einige Implementierungen erfordern u.U. eine umfangreichere Gre. Weitere Informationen finden Sie in den Microsoft-Richtlinien zu Grenanforderungen auf der Support-Website (http:// support.microsoft.com/kb/327825).) 1. ffnen Sie auf dem Server, auf dem Tomcat installiert ist, die Datei server.xml. Unter Windows befindet sich die Datei unter <TomcatINSTALLVERZ>/conf. Wenn Sie die mit der BI-Plattform unter Windows installierte Tomcat-Version verwenden, und Sie den Standardinstallationspfad nicht gendert haben, ersetzen Sie <TomcatINSTALLVERZ> durch C:\Programme (x86)\SAP BusinessObjects \Tomcat6\. 2. Wenn Sie einen anderen untersttzten Webanwendungsserver verwenden, schlagen Sie den richtigen Pfad in der Begleitdokumentation Ihres Webanwendungsservers nach.

Suchen Sie das <Connector >-Tag fr die konfigurierte Portnummer. Wenn Sie den Standardport 8080 verwenden, suchen Sie das <Connector >-Tag mit port=8080. Beispiel: <Connector URIEncoding="UTF-8" acceptCount="100" connectionTimeout="20000" debug="0" disableUploadTimeout="true" enableLookups="false" maxSpareThreads="75" maxThreads="150" minSpareThreads="25" port="8080" redirectPort="8443" />

264

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

3.

Fgen Sie folgenden Wert innerhalb des <Connector >-Tags ein: maxHttpHeaderSize="16384" Beispiel: <Connector URIEncoding="UTF-8" acceptCount="100" connectionTimeout="20000" debug="0" disableUploadTimeout="true" enableLookups="false" maxSpareThreads="75" maxThreads="150" maxHttpHeaderSize="16384" minSpareThreads="25" port="8080" redirectPort="8443" />

4. 5.

Speichern und schlieen Sie die Datei server.xml. Starten Sie Tomcat neu.

Hinweis
Wenn Sie einen anderen Java-Anwendungsserver verwenden, sollten Sie sich in der Dokumentation des betreffenden Java-Anwendungsservers informieren.

8.4.6.2.6

Konfigurieren von Internet-Browsern

Damit Vintela-SSO fr die AD-Kerberos-Authentifizierung untersttzt wird, mssen die BI-Plattform-Clients konfiguriert werden. Dies beinhaltet die Konfiguration des Internet Explorer-Browsers (IE) auf den Clientrechnern.

Konfigurieren des Internet Explorers auf Clientrechnern

1. 2.

ffnen Sie auf dem Clientrechner einen Internet-Explorer-Browser. Aktivieren Sie die integrierte Windows-Authentifizierung. a) Klicken Sie im Men Extras auf Internetoptionen. b) Klicken Sie auf die Registerkarte Erweitert. c) Fhren Sie einen Bildlauf zu Sicherheit aus, whlen Sie Integrierte Windows-Authentifizierung aktivieren, und klicken Sie auf bernehmen.

3.

Fgen Sie den Java-Anwendungsrechner oder die URL zu den vertrauenswrdigen Sites hinzu. Sie knnen den vollstndigen Domnennamen der Site eingeben. a) Klicken Sie im Men Extras auf Internetoptionen. b) Klicken Sie auf die Registerkarte Sicherheit. c) Klicken Sie auf Sites und dann auf Erweitert. d) Whlen Sie die Site aus, oder geben Sie sie ein, und klicken Sie anschlieend auf Hinzufgen. e) Klicken Sie so lange auf OK, bis das Dialogfeld "Internetoptionen" geschlossen wird.

4. 5.

Schlieen und ffnen Sie das Internet Explorer-Browserfenster erneut, damit diese nderungen wirksam werden. Wiederholen Sie alle diese Schritte auf jedem BI-Plattform-Clientrechner.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

265

So konfigurieren Sie Firefox auf Clientrechnern

1.

ndern Sie "network.negotiate-auth.delegation-uris" a) ffnen Sie auf dem Clientrechner das Firefox-Browserfenster. b) Geben Sie about:config in das URL-Adressfeld ein. Eine Liste der konfigurierbaren Eigenschaften wird angezeigt. c) Doppelklicken Sie auf network.negotiate-auth.delegation-uris, um die Eigenschaft zu bearbeiten. d) Geben Sie die URL ein, ber die Sie auf BI-Launchpad zugreifen. Beispiel: Lautet die BI-Launchpad-URL http://<Rechner.Domne.com>:8080/BOE/BI, mssen Sie http://<Rechner.Domne.com> eingeben.

Hinweis
Wenn Sie mehrere URLs hinzufgen, trennen Sie sie durch ein Komma. Beispiel: http:// <Rechner.Domne.com>,<Rechner2.Domne.com> . e) Klicken Sie auf OK. 2. ndern Sie "network.negotiate-auth.trusted-uris" a) ffnen Sie auf dem Clientrechner das Firefox-Browserfenster. b) Geben Sie about:config in das URL-Adressfeld ein. Eine Liste der konfigurierbaren Eigenschaften wird angezeigt. c) Doppelklicken Sie auf network.negotiate-auth.trusted-uris, um die Eigenschaft zu ndern. d) Geben Sie die URL ein, ber die Sie auf BI-Launchpad zugreifen. Wenn die BI-Launchpad-URL beispielsweise http://<Rechner.Domne.com>:8080/BOE/BI lautet, mssen Sie http://<Rechner.Domne.com> eingeben.

Hinweis
Wenn Sie mehrere URLs hinzufgen, trennen Sie sie durch ein Komma. Beispiel: http:// <Rechner.Domne.com>,<Rechner2.Domne.com> . e) Klicken Sie auf OK. 3. 4. Schlieen und ffnen Sie das Firefox-Browserfenster erneut, damit diese nderungen wirksam werden. Wiederholen Sie alle diese Schritte auf jedem BI-Plattform-Clientrechner.

8.4.6.2.7 Testen von Vintela-SSO fr die AD-KerberosAuthentifizierung


Sie sollten die SSO-Einrichtung ber eine Clientarbeitsstation testen. Stellen Sie sicher, dass sich der Client in derselben Domne wie die BI-Plattform-Implementierung befindet, und dass Sie als zugeordneter AD-Benutzer an der Arbeitsstation angemeldet sind. Sie mssen ber dieses Benutzerkonto in der Lage sein, sich manuell an BILaunchpad anzumelden. ffnen Sie zum Testen von SSO einen Browser, und geben Sie die URL fr BI-Launchpad ein. Wenn SSO korrekt konfiguriert ist, drften Ihre Anmeldedaten nicht angefordert werden.

266

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Tipp
Es empfiehlt sich, verschiedene AD-Benutzerszenarios in der Implementierung zu testen. Wenn die Umgebung beispielsweise Benutzer aus mehreren Betriebssystemen umfasst, sollten Sie die SSO-Einrichtung fr Benutzer aus jedem Betriebssystem testen. Des Weiteren ist es ratsam, die SSO-Einrichtung mit allen Browsern zu testen, die in der Organisation untersttzt werden. Wenn die Umgebung Benutzer aus mehreren Gesamtstrukturen oder Domnen umfasst, sollten Sie die SSO-Einrichtung fr ein Benutzerkonto aus jeder Domne oder Gesamtstruktur testen.

8.4.6.2.8 Konfigurieren von Kerberos und DatenbankEinzelanmeldung fr Anwendungsserver


Die Einzelanmeldung bei Datenbanken wird fr Implementierungen untersttzt, die alle folgenden Voraussetzungen erfllen: Die Implementierung der BI-Plattform befindet sich auf einem Webanwendungsserver. Der Webanwendungsserver wurde fr Vintela-SSO fr die AD-Authentifizierung konfiguriert. Bei der Datenbank, fr die SSO erforderlich ist, handelt es sich um eine untersttzte Version von SQL Server oder Oracle. Den Benutzergruppen, die Zugriff auf die Datenbank bentigen, mssen Berechtigungen innerhalb von SQL Server oder Oracle gewhrt werden.

Der letzte Schritt besteht darin, die Datei krb5.ini zu ndern, damit Datenbank-SSO fr Webanwendungen untersttzt wird.

So aktivieren Sie die Einzelanmeldung bei Datenbanken fr Java-Anwendungsserver

1.

ffnen Sie die Datei krb5.ini, die fr die Implementierung der BI-Plattform verwendet wird. Der Standardspeicherort fr diese Datei ist das Verzeichnis WIN auf Ihrem Webanwendungsserver.

Hinweis
Wenn die Datei nicht im Verzeichnis WIN enthalten ist, berprfen Sie das folgende Java-Argument auf den Speicherort der Datei: -Djava.security.auth.login.config Diese Variable wird angegeben, wenn AD mit Kerberos auf dem Webanwendungsserver konfiguriert wird. 2. 3. Wechseln Sie zum Abschnitt [libdefaults] der Datei. Geben Sie die folgende Zeichenfolge vor dem Abschnitt [realms] der Datei ein: forwardable=true 4. Speichern und schlieen Sie die Datei.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

267

5.

Starten Sie Ihren Webanwendungsserver neu.

Die Einzelanmeldung an der Datenbank wird erst aktiviert, wenn Sie das Feld Cachesicherheitskontext (fr SSO bei Datenbank erforderlich) auf der Windows AD-Authentifizierungsseite in der CMC aktivieren.

8.4.6.3 8.4.6.3.1

Verwenden von SiteMinder Verwenden von Windows AD mit SiteMinder

In diesem Abschnitt wird erlutert, wie Sie AD und SiteMinder verwenden. SiteMinder ist ein von einem Fremdhersteller entwickeltes Benutzerzugriffs- und Authentifizierungstool, das mit dem AD-Sicherheits-Plugin verwendet werden kann, um die Einzelanmeldung bei der BI-Plattform einzurichten. Sie knnen SiteMinder mit Kerberos verwenden. Stellen Sie sicher, dass die SiteMinder-Identittsverwaltungsressourcen installiert und konfiguriert sind, bevor Sie die Windows AD-Authentifizierung fr SiteMinder konfigurieren. Weitere Informationen zu SiteMinder sowie Installationshinweise finden Sie in der SiteMinder-Dokumentation. Zur Aktivierung der AD-Einzelanmeldung mit SiteMinder mssen zwei Schritte ausgefhrt werden: Konfigurieren des AD-Plugins fr die Einzelanmeldung mit SiteMinder Konfigurieren der SiteMinder-Eigenschaften fr die BOE-Webanwendung

Hinweis
Stellen Sie sicher, dass der SiteMinder-Administrator die Untersttzung fr 4.x-Agenten aktiviert hat. Dies muss unabhngig von der untersttzten SiteMinder-Version geschehen, die Sie verwenden. Weitere Informationen zur SiteMinder-Konfiguration erhalten Sie in der SiteMinder-Dokumentation.

Aktivieren von SiteMinder-Eigenschaften fr BI-Launchpad Auer den SiteMinder-Einstellungen, die fr das Windows AD-Sicherheitsplugin vorgenommen werden mssen, sind SiteMinder-Einstellungen fr die BOE war-Eigenschaften festzulegen. 1. 2. 3. Suchen Sie das Verzeichnis <<INSTALLVERZ>>\SAP BusinessObjects Enterprise XI 4.0\warfiles \webapps\BOE\WEB-INF\config\custom\ in der BI-Plattform-Installation. Erstellen Sie mit Editor oder einem anderen Textbearbeitungsprogramm eine neue Datei in dem Verzeichnis. Geben Sie folgende Werte in die neue Datei ein: sso.enabled=true siteminder.authentication=secWinAD siteminder.enabled=true 4. Speichern Sie die Datei unter dem Namen global.properties.

Hinweis
Stellen Sie sicher, dass der Dateiname nicht mit einer Dateierweiterung, z.B. .txt, gespeichert wird.

268

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

5. 6.

Erstellen Sie eine weitere Datei im selben Verzeichnis. Geben Sie folgende Werte in die neue Datei ein: authentication.default=secWinAD cms.default=[cms name]:[CMS port number] Beispiel: authentication.default=LDAP cms.default=mycms:6400

7.

Speichern Sie die Datei unter dem Namen BIlaunchpad.properties, und schlieen Sie sie.

Die neuen Eigenschaften werden erst wirksam, wenn die Datei BOE.war auf dem Computer, auf dem der Webanwendungsserver ausgefhrt wird, erneut implementiert wird. Implementieren Sie die WAR-Datei mit WDeploy erneut auf dem Webanwendungsserver. Weitere Informationen zur Verwendung von WDeploy finden Sie im Handbuch fr die Implementierung von Webanwendungen fr SAP BusinessObjects Business Intelligence.

Konfigurieren von SiteMinder-Einstellungen in der CMC

Vor Konfiguration der CMC fr SiteMinder mssen folgende Voraussetzungen erfllt sein: 1. 2. 3. 4. AD-Benutzergruppen wurden der BI-Plattform erfolgreich zugeordnet. Sie haben die AD-Anmeldedaten im CCM getestet. Wechseln Sie zum Verwaltungsbereich Authentifizierung der CMC. Doppelklicken Sie auf Windows AD. Aktivieren Sie das Kontrollkstchen Windows Active Directory (AD) aktivieren. Whlen Sie unter "Authentifizierungsoptionen" die Option NTLM-Authentifizierung verwenden oder KerberosAuthentifizierung verwenden aus. Um die BI-Plattform fr die Kerberos- und AD-Authentifizierung mit Kerberos konfigurieren zu knnen, bentigen Sie ein Dienstkonto. Sie knnen entweder ein neues Domnenkonto erstellen oder ein vorhandenes verwenden. Das Dienstkonto wird zur Ausfhrung der BI-Plattform-Server verwendet.

Tipp
Bei der manuellen Anmeldung an BI-Launchpad mssen Benutzer anderer Domnen den Domnennamen in Grobuchstaben an ihren Benutzernamen anhngen. Beispiel: Bei user@CHILD.PARENTDOMAIN.COM ist CHILD.PARENTDOMAIN.COM die Domne. 5. Wenn Sie Kerberos-Authentifizierung verwenden ausgewhlt haben: a) Wenn Sie die Einzelanmeldung an einer Datenbank konfigurieren mchten, whlen Sie Cachesicherheitskontext aus. b) Lschen Sie alle Informationen aus dem Feld Dienstprinzipalname. 6. Wenn Sie die Einzelanmeldung konfigurieren mchten, aktivieren Sie Einzelanmeldung fr ausgewhlten Authentifizierungsmodus aktivieren. Darber hinaus mssen die allgemeinen BOE-Webanwendungseigenschaften und die BI-LaunchpadEigenschaften zur Aktivierung der Einzelanmeldung konfiguriert werden.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

269

7.

Whlen Sie im Bereich Synchronisierung der Anmeldedaten eine Option aus, um die Datenquellenanmeldedaten des AD-Benutzers zum Zeitpunkt der Anmeldung zu aktivieren und zu aktualisieren. Durch diese Option wird die Datenquelle mit den aktuellen Anmeldedaten des Benutzers synchronisiert. Konfigurieren Sie im Bereich SiteMinder-Optionen SiteMinder als Einzelanmeldungsoption fr die ADAuthentifizierung mit Kerberos: a) Klicken Sie auf Deaktiviert. Die Seite Windows Active Directory wird angezeigt. Falls Sie das Windows-AD-Plugin noch nicht konfiguriert haben, wird eine Warnmeldung mit der Frage angezeigt, ob Sie den Vorgang fortsetzen mchten. Klicken Sie auf OK. b) Klicken Sie auf SiteMinder-Einzelanmeldung verwenden. c) Geben Sie im Feld Richtlinienserver-Host die Namen der einzelnen Richtlinienserver ein, und klicken Sie auf Hinzufgen. d) Geben Sie fr jeden Richtlinienserver-Host eine Portnummer in die Felder Accounting, Authentifizierung und Autorisierung ein. e) Geben Sie in das Feld Agentname den Agentnamen ein. f) Geben Sie in die Felder von Gemeinsamer geheimer Schlssel den gemeinsamen geheimen Schlssel ein. Stellen Sie sicher, dass der SiteMinder-Administrator die Untersttzung fr 4.x-Agenten aktiviert hat, ungeachtet dessen, welche untersttzte Version von SiteMinder Sie verwenden. Informationen sowie Installationshinweise zu SiteMinder finden Sie in der SiteMinder-Dokumentation. g) Klicken Sie auf Aktualisieren, um die Daten zu speichern und zur Hauptseite der AD-Authentifizierung zurckzukehren.

8.

9.

Geben Sie im Bereich Optionen fr AD-Aliase an, wie neue Aliase der BI-Plattform hinzugefgt und auf dieser aktualisiert werden. a) Whlen Sie im Bereich Optionen fr neuen Alias eine Option fr die Zuordnung neuer Aliase zu EnterpriseKonten aus: Jeden neuen AD-Alias einem vorhandenen Benutzerkonto mit demselben Namen zuweisen Whlen Sie diese Option aus, wenn Sie wissen, dass einige Benutzer ber ein bereits vorhandenes Enterprise-Konto mit demselben Namen verfgen, d.h. vorhandenen Benutzern werden AD-Aliase zugewiesen (die automatische Generierung von Aliasen ist aktiviert). Benutzer ohne Enterprise-Konto oder mit unterschiedlichen Namen fr das Enterprise- und das AD-Konto werden als neue Benutzer hinzugefgt. Neues Benutzerkonto fr jeden neuen AD-Alias erstellen Verwenden Sie diese Option, wenn Sie fr jeden Benutzer ein neues Konto erstellen mchten.

b) Whlen Sie im Bereich Aktualisierungsoptionen fr Aliase eine Option fr die Verwaltung von Aliasaktualisierungen fr Enterprise-Konten aus: Neue Aliase bei der Aliasaktualisierung erstellen Whlen Sie diese Option aus, um fr jeden AD-Benutzer, der der BI-Plattform zugeordnet wurde, automatisch einen neuen Alias zu erstellen. Neue AD-Konten werden fr Benutzer ohne BI-PlattformKonten bzw. fr alle Benutzer hinzugefgt, wenn Sie die Option Neues Benutzerkonto fr jeden neuen AD-Alias erstellen ausgewhlt und auf Aktualisieren geklickt haben. Neue Aliase nur bei der Benutzeranmeldung erstellen Whlen Sie diese Option aus, wenn das zuzuordnende AD-Verzeichnis viele Benutzer umfasst, jedoch nur wenige davon die BI-Plattform verwenden werden. Die Plattform erstellt nicht automatisch Aliase und Enterprise-Konten fr alle Benutzer. Vielmehr werden Aliase (und gegebenenfalls Konten) nur fr Benutzer erstellt, die sich an der BI-Plattform anmelden.

270

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

c) Whlen Sie im Bereich Optionen fr neue Benutzer eine Option zum Erstellen neuer Benutzer aus: Neue Benutzer werden als vordefinierte Benutzer erstellt Neue Benutzerkonten werden fr die Verwendung von Namenslizenzen konfiguriert. Namenslizenzen sind mit bestimmten Benutzern verbunden und ermglichen den Zugriff auf das System auf der Grundlage von Benutzername und Kennwort. Dieser Lizenztyp ermglicht Namenslizenzbenutzern den Zugriff auf das System, unabhngig von der Anzahl der derzeit verbundenen Benutzer. Fr jedes mit dieser Option erstellte Benutzerkonto muss eine Namenslizenz verfgbar sein. Neue Benutzer werden als gleichzeitige Benutzer erstellt Neue Benutzerkonten werden fr die Verwendung von Zugriffslizenzen konfiguriert. Zugriffslizenzen geben die Anzahl der Personen an, die gleichzeitig mit der BI-Plattform verbunden sein knnen. Dieser Lizenztyp ist sehr flexibel, da mit einer geringen Anzahl von Zugriffslizenzen viele Benutzer untersttzt werden knnen. Je nach Hufigkeit und Dauer des Zugriffs auf das System knnen 100 Zugriffslizenzen beispielsweise 250, 500 oder auch 700 Benutzer untersttzen.

10. Klicken Sie auf Zeitgesteuert verarbeiten, um zu konfigurieren, wie AD-Aliasaktualisierungen zeitgesteuert verarbeitet werden. a) Whlen Sie im Dialogfeld Zeitgesteuerte Verarbeitung ein Wiederholungsintervall aus der Liste Objekt ausfhren aus. b) Legen Sie andere Optionen und Parameter der zeitgesteuerten Verarbeitung nach Bedarf fest. c) Klicken Sie auf Zeitgesteuert verarbeiten. Bei der Aliasaktualisierung werden auch die Gruppeninformationen aktualisiert. 11. Legen Sie im Bereich Optionen fr die Attributbindung die Attributbindungsprioritt fr das AD-Plugin fest: a) Aktivieren Sie das Kontrollkstchen Vollstndigen Namen, E-Mail-Adresse und andere Attribute importieren. Die in AD-Konten verwendeten vollstndigen Namen und Beschreibungen werden importiert und mit Benutzerobjekten in der BI-Plattform gespeichert. b) Geben Sie eine Option fr Prioritt der AD-Attributbindung im Verhltnis zu anderen Attributbindungen festlegen an. Wenn die Option auf 1 festgelegt ist, haben AD-Attribute immer dann Vorrang, wenn AD-Plugins und andere Plugins (LDAP und SAP) aktiviert sind. Wenn die Option auf 3 festgelegt ist, haben Attribute von anderen aktivierten Plugins Prioritt. 12. Konfigurieren Sie im Bereich AD-Gruppenoptionen AD-Gruppenaktualisierungen: a) Klicken Sie auf Zeitgesteuert verarbeiten. Das Dialogfeld Zeitgesteuert verarbeiten wird angezeigt. b) Whlen Sie ein Wiederholungsintervall aus der Liste Objekt ausfhren aus. c) Legen Sie andere Optionen und Parameter der zeitgesteuerten Verarbeitung nach Bedarf fest. d) Klicken Sie auf Zeitgesteuert verarbeiten. Das System fhrt die zeitgesteuerte Verarbeitung der Aktualisierung gem den von Ihnen angegebenen Zeitsteuerungsinformationen aus. Die nchste zeitgesteuerte Aktualisierung fr die AD-Gruppenkonten wird unter AD-Gruppenoptionen angezeigt. 13. Whlen Sie im Bereich AD-Aktualisierung auf Abruf eine Option aus, um anzugeben, ob beim Klicken auf Aktualisieren AD-Gruppen oder -Benutzer (oder keine davon) aktualisiert werden: AD-Gruppen jetzt aktualisieren Whlen Sie diese Option aus, wenn beim Klicken auf Aktualisieren mit der Aktualisierung aller zeitgesteuerter AD-Gruppen begonnen werden soll. Die nchste zeitgesteuerte ADGruppenaktualisierung ist unter AD-Gruppenoptionen aufgefhrt. AD-Gruppen und -Aliase jetzt aktualisieren

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

271

Whlen Sie diese Option aus, wenn beim Klicken auf Aktualisieren mit der Aktualisierung aller zeitgesteuerter AD-Gruppen und -Benutzeraliase begonnen werden soll. Die nchsten zeitgesteuerten Aktualisierungen sind unter AD-Gruppenoptionen und Optionen fr AD-Aliase aufgefhrt. AD-Gruppen und -Aliase jetzt nicht aktualisieren Beim Klicken auf Aktualisieren werden keine AD-Gruppen oder -Benutzeraliase aktualisiert.

14. Klicken Sie auf Aktualisieren und dann auf OK.

Deaktivieren von SiteMinder

Wenn Sie die Konfiguration von SiteMinder verhindern oder SiteMinder nach der Konfiguration in der CMC deaktivieren mchten, ndern Sie die Webkonfigurationsdatei fr BI-Launchpad. Deaktivieren von SiteMinder fr Java-Clients Neben der Deaktivierung der SiteMinder-Einstellungen fr das Windows AD-Sicherheits-Plugin mssen die SiteMinder-Einstellungen auch fr die BOE-WAR-Datei auf dem Webanwendungsserver deaktiviert werden. 1. Wechseln Sie zu folgendem Verzeichnis in der BI-Plattform-Installation: <INSTALLVERZ>\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF \config\custom\ 2. 3. ffnen Sie die Datei global.properties. ndern Sie siteminder.enabled in "false". siteminder.enabled=false 4. Speichern Sie Ihre nderungen, und schlieen Sie die Datei.

Die nderung tritt erst in Kraft, wenn BOE.war auf dem Rechner mit dem Webanwendungsserver erneut implementiert wurde. Implementieren Sie die WAR-Datei mit WDeploy erneut auf dem Webanwendungsserver. Weitere Informationen zur Verwendung von WDeploy finden Sie im Handbuch fr die Implementierung von Webanwendungen fr SAP BusinessObjects Business Intelligence.

8.4.7 8.4.7.1

Fehlerbehebung Windows AD-Authentifizierung Fehlerbehebung der Konfiguration

Die folgenden Schritte knnen hilfreich sein, falls bei der Konfiguration von Kerberos Probleme auftreten: Protokollierung aktivieren Java SDK-Kerberos-Konfiguration testen

8.4.7.1.1
1.

So aktivieren Sie die Protokollierung

Whlen Sie im Men Start die Option Programme >Tomcat > Tomcat-Konfiguration.

272

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2. 3.

Klicken Sie auf die Registerkarte Java. Fgen Sie die folgenden Optionen hinzu: -Dcrystal.enterprise.trace.configuration=verbose -sun.security.krb5.debug=true Hierdurch wird eine Protokolldatei in folgendem Speicherort erstellt: C:\Documents and Settings\<user name>\.businessobjects\jce_verbose.log

8.4.7.1.2

So testen Sie die Kerberos-Konfiguration

Fhren Sie zum Testen der Kerberos-Konfiguration den folgenden Befehl aus, wobei servant fr das Dienstkonto und die Domne steht, unter der der CMS ausgefhrt wird, und password fr das Kennwort, das dem Dienstkonto zugeordnet ist. <<InstallDirectory>>\SAP BusinessObjects Enterprise XI 4.0\win64_64\jdk\bin \servact@TESTM03.COM Password Beispiel: C:\Program Files\SAP BusinessObjects\ SAP Business Objects Enterprise XI 4.0\win64_64\jdk\bin\ servact@TESTM03.COM Password Der Domnen- und Dienstprinzipalname muss genau mit dem Domnen- und Dienstprinzipalnamen von Active Directory bereinstimmen. Wenn das Problem weiterhin auftritt, prfen Sie, ob Sie den gleichen Namen eingegeben haben. Beachten Sie, dass beim Namen die Gro- und Kleinschreibung bercksichtigt wird.

8.4.7.1.3 Anmeldefehler aufgrund unterschiedlicher AD UPNund SAM-Namen


Die Active Directory-ID eines Benutzers wurde der BI-Plattform erfolgreich zugeordnet. Trotzdem ist der Benutzer nicht in der Lage, mit der Windows AD-Authentifizierung und Kerberos in folgendem Format eine Anmeldung bei der CMC oder bei BI-Launchpad auszufhren: DOMNE\ABC123 Dieses Problem kann auftreten, wenn der Benutzer in Active Directory mit einem UPN und SAM-Namen eingerichtet wurde, die nicht identisch sind. Die folgenden Beispiele knnen ein Problem verursachen: Der UPN lautet "abc123@firma.com" und der SAM-Name "DOMAIN\ABC123". Der UPN lautet "jschmidt@firma" und der SAM-Name "DOMAIN\janschmidt"

Dieses Problem kann auf zwei Weisen behoben werden: Benutzer melden sich unter Verwendung des UPN-Namens und nicht mit dem SAM-Namen an. Stellen Sie sicher, dass der SAM-Kontoname und der UPN-Name identisch sind.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

273

8.4.7.1.4

Fehler vor der Authentifizierung

Ein Benutzer, der sich zuvor anmelden konnte, kann sich nicht mehr anmelden. Der Benutzer erhlt folgende Fehlermeldung: "Kontoinformationen nicht erkannt." In Tomcat-Fehlerprotokollen finden Sie folgenden Fehler: "Pre-authentication information was invalid (24)" (Vorbesttigungsinformationen waren ungltig). Dieser Fehler kann darin begrndet liegen, dass eine nderung, die in AD am UPN vorgenommen wurde, nicht an die Kerberos-Benutzerdatenbank weitergeleitet wurde. Es ist also mglich, dass die Kerberos-Benutzerdatenbank und die AD-Informationen nicht synchronisiert sind. Um dieses Problem zu beheben, setzen Sie das Benutzerkennwort in AD zurck. Dadurch wird sichergestellt, dass die nderungen ordnungsgem weitergeleitet werden.

Hinweis
Dieses Problem tritt bei J2SE 5.0 nicht auf.

8.5 8.5.1

SAP-Authentifizierung Konfigurieren der SAP-Authentifizierung

In diesem Abschnitt wird erlutert, wie Sie die BI-Plattform-Authentifizierung fr Ihre SAP-Umgebung konfigurieren. Die SAP-Authentifizierung ermglicht es SAP-Benutzern, sich mit ihrem SAP-Benutzernamen und -Kennwort bei der BI-Plattform anzumelden, ohne dass das Kennwort in der BI-Plattform gespeichert wird. Auerdem bietet Ihnen die SAP-Authentifizierung die Mglichkeit, Informationen ber Benutzerrollen in SAP beizubehalten und diese Rolleninformationen in der Plattform zu verwenden, um Rechte fr Administrationsaufgaben oder den Zugriff auf Inhalte zuzuweisen.

Zugreifen auf die SAP-Authentifizierungsanwendung


Sie mssen den Informationsplattformdiensten Informationen ber das SAP-System bereitstellen. Auf eine dedizierte Webanwendung knnen Sie ber das Hauptverwaltungstool der BI-Plattform, die Central Management Console (CMC), zugreifen. Um von der Homepage der CMC darauf zuzugreifen, whlen Sie Authentifizierung.

Authentifizieren von SAP-Benutzern


Mithilfe von Sicherheits-Plugins knnen Sie Vorgehensweisen der BI-Plattform bei der Authentifizierung von Benutzern erweitern und anpassen. Die SAP-Authentifizierung enthlt ein SAP-Sicherheits-Plugin (secSAPR3.dll) fr den Central Management Server der BI-Plattform. Dieses SAP-Sicherheits-Plugin bietet mehrere wichtige Vorteile:

274

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Es bernimmt die Funktion eines Authentifizierungs-Providers, der die Benutzer-Anmeldedaten fr den CMS beim SAP-System verifiziert. Wenn Benutzer sich direkt bei der BI-Plattform anmelden, knnen sie die SAPAuthentifizierung whlen und ihren blichen SAP-Benutzernamen und das zugehrige Kennwort angeben. Die BI-Plattform ermglicht zudem die Anmeldung bei SAP-Systemen unter Verwendung von Enterprise PortalAnmeldetickets. Es erleichtert das Erstellen neuer Benutzerkonten, da Rollen von SAP den BI-Plattform-Benutzergruppen zugeordnet werden knnen, und vereinfacht die Benutzerkontenverwaltung, da Sie den Benutzern und Gruppen in der BI-Plattform Rechte in einheitlicher Weise zuweisen knnen. Es verwaltet die SAP-Rollenauflistungen dynamisch. Wenn Sie der Plattform eine SAP-Rolle zuweisen, knnen sich alle Benutzer, die dieser Rolle angehren, beim System anmelden. Werden anschlieend die Eigenschaften der SAP-Rolle gendert, mssen Sie die Liste in der BI-Plattform nicht aktualisieren oder regenerieren. Die SAP-Authentifizierung umfasst eine Webanwendung zur Konfiguration des Plugins. Auf diese Anwendung knnen Sie ber den Bereich Authentifizierung in der Central Management Console (CMC) zugreifen.

8.5.2

Erstellen von Benutzerkonten fr die BI-Plattform

Das BI-Plattform-System erfordert ein SAP-Benutzerkonto, das dazu berechtigt, auf die SAP-Listen fr die Rollenzugehrigkeit zuzugreifen und SAP-Benutzer zu authentifizieren. Sie bentigen die Kontoanmeldedaten, um die BI-Plattform bei Ihrem SAP-System anzumelden. Eine allgemeine Anleitung zum Erstellen von SAPBenutzerkonten und Zuweisen von Autorisierungen mithilfe von Rollen finden Sie in der SAP BW-Dokumentation. Mit der Transaktion SU01 knnen Sie neues SAP-Benutzerkonto mit dem Namen CRYSTAL erstellen. Mit der Transaktion PFCG knnen Sie eine neue Rolle mit dem Namen CRYSTAL_ENTITLEMENT erstellen. (Bei den Namen handelt es sich lediglich um eine Empfehlung.) ndern Sie die Berechtigung der neuen Rolle, indem Sie Werte fr die folgenden Berechtigungsobjekte festlegen: Berechtigungsobjekt Berechtigung fr den Datenzugriff (S_DATASET) Feld Aktivitt (ACTVT) Physischer Dateiname (FILENAME) Name des ABAP-Programms (PROGRAM) Berechtigungsprfung fr RFCZugriff (S_RFC) Aktivitt (ACTVT) Name des zu schtzenden RFC (RFC_NAME) Wert Lese-, Schreibzugriff (33, 34) * (steht fr Alle) *

16 BDCH, STPA, SUSO, BDL5, SUUS, SU_USER, SYST, SUNI, RFC1, SDIFRUNTIME, PRGN_J2EE, / CRYSTAL/SECURITY Funktionsgruppe (FUGR)

Typ des zu schtzenden RFCObjektes (RFC_TYPE) Anwenderstammpflege: Anwendergruppen (S_USER_GRP) Aktivitt (ACTVT)

Erstellen/Generieren und Anzeigen (03)

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

275

Berechtigungsobjekt

Feld Anwendergruppe in Anwenderstammpflege (CLASS)

Wert *

Hinweis
Um mehr Sicherheit zu gewhrleisten, knnen Sie die Benutzergruppen, deren Mitglieder Zugriff auf die BIPlattform bentigen, auch ausdrcklich auffhren.

Fgen Sie abschlieend den Benutzer CRYSTAL der Rolle CRYSTAL_ENTITLEMENT hinzu.

Tipp
Falls Ihre Systemrichtlinien vorsehen, dass Benutzer ihr Kennwort bei der ersten Anmeldung beim System ndern, melden Sie sich jetzt mit dem Benutzerkonto CRYSTAL an, und geben Sie ein neues Kennwort ein.

8.5.3

Verbinden mit SAP-Berechtigungssystemen

Bevor Sie Rollen importieren oder BW-Inhalt in der BI-Plattform verffentlichen knnen, mssen Sie Informationen ber die SAP-Berechtigungssysteme bereitstellen, in die Sie integrieren mchten. Die BI-Plattform verwendet diese zum Verbinden mit dem SAP-Zielsystem beim Ermitteln der Rollenzugehrigkeiten und Authentifizieren von SAP-Benutzern.

8.5.3.1
1. 2.

Hinzufgen eines SAP-Berechtigungssystems

Wechseln Sie zum Verwaltungsbereich Authentifizierung der CMC. Doppelklicken Sie auf die Verknpfung SAP. Die Einstellungen fr das Berechtigungssystem werden angezeigt.

Tipp
Wird in der Liste Name des logischen Systems bereits ein Berechtigungssystem angezeigt, klicken Sie auf die Schaltflche Neu. 3. 4. Geben Sie in das Feld System die dreistellige System-ID (SID) Ihres SAP-Systems ein. Geben Sie im Feld Client die Clientnummer ein, die die BI-Plattform bei der Anmeldung bei Ihrem SAP-System verwenden muss. Die BI-Plattform kombiniert Ihre System- und Clientdaten und fgen der Liste Name des logischen Systems einen Eintrag hinzu.

276

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

5.

Stellen Sie sicher, dass das Kontrollkstchen Deaktiviert deaktiviert ist.

Hinweis
Das Kontrollkstchen Deaktiviert signalisiert der BI-Plattform, dass ein bestimmtes SAP-System vorbergehend nicht verfgbar ist. 6. Fllen Sie die Felder Message-Server und Anmeldegruppe entsprechend aus, wenn Sie den Lastausgleich so eingerichtet haben, dass die Anmeldung der BI-Plattform ber einen Message-Server erfolgen muss.

Hinweis
Sie mssen die entsprechenden Eingaben in der Datei Dienste auf Ihrem BI-Plattform-Rechner vornehmen, um den Lastausgleich zu aktivieren. Dies ist besonders dann wichtig, wenn die Implementierung sich auf mehrere Computer verteilt. Insbesondere zu bercksichtigen sind die Computer, die als Host fr den CMS dienen, der Webanwendungsserver sowie alle Computer, die Ihre Authentifizierungskonten und -einstellungen verwalten. 7. 8. Wenn Sie keinen Lastausgleich eingerichtet haben (oder wenn die BI-Plattform eine direkte Anmeldung beim SAP-System vornehmen soll), fllen Sie die Felder Anwendungsserver und Systemnummer entsprechend aus. Geben Sie in die Felder Benutzername, Kennwort und Sprache den Benutzernamen, das Kennwort und den Sprachcode fr das SAP-Konto ein, das die BI-Plattform fr die Anmeldung bei SAP benutzen soll.

Hinweis
Diese Anmeldedaten mssen denen des Benutzerkontos entsprechen, das Sie fr die BI-Plattform erstellt haben. 9. Klicken Sie auf Aktualisieren.

Wenn Sie mehrere Berechtigungssysteme hinzufgen, klicken Sie auf die Registerkarte Optionen, um das System festzulegen, das von der BI-Plattform standardmig verwendet wird (also das System, das zur Authentifizierung von Benutzern aufgerufen wird, die sich mit SAP-Anmeldedaten anzumelden versuchen, ohne jedoch ein bestimmtes SAP-System anzugeben). Zugehrige Links Erstellen von Benutzerkonten fr die BI-Plattform [Seite 275]

8.5.3.2 berprfenk, ob das Berechtigungssystem ordnungsgem hinzugefgt wurde


1. 2. Klicken Sie auf die Registerkarte Rollenimport. Whlen Sie den Namen des Berechtigungssystems aus der Liste Name des logischen Systems. Wenn das Berechtigungssystem korrekt hinzugefgt wurde, enthlt die Liste Verfgbare Rollen eine Liste mit Rollen, die fr den Import ausgewhlt werden knnen.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

277

Tipp
Wenn in der Liste Name des logischen Systems keine Rollen sichtbar sind, suchen Sie auf der Seite nach einer entsprechenden Fehlermeldung. Dort erhalten Sie mglicherweise Hinweise darauf, wie das Problem behoben werden kann.

8.5.3.3 Vorbergehendes Deaktivieren einer Verbindung mit einem SAP-Berechtigungssystem


In der CMC knnen Sie eine Verbindung zwischen der BI-Plattform und einem SAP-Berechtigungssystem vorbergehend deaktivieren. Diese Mglichkeit gewhrleistet die Reaktionsfhigkeit der BI-Plattform auch in Situationen wie einer geplanten Ausfallzeit eines SAP-Berechtigungssystems. 1. 2. 3. 4. 5. Wechseln Sie in der CMC zum Verwaltungsbereich Authentifizierung. Doppelklicken Sie auf die Verknpfung SAP. Whlen Sie in der Liste Name des logischen Systems das System aus, das Sie deaktivieren mchten. Aktivieren Sie das Kontrollkstchen Deaktiviert. Klicken Sie auf Aktualisieren.

8.5.4

Einstellen von SAP-Authentifizierungsoptionen

Die SAP-Authentifizierung umfasst eine Reihe von Optionen, die Sie bei der Integration der BI-Plattform in Ihr SAP-System angeben knnen. Zu diesen Optionen zhlen: Aktivieren oder Deaktivieren der SAP-Authentifizierung Festlegen der Verbindungseinstellungen Verknpfen von importierten Benutzern mit BI-Plattform-Lizenzmodellen. Konfigurieren der Einzelanmeldung beim SAP-System

8.5.4.1 ein
1. 2.

So richten Sie die SAP-Authentifizierungsoptionen

Doppelklicken Sie im Verwaltungsbereich Authentifizierung der CMC auf die Verknpfung SAP, und klicken Sie auf die Registerkarte Optionen. berprfen Sie die Einstellungen, und ndern Sie sie, falls erforderlich: Einstellung
SAP-Authentifizierung aktivieren

Beschreibung
Deaktivieren Sie dieses Kontrollkstchen, wenn Sie die SAP-Authentifizierung vollstndig deaktivieren mchten.

278

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Einstellung

Beschreibung
(Zur Deaktivierung der SAP-Authentifizierung fr ein bestimmtes SAP-System aktivieren Sie das betreffende Kontrollkstchen Deaktiviert auf der Registerkarte Berechtigungssysteme.)

Stamm des Inhaltsordners

Legen Sie fest, an welcher Stelle die BI-Plattform mit der Replikation der BW-Ordnerstruktur in der CMC und im BILaunchpad beginnen soll. Die Standardvorgabe ist /SAP/

2.0, allerdings knnen Sie auch einen anderen Ordner


angeben. Um den Ordner zu wechseln, mssen Sie den Namen sowohl in der CMC als auch in der Workbench zur Content-Verwaltung ndern. Standardsystem Whlen Sie das SAP-Berechtigungssystem aus, das die BIPlattform als Standardsystem verwendet (d.h. das System, das zur Authentifizierung von Benutzern aufgerufen wird, die sich mit SAP-Anmeldedaten anzumelden versuchen, ohne jedoch ein bestimmtes SAP-System anzugeben).

Hinweis
Wenn Sie ein Standardsystem festlegen, mssen Benutzer dieses Systems nicht die System-ID und den Client eingeben, wenn sie aus Clienttools wie Live Office oder Universe Designer mithilfe der SAPAuthentifizierung eine Verbindung herstellen. Wenn beispielsweise "SYS~100" als Standardsystem festgelegt wird, kann sich "S2YS~100/user1" bei Auswahl der SAP-Authentifizierung als Benutzer1 anmelden. Max. Anzahl fehlgeschlagener Versuche des Zugriffs auf das Geben Sie an, wie viele Versuche die BI-Plattform Berechtigungssystem unternehmen soll, eine Verbindung zu einem SAP-System fr Authentifizierungsanfragen herzustellen. Wenn Sie als Wert -1 festlegen, kann die BI-Plattform beliebig oft versuchen, eine Verbindung zum Berechtigungssystem herzustellen. Bei Angabe des Werts 0 kann die BIPlattform nur einmal versuchen, eine Verbindung zum Berechtigungssystem herzustellen.

Hinweis
Verwenden Sie diese Einstellung zusammen mit Berechtigungssystem fr [Sekunden] deaktiviert lassen, um festzulegen, wie die BI-Plattform mit vorbergehend nicht verfgbaren SAP-Berechtigungssystemen umgehen soll. Das System ermittelt ber diese Einstellungen, wann die Kommunikation mit einem nicht mehr verfgbaren SAP-System abgebrochen wird und wann die Kommunikation mit diesem System wieder aufgenommen wird. Berechtigungssystem fr [Sekunden] deaktiviert lassen Geben Sie an, wie viele Sekunden die BI-Plattform vor einem Neuversuch zur Authentifizierung der Benutzer bei einem SAP-System warten sollen. Wenn Sie z.B. 3 fr Max.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

279

Einstellung

Beschreibung
erfolglose Zugriffe auf das Berechtigungssystem festlegen, lsst die BI-Plattform maximal drei erfolglose Versuche zur Authentifizierung von Benutzern fr ein bestimmtes SAPSystem zu. Beim vierten fehlgeschlagenen Versuch hrt das System auf zu versuchen, die Benutzer fr den angegebenen Zeitraum fr das System zu authentifizieren.

Max. gleichzeitige Verbindungen pro System

Geben Sie an, wie viele Verbindungen zum SAP-System gleichzeitig geffnet sein sollen. Wenn Sie in dieses Feld beispielsweise den Wert 2 eingeben, lsst die BI-Plattform zwei separate Verbindungen zu SAP geffnet. Geben Sie an, wie viele Anmeldungen beim SAP-System pro Verbindung zulssig sind. Wenn Sie beispielsweise den Wert 2 fr Max. gleichzeitige Verbindungen pro System und den Wert 3 fr Anzahl der Verwendungen pro Verbindung festgelegt haben, wird eine Verbindung, ber die drei Anmeldungen vorgenommen wurden, von der BI-Plattform geschlossen und wieder neu gestartet. Geben Sie an, ob neue Benutzerkonten fr die Verwendung von Zugriffslizenzbenutzer-Lizenzen oder Namenslizenzen konfiguriert werden sollen. Zugriffslizenzen geben die Anzahl der Personen an, die gleichzeitig mit der BIPlattform verbunden sein knnen. Dieser Lizenztyp ist sehr flexibel, da mit einer geringen Anzahl von Zugriffslizenzen viele Benutzer untersttzt werden knnen. Je nach Hufigkeit und Dauer des Zugriffs auf das System knnen 100 Zugriffslizenzen beispielsweise 250, 500 oder auch 700 Benutzer untersttzen. Namenslizenzen sind mit bestimmten Benutzern verbunden und ermglichen den Zugriff auf das System auf der Grundlage von Benutzername und Kennwort. Dieser Lizenztyp ermglicht Benutzern den Zugriff auf das System unabhngig von der Anzahl der derzeit verbundenen Benutzer.

Anzahl der Verwendungen pro System

Zugriffslizenzbenutzer und Namenslizenzbenutzer

Hinweis
Die hier ausgewhlte Option bewirkt keine nderung der Anzahl oder des Typs der in der BI-Plattform installierten Benutzerlizenzen. Die entsprechenden Lizenzen mssen im System verfgbar sein. Vollstndigen Namen, E-Mail-Adresse und andere Attribute importieren Whlen Sie diese Option aus, um eine Priorittsstufe fr das SAP-Authentifizierungsplugin festzulegen. Die in den SAP-Konten verwendeten vollstndigen Namen und Beschreibungen werden importiert und mit Benutzerobjekten in der BI-Plattform gespeichert. Gibt eine Prioritt fr die Bindung von SAPBenutzerattributen (vollstndiger Name und E-MailAdresse) an. Wenn die Option auf 1 festgelegt ist, haben SAP-Attribute immer dann Vorrang, wenn SAP-Plugins und andere Plugins (Windows AD und LDAP) aktiviert sind. Wenn die Option auf 3 festgelegt ist, haben Attribute von anderen aktivierten Plugins Prioritt.

Prioritt der SAP-Attributbindung im Verhltnis zu anderen Attributbindungen festlegen

280

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Verwenden Sie die folgenden Optionen, um den SAP-Einzelanmeldungsdienst zu konfigurieren: Einstellung


System-ID

Beschreibung
Die System-ID, die von der BI-Plattform an das SAPSystem bergeben wird, wenn der SAPEinzelanmeldungsdienst durchgefhrt wird. Laden Sie mithilfe dieser Schaltflche die erzeugte Schlsselspeicherdatei hoch, um die SAPEinzelanmeldung zu aktivieren. Sie knnen auch den vollstndigen Pfad zur Datei im zugehrigen Feld manuell eingeben. Geben Sie das fr den Zugriff auf die Schlsselspeicherdatei erforderliche Kennwort ein. Geben Sie das fr den Zugriff auf das der Schlsselspeicherdatei entsprechende Zertfikat erforderliche Kennwort ein. Das Zertifikat ist im SAPSystem gespeichert. Geben Sie den fr den Zugriff auf die Schlsselspeicherdatei erforderlichen Alias ein.

Durchsuchen

Kennwort fr den Schlsselspeicher Kennwort fr den privaten Schlssel

Alias des privaten Schlssels

3.

Klicken Sie auf Aktualisieren.

Zugehrige Links Konfigurieren der SAP-Authentifizierung [Seite 274]

8.5.4.2
1. 2. 3.

ndern des Stamms im Inhaltsordner

Wechseln Sie zum Verwaltungsbereich Authentifizierung der CMC. Doppelklicken Sie auf die Verknpfung SAP. Klicken Sie auf Optionen, und geben Sie den Namen des Ordners in das Feld Stamm des Inhaltsordners ein. Der hier eingegebene Ordnername entspricht dem Ordner, von dem aus die BI-Plattform mit der Replikation der BW-Ordnerstruktur beginnen soll.

4. 5. 6. 7.

Klicken Sie auf Aktualisieren. Erweitern Sie in der BW-Workbench zur Content-Verwaltung Enterprise-System. Klappen Sie Verfgbare Systeme auf, und doppelklicken Sie auf das System, mit dem die BI-Plattform verbunden wird. Klicken Sie auf die Registerkarte Layout, und geben Sie unter Inhaltsbasisordner den Ordner ein, der in der BIPlattform als SAP-Stammordner verwendet werden soll (z.B. /SAP/2.0/).

8.5.5

Importieren von SAP-Rollen

Durch den Import von SAP-Rollen in die BI-Plattform knnen Rollenmitglieder sich mit ihren blichen SAPAnmeldeinformationen am System anmelden. Auerdem ist die Einzelanmeldung aktiviert, so dass SAP-Benutzer automatisch bei der BI-Plattform angemeldet werden, sobald sie von innerhalb des SAP GUI oder eines SAP Enterprise Portals auf Berichte zugreifen.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

281

Hinweis
Oft gibt es viele Anforderungen fr die Aktivierung der Einzelanmeldung. In einigen Fllen ist es erforderlich, einen SSO-fhigen Treiber oder eine SSO-fhige Anwendung zu verwenden und sicherzustellen, dass der Server und der Webserver sich in derselben Domne befinden Fr jede importierte Rolle erstellt die BI-Plattform eine Gruppe. Die Namen fr die einzelnen Gruppen werden unter Bercksichtigung der folgenden Konventionen gebildet: <System-ID~Clientnumner@Rollenname>. Die neuen Gruppen knnen Sie im Verwaltungsbereich Benutzer und Gruppen der CMC anzeigen. Anhand dieser Gruppen kann auch die Objektsicherheit innerhalb der BI-Plattform definiert werden. Ziehen Sie bei der Konfiguration der BI-Plattform fr die Verffentlichung und beim Importieren von Rollen in das System drei Hauptkategorien von Benutzern in Betracht: BI-Plattform-Administratoren Enterprise-Administratoren konfigurieren das System fr die Verffentlichung von Inhalten aus SAP. Sie importieren die entsprechenden Rollen, erstellen die bentigten Ordner und weisen diesen Rollen und Ordnern in der BI-Plattform Rechte zu. Content Publisher Content Publisher sind diejenigen Benutzer, welche die Rechte zum Verffentlichen von Inhalten fr Rollen besitzen. Der Sinn dieser Benutzerkategorie besteht darin, normale Rollenmitglieder von denjenigen Benutzern zu unterscheiden, die ber Rechte zum Verffentlichen von Berichten verfgen. Rollenmitglieder Rollenmitglieder sind Benutzer, die Rollen angehren, welche Inhalte umfassen. Das bedeutet, dass diese Benutzer zu Rollen gehren, fr welche Berichte verffentlicht werden. Sie besitzen Rechte zum Anzeigen, zum Anzeigen auf Abruf und zum zeitgesteuerten Verarbeiten fr alle Berichte, die fr diejenigen Rollen verffentlicht wurden, denen sie angehren. Normale Rollenmitglieder knnen jedoch weder neue Inhalte noch aktualisierte Versionen von Inhalten verffentlichen.

Vor der ersten Verffentlichung mssen Sie zunchst alle Rollen, die Inhalte verffentlichen, und alle Rollen, die Inhalte umfassen, in die BI-Plattform importieren.

Hinweis
Es wird dringend empfohlen, die Aktivitten der einzelnen Rollen getrennt zu halten. Beispielsweise ist es zwar mglich, von einer Administratorrolle aus zu verffentlichen, es sollte jedoch nur von Content Publisher-Rollen aus verffentlicht werden. Die Funktion von Rollen, die Inhalte verffentlichen, besteht auerdem nur darin zu definieren, welche Benutzer Inhalte verffentlichen knnen. Diese Rollen sollten daher keine Inhalte enthalten; Content Publisher sollten in Rollen verffentlichen, die Inhalte umfassen und normalen Rollenmitgliedern zugnglich sind. Zugehrige Links Funktionsweise von Rechten in der BI-Plattform [Seite 108] Verwalten von Sicherheitseinstellungen fr Objekte in der CMC [Seite 117]

8.5.5.1
1.

Importieren von SAP-Rollen

Doppelklicken Sie im Verwaltungsbereich Authentifizierung der CMC auf den Link SAP.

282

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2.

Whlen Sie auf der Registerkarte Optionen je nach Lizenzvereinbarung entweder Zugriffslizenzbenutzer oder Namenslizenzbenutzer aus. Beachten Sie, dass Sie mit der hier ausgewhlten Option keine nderung an der Anzahl bzw. dem Typ der in der BI-Plattform installierten Benutzerlizenzen vornehmen. Die entsprechenden Lizenzen mssen im System verfgbar sein.

3. 4. 5. 6.

Klicken Sie auf Aktualisieren. Whlen Sie auf der Registerkarte Rollenimport aus der Liste Name des logischen Systems das Berechtigungssystem aus. Whlen Sie unter Verfgbare Rollen die zu importierenden Rollen aus, und klicken Sie auf Hinzufgen. Klicken Sie auf Aktualisieren.

8.5.5.2 berprfen, ob Rollen und Benutzer ordnungsgem importiert wurden


1. 2. Sie mssen den Benutzernamen und das Kennwort eines SAP-Benutzers kennen, der einer der Rollen angehrt, die Sie der BI-Plattform gerade zugeordnet haben. Fr Java-BI-Launchpad rufen Sie http://<Webserver>:<Portnummer>/BOE/BI auf. Ersetzen Sie <Webserver> durch den Namen des Webservers und <Portnummer> durch die Portnummer, die fr die BI-Plattform eingerichtet wurde. Mglicherweise bentigen Sie von Ihrem Administrator den Namen des Webservers, die Portnummer oder die genaue URL. 3. Whlen Sie in der Liste Authentifizierungstyp den Eintrag SAP aus.

Hinweis
Die Liste Authentifizierungstyp ist im BI-Launchpad standardmig ausgeblendet. Der Administrator muss sie in der Datei BIlaunchpad.properties aktivieren und den Webanwendungsserver neu starten. 4. 5. 6. Geben Sie das SAP-System und den Systemclient ein, an dem Sie sich anmelden mchten. Geben Sie den Benutzernamen und das Kennwort eines zugeordneten Benutzers ein. Klicken Sie auf Anmelden. Sie werden bei BI-Launchpad als der ausgewhlte Benutzer angemeldet.

8.5.5.3

Aktualisieren von SAP-Rollen und -Benutzern

Nach der Aktivierung der Oracle EBS-Authentifizierung mssen regelmige Aktualisierungen von zugeordneten Rollen, die in die BI-Plattform importiert wurden, zeitgesteuert verarbeitet und ausgefhrt werden. Dadurch ist gewhrleistet, dass aktualisierte SAP-Rolleninformationen in BI-Plattform genau widergespiegelt werden. Fr die Ausfhrung und zeitgesteuerte Verarbeitung von Aktualisierungen fr SAP- Rollen stehen zwei Optionen zur Verfgung: Nur Rollen aktualisieren: Bei Verwendung dieser Option werden nur die Verknpfungen zwischen den aktuell zugeordneten Rollen aktualisiert, die in die BI-Plattform importiert wurden. Es wird empfohlen, diese Option nur dann zu verwenden, wenn Sie hufig Aktualisierungen ausfhren mssen und Bedenken hinsichtlich der

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

283

Systemressourcennutzung haben. Wenn Sie nur SAP-Rollen aktualisieren, werden keine neuen Benutzerkonten erstellt. Rollen und Aliase aktualisieren: Bei Verwendung dieser Option werden nicht nur Verknpfungen zwischen Rollen aktualisiert, sondern auch neue Benutzerkonten in der BI-Plattform fr Benutzeraliase erstellt, die zu Rollen im SAP-System hinzugefgt wurden.

Hinweis
Wenn Sie bei der Aktivierung der SAP-Authentifizierung nicht angegeben haben, dass Benutzeraliase automatisch fr Aktualisierungen erstellt werden sollen, werden keine Konten fr neue Aliase erstellt.

8.5.5.3.1 Zeitgesteuertes Verarbeiten von Aktualisierungen fr SAP-Rollen


Nachdem Sie Rollen in der BI-Plattform zugeordnet haben, mssen Sie angeben, wie das System diese Rollen aktualisiert. 1. 2. Klicken Sie auf die Registerkarte Benutzeraktualisierung. Klicken Sie im Bereich Nur Rollen aktualisieren oder Rollen und Aliase aktualisieren auf Zeitgesteuert verarbeiten.

Tipp
Um sofort eine Aktualisierung durchzufhren, klicken Sie auf Jetzt aktualisieren.

Tipp
Whlen Sie Nur Rollen aktualisieren, wenn Sie regelmige Aktualisierungen durchfhren mchten oder Bedenken hinsichtlich der Systemressourcen haben. Das System bentigt mehr Zeit, um sowohl Rollen als auch Aliase zu aktualisieren. Das Dialogfeld Wiederholung wird angezeigt. 3. Whlen Sie eine Option in der Liste Objekt ausfhren aus, und geben Sie die Zeitsteuerungsinformationen ein. Folgende Wiederholungsmuster stehen zur Verfgung: Wiederholungsmuster Stndlich Tglich Beschreibung Die Aktualisierung wird stndlich ausgefhrt. Sie legen die Startzeit sowie Anfangs- und Enddatum fr das Objekt fest. Die Aktualisierung wird tglich oder alle n angegebenen Tage ausgefhrt. Sie knnen die Ausfhrungszeit sowie Anfangs- und Enddatum fr das Objekt festlegen. Die Aktualisierung wird wchentlich ausgefhrt. Es kann einmal die Woche oder mehrmals wchentlich ausgefhrt werden. Sie knnen festlegen, an welchen Tagen und zu welcher Uhrzeit das Objekt

Wchentlich

284

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Wiederholungsmuster

Beschreibung ausgefhrt wird und das Anfangs- und Enddatum der Ausfhrung bestimmen.

Monatlich

Die Aktualisierung wird einmal monatlich oder alle n Monate ausgefhrt. Sie knnen die Ausfhrungszeit sowie Anfangs- und Enddatum festlegen. Die Aktualisierung wird an einem bestimmten Tag des Monats ausgefhrt. Sie knnen festlegen, an welchem Tag des Monats und zu welcher Uhrzeit die Aktualisierung ausgefhrt wird, sowie Anfangsund Enddatum der Ausfhrung bestimmen. Die Aktualisierung wird jeden Monat am ersten Montag ausgefhrt. Sie knnen die Ausfhrungszeit sowie Anfangs- und Enddatum festlegen. Die Aktualisierung wird am letzten Tag jedes Monats ausgefhrt. Sie knnen die Ausfhrungszeit sowie Anfangs- und Enddatum festlegen. Die Aktualisierung wird an einem bestimmten Tag einer bestimmten Woche im Monat ausgefhrt. Sie knnen die Ausfhrungszeit sowie Anfangs- und Enddatum festlegen. Die Aktualisierung wird zu den Terminen ausgefhrt, die in einem zuvor erstellten Kalender festgelegt wurden.

Am n-ten Tag des Monats

Am ersten Montag des Monats

Am letzten Tag des Monats Tag x der n-ten Woche des Monats

Kalender 4.

Klicken Sie auf Zeitgesteuert verarbeiten. Auf der Registerkarte Benutzeraktualisierung wird das Datum der nchsten zeitgesteuert verarbeiteten Rollenaktualisierung angezeigt.

Hinweis
Sie knnen die nchste zeitgesteuert verarbeitete Aktualisierung abbrechen, indem Sie im Bereich Nur Rollen aktualisieren oder Rollen und Aliase aktualisieren auf Geplante Aktualisierungen abbrechen klicken.

8.5.6 Konfigurieren der Secure Network Communication (SNC)


In diesem Abschnitt wird die Konfiguration von SNC im Rahmen des Einrichtens der SAP-Authentifizierung fr die BI-Plattform beschrieben. Vor dem Einrichten der Vertrauenswrdigkeit zwischen den SAP- und BI-Plattform-Systemen mssen Sie sicherstellen, dass der SIA so konfiguriert wurde, dass er unter einem fr SNC eingerichteten Konto gestartet und ausgefhrt wird. Auerdem mssen Sie Ihr SAP-System so konfigurieren, dass es der BI-Plattform vertraut. Beachten Sie dieAnweisungen im Abschnitt Konfigurieren von SAP fr serverseitiges Vertrauen im Kapitel Ergnzende SAP BusinessObjects Enterprise-Konfigurationen fr ERP-Umgebungen dieses Handbuchs.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

285

8.5.6.1

Serverseitiges Vertrauen bei SAP berblick

Dieser Abschnitt beschreibt die Vorgehensweise bei der Konfiguration des serverseitigen Vertrauens zwischen SAP Web Application Servern (Version 6.20 und hher) und SAP BusinessObjects Enterprise. Sie mssen ein serverseitiges Vertrauen einrichten, wenn Sie Berichtsbursting in mehreren Arbeitsgngen verwenden (fr Verffentlichungen, bei denen die Berichts-Query vom Kontext des Anwenders abhngt). Zum serverseitigen Vertrauen gehrt auch eine Identittsmaskierung ohne Kennworteingabe. Um die Identitt eines SAP-Anwenders ohne Angabe eines Kennworts anzunehmen, muss ein Anwender von SAP mithilfe einer sichereren Methode als der blichen Anwendername- und Kennworteingabe identifiziert werden. (Ein SAPAnwender mit dem Autorisierungsprofil SAP_ALL kann nicht die Identitt eines anderen SAP-Anwenders annehmen, ohne dessen Kennwort zu kennen.)

Einrichten des serverseitigen Vertrauens mithilfe der kostenlosen SAP Cryptographic Library
Um ein serverseitiges Vertrauen fr SAP BusinessObjects Enterprise mithilfe der kostenlosen SAP Cryptographic Library zu ermglichen, mssen Sie die relevanten Server unter Verwendung von Anmeldedaten ausfhren, die durch einen registrierten SNC-Provider (Secure Network Communication) authentifiziert werden. Die Anmeldedaten werden von SAP so konfiguriert, dass eine Identittsmaskierung ohne Kennwort mglich ist. Fr SAP BusinessObjects Enterprise mssen Sie die Server, die am Berichtsbursting beteiligt sind, unter Verwendung der SNC-Anmeldedaten ausfhren, z.B. den Adaptive Job Server. Zum Konfigurieren des serverseitigen Vertrauens ist auerdem eine 32-Bit-SNC-Verschlsselungsbibliothek erforderlich. Sie knnen hierfr eine SAP Cryptographic Library (fr Windows und Unix) von der SAP-Website herunterladen. Die SAP Cryptographic Library kann nur zum Einrichten des serverseitigen Vertrauens verwendet werden. Informationen ber die Cryptographic Library finden Sie auf der SAP-Website in den SAP-Hinweisen 711093, 597059 und 397175. Dem SAP-Server und SAP BusinessObjects Enterprise mssen Zertifikate zugewiesen sein, die zum gegenseitigen Nachweis der Identitt dienen. Jeder Server verfgt ber ein eigenes Zertifikat und eine Liste von Zertifikaten fr vertrauenswrdige Parteien. Um das serverseitige Vertrauen zwischen SAP und SAP BusinessObjects Enterprise zu konfigurieren, mssen Sie eine kennwortgeschtzte Gruppe von Zertifikaten erstellen. Eine solche Gruppe wird als "Persnliche Sicherheitsumgebung" (Personal Security Environment, PSE) bezeichnet. In diesem Dokument wird beschrieben, wie Sie solche PSEs erstellen und verwalten und wie Sie sie auf sichere Weise den SAP BusinessObjects Enterprise-Verarbeitungsservern zuweisen.

Client- und Server-SNC


Beim Client-SNC wird einem oder mehreren SAP-Anwendernamen in SU01 eine SNC-Namens-ID zugewiesen. Wird eine Anmeldeanforderung gesendet, wird der SNC-Name zusammen mit dem SAP-Namen an das SAPSystem weitergeleitet, es wird jedoch kein Kennwort gesendet. Wenn der SNC-Name zum angegebenen SAPNamen passt, wird die Anmeldung zugelassen. Im Folgenden wird ein clientseitiger Anmelde-String fr eine direkte Anmeldung beim Anwendungshost gezeigt. ASHOST =myserver.mydomain SYSNR=37 CLIENT=066 LANG=EN USER=USER123 SNC_MODE=1 SNC_QOP=9 SNC_LIB="/usr/local/lib/libsapcrypto.so"

286

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

SNC_PARTNERNAME="p:CN=TheServer, OU=Dept., O=TheCompany, C=FR" SNC_MYNAME="p:CN=TheUser, O=TheCompany, C=US" Damit dieser Anmeldeversuch erfolgreich ist, muss der SAP-Anwender USER123 p:CN=TheUser, O=TheCompany, C=US in SU01 zugeordnet werden. Beim serverseitigen SNC ist es dagegen nicht erforderlich, die SNC-Namens-ID und den SAP-Anwendernamen einander ausdrcklich zuzuordnen. Der SNC-Name wird stattdessen in der Transaktion SNC0 konfiguriert, damit eine Impersonation-hnliche Anmeldung fr beliebige Anwender mglich wird, ohne dass das Kennwort des jeweiligen Anwenders bentigt wird. Beispiel: ASHOST =myserver.mydomain SYSNR=37 CLIENT=066 LANG=EN SNC_MODE=1 SNC_QOP=9 SNC_LIB="/usr/local/lib/libsapcrypto.so" SNC_PARTNERNAME="p:CN=TheServer, OU=Dept., O=TheCompany, C=FR" SNC_MYNAME="p:CN=TheUser, O=TheCompany, C=US" EXTIDTYPE=UN EXTIDDATA=USER123 Die serverseitige SNC-Anmeldung mit Impersonation (oder Anmeldung ber externe ID) ist wesentlich leistungsstrker als die clientseitige. Dieser Anmeldungstyp ermglicht den Zugriff auf jedes beliebige SAPAnwenderkonto im System. Andere Optionen fr die Anmeldung mit externer ID sind Logon-Tickets und X.509Client-Zertifikate.

SAP BusinessObjects Enterprise-Serverzustndigkeit


Bestimmte SAP BusinessObjects Enterprise-Server sind fr die SAP-Integration in Bezug auf die Einzelanmeldung (SSO) von Bedeutung. Die folgende Tabelle zeigt diese Server und den SNC-Typ, den diese fr bestimmte Aufgabenbereiche bentigen. Server
Webanwendungsserver

SNC-Typ
Client Server

Aufgabenbereich
Rollenliste fr SAP-Authentifizierung Auswahllisten und Personalisierung fr dynamische Parameter in Crystal Reports Kennwort, Ticket, berprfen der Zugehrigkeit zur Rolle, Anwenderlisten Crystal-Reports-Anzeige auf Abruf Zeitgesteuerte Verarbeitung von Crystal Reports Anzeige und zeitgesteuerte Verarbeitung von Web-IntelligenceBerichten und Eingabeaufforderungen mit Wertelisten (LOV) Stufe Detail

CMS Page Server Job Server Web Intelligence Processing Server

Client Server Server Server

Multi-Dimensional Analysis Service

Server

Hinweis
Fr den Webanwendungsserver und den CMS wird Client-SNC verwendet. Sie bentigen daher eine explizite Zuordnung des SNC-Namens zum SAP-Benutzernamen. Diese wird in einer der Transaktionen SU01 oder SM30 fr die Tabelle USRACL festgelegt.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

287

8.5.6.2

Konfigurieren von SAP fr serverseitiges Vertrauen

Sie mssen SNC zur Verwendung mit SAP BusinessObjects Enterprise einrichten. Die serverseitige Vertrauensstellung gilt nur fr Crystal-Reports- und Web-Intelligence-Berichte, die auf Universen (.unv) basieren. Weitere Informationen oder hilfreiche Hinweise zur Fehlerbehebung finden Sie in der SAP-Dokumentation, die mit dem SAP-Server bereitgestellt wurde.

8.5.6.2.1
1.

Konfigurieren von SAP fr serverseitiges Vertrauen

Laden Sie vom SAP Marketplace die SAP Cryptographic Library fr alle relevanten Plattformen herunter.

Hinweis
Weitere Informationen ber die Cryptographic Library finden Sie auf der SAP-Website in den SAPHinweisen 711093, 597059 und 397175. 2. Stellen Sie sicher, dass Sie ber Administrator-Anmeldedaten fr SAP und fr den Rechner, auf dem SAP ausgefhrt wird, verfgen sowie ber Administrator-Anmeldedaten fr SAP BusinessObjects Enterprise und den (bzw. die) Rechner, auf dem es ausgefhrt wird. Kopieren Sie die SAP Cryptographic Library und das SAPGENPSE-Tool auf dem SAP-Rechner in das folgende Verzeichnis (unter Windows): <Laufwerk>:\usr\sap\<<SID>>\SYS\exe\run\. Suchen Sie die Datei "ticket", die zusammen mit der SAP Cryptographic Library installiert wurde, und kopieren Sie sie in das folgende Verzeichnis (unter Windows): <Laufwerk>:\usr\sap\<<SID>> \<instance>\sec\. 5. Erstellen Sie eine Umgebungsvariable mit dem Namen <SECUDIR>, die auf das Verzeichnis verweist, in dem sich das Ticket befindet.

3. 4.

Hinweis
Diese Variable muss fr den Anwender verfgbar sein, unter dem der disp+work-Prozess von SAP ausgefhrt wird. 6. 7. Wechseln Sie in der SAP GUI zur Transaktion RZ10, und ndern Sie das Instanzprofil in den Modus Extended maintenance (Erweiterte Verwaltung). Verweisen Sie SAP-Profilvariablen im Profilbearbeitungsmodus auf die Cryptographic Library, und geben Sie dem SAP-System einen definierten Namen. Diese Variablen sollten auf der LDAP-Namenskonvention beruhen: Tag CN Bedeutung
Common Name (blicher Name)

Beschreibung
Der alltgliche Name des Zertifikatsbesitzers.

OU

Organizational Unit (Organisationseinheit)

Z. B. "PG" fr "Produktgruppe".

288

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Tag O

Bedeutung
Unternehmen

Beschreibung
Der Name des Unternehmens, fr das das Zertifikat ausgegeben wurde.

Land

Das Land, in dem sich das Unternehmen befindet.

Z. B. fr R21: p:CN=R21, OU=PG, O=BOBJ, C=CA

Hinweis
Hinweis: Das Prfix p: steht fr die SAP Cryptographic Library. Es ist erforderlich, wenn innerhalb von SAP auf den definierten Namen (DN) verwiesen wird, ist jedoch beim berprfen von Zertifikaten in STRUST oder mithilfe von SAPGENPSE nicht sichtbar. 8. Geben Sie die folgenden Profilwerte ein, und ersetzen Sie sie ggf. mit den Werten fr Ihr SAP-System: Profilvariable ssf/name ssf/ssfapi_lib sec/libsapsecu snc/gssapi_lib snc/identity/as 9. Starten Sie die SAP-Instanz neu. Wert SAPSECULIB
Vollstndiger Pfad zur SAP Cryptographic Library Vollstndiger Pfad zur SAP Cryptographic Library Vollstndiger Pfad zur SAP Cryptographic Library Definierter Name (DN) des SAP-Sytems

10. Wenn das System wieder ausgefhrt wird, melden Sie sich an, und wechseln Sie zur Transaktion STRUST, die nun ber zustzliche Eintrge fr SNC und SSL verfgen sollte. 11. Klicken Sie mit der rechten Maustaste auf den SNC-Knoten, und klicken Sie dann auf Erstellen. Die in RZ10 angegebene Identitt sollte nun angezeigt werden. 12. Klicken Sie auf OK. 13. Klicken Sie auf das Sperrsymbol, um fr die SNC-PSE ein Kennwort festzulegen.

Hinweis
Bewahren Sie dieses Kennwort sicher auf. Sie werden bei jedem Anzeigen oder Bearbeiten der SNC-PSE von STRUST nach diesem Kennwort gefragt. 14. Speichern Sie die nderungen.

Hinweis
Wenn Sie Ihre nderungen nicht speichern, wird der Anwendungsserver beim Aktivieren von SNC nicht wieder gestartet. 15. Kehren Sie zur Tansaktion RZ10 zurck, und geben Sie die brigen SNC-Profilparameter ein:

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

289

Profilvariable snc/accept_insecure_rfc snc/accept_insecure_r3int_rfc snc/accept_insecure_gui snc/accept_insecure_cpic snc/permit_insecure_start snc/data_protection/min snc/data_protection/max snc/enable

Parameter 1 1 1 1 1 1 3 1

Das niedrigste Schutzniveau umfasst nur eine Authentifizierung (1), das hchste Niveau (3) steht fr Datenschutz (3). Der Wert snc/data_protection/use gibt an, dass in diesem Fall nur Authentifizierung verwendet wird. Er kann jedoch auch auf (2) fr Integritt, auf (3) fr Datenschutz und auf (9) fr maximal verfgbaren Schutz gesetzt werden. Die Werte snc/accept_insecure_rfc, snc/ accept_insecure_r3int_rfc, snc/accept_insecure_gui und snc/accept_insecure_cpic sind auf (1) gesetzt und stellen sicher, dass vorherige (und mglicherweise nicht sichere) Kommunikationmethoden nach wie vor zulssig sind. 16. Starten Sie das SAP-System neu. Sie mssen nun SAP BusinessObjects Enterprise fr serverseitiges Vertrauen konfigurieren.

8.5.6.3 Konfigurieren von SAP BusinessObjects Enterprise fr serverseitiges Vertrauen


Fhren Sie die folgenden Schritte aus, um SAP BusinessObjects Enterprise fr serverseitiges Vertrauen zu konfigurieren. Beachten Sie, dass diese Schritte auf Windows basieren. Da jedoch das SAP-Tool ein Befehlszeilentool ist, sind die unter Unix auszufhrenden Schritte nahezu identisch. 1. 2. 3. 4. 5. 6. Richten Sie die Umgebung ein. Generieren Sie eine persnliche Sicherheitsumgebung (Personal Security Environment, PSE). Konfigurieren Sie SAP BusinessObjects Enterprise-Server. Konfigurieren Sie den PSE-Zugriff. Konfigurieren Sie die SNC-Einstellungen fr die SAP-Authentifizierung. Richten Sie dedizierte SAP-Servergruppen ein.

Zugehrige Links So richten Sie die Umgebung ein [Seite 291] Erstellen einer PSE [Seite 291] Konfigurieren von SAP BusinessObjects Enterprise-Servern [Seite 292] Konfigurieren des PSE-Zugriffs [Seite 293]

290

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Konfigurieren der SNC-Einstellungen fr die SAP-Authentifizierung [Seite 294] Verwenden von Servergruppen [Seite 295]

8.5.6.3.1

So richten Sie die Umgebung ein

Stellen Sie zunchst Folgendes sicher: Die SAP Cryptographic Library wurde heruntergeladen und auf dem Host installiert, auf dem die SAP BusinessObjects Enterprise-Verarbeitungsserver ausgefhrt werden. Die erforderlichen SAP-Systeme wurden so konfiguriert, dass die SAP Cryptographic Library als SNCProvider verwendet wird.

Bevor Sie mit der PSE-Verwaltung beginnen knnen, mssen Sie die Bibliothek, das Tool und die Umgebung, in der die PSEs gespeichert werden, einrichten 1. Kopieren Sie die SAP Cryptographic Library (einschlielich des PSE-Verwaltungstools) in einen Ordner auf dem Rechner, auf dem SAP BusinessObjects Enterprise ausgefhrt wird. Beispiel: C:\Programme\SAP\Crypto 2. 3. Fgen Sie diesen Ordner der Umgebungsvariable <PATH> hinzu. Fgen Sie die systemweite Umgebungsvariable <SNC_LIB> hinzu, die auf die Cryptographic Library verweist. Beispiel: C:\Programme\SAP\Crypto\sapcrypto.dll 4. Erstellen Sie einen Unterordner mit dem Namen sec. Beispiel: C:\Programme\SAP\Crypto\sec 5. 6. Fgen Sie die systemweite Umgebungsvariable <SECUDIR> hinzu, die auf den Ordner sec verweist. Kopieren Sie die Datei ticket aus der SAP Cryptographic Library in den Ordner sec.

Zugehrige Links Konfigurieren von SAP fr serverseitiges Vertrauen [Seite 288]

8.5.6.3.2

Erstellen einer PSE

SAP akzeptiert SAP BusinessObjects Enterprise-Server als vertrauenswrdige Einheiten, wenn die betreffenden SAP BusinessObjects Enterprise-Server ber eine PSE verfgen und die PSE mit SAP verknpft ist. Dieses Vertrauen zwischen den SAP- und SAP BusinessObjects Enterprise-Komponenten wird durch Freigabe der ffentlichen Versionen der Zertifikate beider Einheiten erreicht. Zunchst muss eine PSE fr SAP BusinessObjects Enterprise erstellt werden, die automatisch ein eigenes Zertifikat erstellt. 1. 2. ffnen Sie eine Eingabeaufforderung, und fhren Sie den Befehl sapgenpse.exe gen_pse -v -p BOE.pse im Cryptographic Library-Ordner aus. Legen Sie eine PIN und den definierten Namen (DN) fr Ihr SAP BusinessObjects Enterprise-System fest. Beispiel: CN=MyBOE01, OU=PG, O=BOBJ, C=CA. Sie haben eine standardmige PSE und deren eigenes Zertifikat erstellt. 3. Exportieren Sie das Zertifikat der PSE mithilfe des folgenden Befehls: sapgenpse.exe export_own_cert -v -p BOE.pse -o <MyBOECert.crt>

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

291

4. 5.

Wechseln Sie in der SAP GUI zur Transaktion STRUST, und ffnen Sie die SNC-PSE. Sie werden aufgefordert, das zuvor festgelegte Kennwort einzugeben. Importieren Sie die zuvor erstellte Datei <MyBOECert.crt>: Die Zertifikate von SAPGENPSE sind Base64-kodiert. Stellen Sie sicher, dass Sie beim Importieren der Zertifikate die Base64-Kodierung auswhlen.

6. 7. 8. 9.

Um die SAP BusinessObjects Enterprise-Zertifikate der Zertifikatsliste der PSE des SAP-Servers hinzuzufgen, klicken Sie auf die Schaltflche Add to certificate list (Der Zertifikatsliste hinzufgen). Um das SAP-Zertifikat der PSE von SAP BusinessObjects Enterprise hinzuzfgen, doppelklicken Sie auf das SAP-Zertifikat. Speichern Sie Ihre nderungen in STRUST. Klicken Sie auf die Schaltflche Export (Exportieren), und geben Sie dem Zertifikat einen Dateinamen. Beispiel: MySAPCert.crt.

Hinweis
Behalten Sie Base64 als Format bei. 10. Wechseln Sie zur Transaktion SNC0 11. Fgen Sie einen neuen Eintrag hinzu. Beachten Sie hierbei Folgendes: Sie knnen eine beliebige System-ID whlen, sie muss jedoch Ihr SAP BusinessObjects EnterpriseSystem reprsentieren. Der SNC-Name ist der definierte Name (DN) (mit Prfix p:), den Sie beim Erstellen der PSE fr SAP BusinessObjects Enterprise festgelegt haben (in Schritt 2). Die beiden Kontrollkstchen Entry for RFC activated (Eintrag fr RFC aktiviert) und Entry for ext. ID activated (Eintrag fr ext. ID aktiviert) sind ausgewhlt:

12. Um das exportierte Zertifikat der SAP BusinessObjects Enterprise-PSE hinzufgen, fhren Sie in der Eingabeaufforderung den folgenden Befehl aus: sapgenpse.exe maintain_pk -v -a <MySAPCert.crt> -p BOE.pse Die SAP Cryptographic Library wurde auf dem SAP BusinessObjects Enterprise-Rechner installiert. Sie haben eine PSE erstellt, die von SAP BusinessObjects Enterprise-Servern verwendet wird, um sich bei den SAP-Servern zu identifizieren. SAP und die SAP BusinessObjects Enterprise-PSE haben Zertifikate ausgetauscht. SAP ermglicht Einheiten mit Zugriff auf die SAP BusinessObjects Enterprise-PSE die Durchfhrung von RFC-Anrufen und die Identittsmaskierung ohne Kennwort. Zugehrige Links Konfigurieren von SAP BusinessObjects Enterprise-Servern [Seite 292]

8.5.6.3.3 Servern

Konfigurieren von SAP BusinessObjects Enterprise-

Nachdem Erstellen einer PSE fr SAP BusinessObjects Enterprise mssen Sie eine geeignete Serverstruktur fr die SAP-Verarbeitung konfigurieren. Im Folgenden wird beschrieben, wie Sie einen Knoten fr SAPVerarbeitungsserver erstellen, um auf Knotenebene Anmeldedaten fr das Betriebssystem festzulegen.

292

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Hinweis
In dieser Version von SAP BusinessObjects Enterprise werden Server nicht mehr mit Central Configuration Manager (CCM) konfiguriert. Stattdessen muss ein neuer Server Intelligence Agent (SIA) erstellt werden. 1. 2. Erstellen Sie im CCM einen neuen Knoten fr die SAP-Verarbeitungsserver Geben Sie dem Knoten einen geeigneten Namen, z.B. SAPProcessor. Fgen Sie dem neuen Knoten im CMC die bentigten Verarbeitungsserver hinzu, und starten Sie dann die neuen Server.

8.5.6.3.4

Konfigurieren des PSE-Zugriffs

Nachdem Sie den SAP BusinessObjects Enterprise-Knoten und die Server konfiguriert haben, mssen Sie den PSE-Zugriff mithilfe des SAPGENPSE-Tools konfigurieren. 1. Fhren Sie in der Eingabeaufforderung folgenden Befehl aus: sapgenpse.exe seclogin -p SBOE.pse

Hinweis
Sie werden aufgefordert, die PSE-PIN einzugeben. Wenn Sie das Tool unter Verwendung derselben Anmeldedaten ausfhren, die auch von den SAP-Verarbeitungsservern von SAP BusinessObjects Enterprise verwendet werden, mssen Sie keinen Benutzernamen angeben. 2. Um zu berprfen, ob die SSO-Verknpfung erstellt wurde, zeigen Sie den PSE-Inhalt mithilfe des folgenden Befehls an: sapgenpse.exe maintain_pk -l Das Ergebnis sollte etwa so aussehen: C:\Documents and Settings\hareskoug\Desktop\sapcrypto.x86\ntintel>sapgenpse.exe maintain_pk -l maintain_pk for PSE "C:\Documents and Settings\hareskoug\My Documents\snc\sec \bobjsapproc.pse" *** Object <PKList> is of the type <PKList_OID> *** 1. ------------------------------------------------------------Version: 0 (X.509v1-1988) SubjectName: CN=R21Again, OU=PG, O=BOBJ, C=CA IssuerName: CN=R21Again, OU=PG, O=BOBJ, C=CA SerialNumber: 00 Validity - NotBefore: Wed Nov 28 16:23:53 2007 (071129002353Z) NotAfter: Thu Dec 31 16:00:01 2037 (380101000001Z) Public Key Fingerprint: 851C 225D 1789 8974 21DB 9E9B 2AE8 9E9E SubjectKey: Algorithm RSA (OID 1.2.840.113549.1.1.1), NULL C:\Documents and Settings\hareskoug\Desktop\sapcrypto.x86\ntintel> Nach erfolgreicher Ausfhrung des Befehls seclogin sollten Sie nicht erneut zur Eingabe der PSE-PIN aufgefordert werden.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

293

Hinweis
Wenn Probleme im Zusammenhang mit dem PSE-Zugriff auftreten, verwenden Sie-O, um den Zugriff einzurichten. Wenn Sie beispielsweise PSE-Zugriff auf einen bestimmten Benutzer in einer bestimmten Domne ermglichen mchten, mssen Sie Folgendes eingeben: sapgenpse seclogin -p SBOE.pse -O <<domain\user>>

8.5.6.3.5 Konfigurieren der SNC-Einstellungen fr die SAPAuthentifizierung


Im Anschluss an die Konfiguration des PSE-Zugriffs mssen Sie die SAP-Authentifizierungseinstellungen in der CMC konfigurieren. 1. 2. Wechseln Sie zum Verwaltungsbereich Authentifizierung der CMC. Doppelklicken Sie auf die Verknpfung SAP. Die Einstellungen fr das Berechtigungssystem werden angezeigt. 3. 4. 5. 6. Klicken Sie auf der Seite SAP-Authentifizierung auf die Registerkarte SNC-Einstellungen. Whlen Sie aus der Liste Name des logischen Systems das Berechtigungssystem. Whlen Sie unter "Grundlegende Einstellungen" Secure Network Communication (SNC) aktivieren aus. Geben Sie in das Feld SNC-Bibliothekspfad den Pfad fr die SNC-Bibliothekseinstellungen ein.

Hinweis
Dieser Schritt ist erforderlich, obwohl die Bibliothek bereits in der Umgebungsvariable <SNC_LIB> definiert ist. 7. Whlen Sie unter "Qualitt der Sicherung" die gewnschte Sicherungsebene aus, beispielsweise Authentifizierung.

Hinweis
Achten Sie darauf, dass Sie nicht die fr das SAP-System konfigurierte Schutzebene berschreiten. Die Sicherungsebene kann angepasst werden und wird durch die Anforderungen Ihres Unternehmens und die Fhigkeiten der SNC-Bibliothek bestimmt. 8. Geben Sie unter Einstellungen fr die gegenseitige Authentifizierung den SNC-Namen des SAP-Systems ein. Das Format des SNC-Namens richtet sich nach der SNC-Bibliothek. Bei Verwendung der SAPKryptografiebibliothek wird der definierte Name entsprechend LDAP-Namenskonventionen empfohlen. Dem Namen muss das Prfix "p:" vorangestellt sein. 9. Stellen Sie sicher, dass der SNC-Name der Anmeldedaten, unter denen Enterprise-Server ausgefhrt werden, im Feld SNC-Name des Enterprise-Systems angezeigt wird. Wenn mehrere SNC-Namen konfiguriert sind, lassen Sie dieses Feld leer. 10. Geben Sie die definierten Namen (DNs) des SAP-Systems und der SAP BusinessObjects Enterprise-PSE an.

294

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

8.5.6.3.6

Verwenden von Servergruppen

Wenn die Verarbeitungsserver (Crystal Reports oder Web Intelligence) nicht unter Anmeldedaten laufen, die Zugriff auf das PSE haben, mssen Sie eine separate Servergruppe erstellen, die nur diese Server und die bentigten Untersttzungsserver enthlt. Weitere Informationen und Beschreibungen der SAP-BusinessObjectsEnterprise-Server finden Sie im Abschnitt Architektur dieses Handbuchs. Bei der Konfiguration der Verarbeitungsserver fr SAP-Inhalte stehen drei Optionen zur Auswahl: 1. Verwenden Sie einen einzigen SIA fr alle SAP BusinessObjects Enterprise-Server, die Anmeldedaten mit Zugriff auf das PSE benutzen. Das ist die einfachste Option. Es mssen keine Servergruppen erstellt werden. Diese Methode ist die unsicherste, da eine unntige Anzahl von Servern Zugriff auf das PSE hat. Erstellen Sie einen zweiten SIA mit Zugriff auf das PSE und fgen Sie ihn zu den Crystal-Reports- oder Interactive-Verarbeitungsservern hinzu. Lschen Sie alle doppelt vorhandenen Server aus dem ursprnglichen SIA. Es mssen keine Servergruppen erstellt werden, aber es haben weniger Server Zugriff auf das PSE. Erstellen Sie einen SIA, der ausschlielich von SAP verwendet wird, und Zugriff auf das PSE hat. Fgen Sie diesem die Verarbeitungsserver fr Crystal Reports oder Web Intelligence hinzu. Bei dieser Methode sollten nur SAP-Inhalte auf diesen Servern verarbeitet werden und, wichtiger, SAP-Inhalte sollten nur auf diesen Servern ausgefhrt werden. Da in diesem Szenario Inhalte zu bestimmten Servern geleitet werden mssen, mssen Sie Servergruppen fr den SIA erstellen.

2.

3.

Richtlinien fr die Verwendung von Servergruppen


Die Servergruppe muss auf Folgendes verweisen: SIA, der ausschlielich fr die Handhabung von SAP-Inhalt verwendet wird Adaptive Job Server Adaptive Processing Server

Alle SAP-Inhalte, Web-Intelligence-Dokumente und Crystal-Reports-Berichte mssen ber die strengste Zuordnung mit der Servergruppe verknpft werden, d.h., sie mssen auf Servern in der Gruppe ausgefhrt werden. Wenn diese Zuordnung auf Objektebene geschieht, sollte die Servergruppeneinstellung auch fr die Einstellungen sowohl fr zeitgesteuerte Verarbeitung als auch Publikationen bernommen werden. Um zu verhindern, dass andere Inhalte (nicht SAP) auf den speziellen SAP-Verarbeitungsservern verarbeitet werden, sollten Sie eine weitere Servergruppe erstellen, die alle Server unter dem ursprnglichen SIA enthlt. Es wird empfohlen, dass Sie eine strenge Zuordnung zwischen diesen Inhalten und der Nicht-SAP-Servergruppe einrichten.

8.5.6.4 Konfigurieren von Verffentlichungen mit mehreren Arbeitsgngen


Fehlerbehebung fr Verffentlichungen mit mehreren Arbeitsgngen
Wenn im Zusammenhang mit Verffentlichungen mit mehreren Arbeitsgngen Probleme auftreten, aktivieren Sie die Ablaufverfolgung fr die CR- oder MDA-Treiber (Crystal Reports/Multidimensional Data Access) fr SAP und

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

295

berprfen die Anmeldezeichenfolge, die fr jeden Job oder Empfnger verwendet wurde. Diese Anmeldezeichenfolgen sollten dem folgenden Beispiel entsprechen: SAP: Successfully logged on to SAP server. Logon handle: 1. Logon string: CLIENT=800 LANG=en ASHOST="vanrdw2k107.sap.crystald.net" SYSNR=00 SNC_MODE=1 SNC_QOP=1 SNC_LIB="C:\WINDOWS\System32\sapcrypto.dll" SNC_PARTNERNAME="p:CN=R21Again, OU=PG, O=BOBJ, C=CA" EXTIDDATA=HENRIKRPT3 EXTIDTYPE=UN Die Anmeldezeichenfolge muss ber den richtigen EXTIDTYPE=UN (fr Anwendername) verfgen, und EXTIDDATA sollte der SAP-Anwendername des Empfngers sein. In diesem Beispiel war der Anmeldeversuch erfolgreich.

8.5.6.5 Workflow fr die Integration in Secure Network Communication


Die BI-Plattform untersttzt Umgebungen, die Secure Network Communication (SNC) fr die Authentifizierung und Datenverschlsselung verschiedener SAP-Komponenten integrieren. Wenn Sie die SAP Cryptographic Library implementiert haben (oder ein anderes externes Sicherheitsprodukt, das die SNC-Schnittstelle verwendet), mssen Sie weitere Werte einstellen, um die BI-Plattform erfolgreich in Ihre gesicherte Umgebung zu integrieren. Um die BI-Plattform fr die Verwendung von Secure Network Communication (SNC) zu konfigurieren, mssen Sie die folgenden Aufgaben ausfhren: 1. 2. 3. 4. Konfigurieren Sie die BI-Plattform-Server, damit sie unter einem geeigneten Benutzerkonto gestartet und ausgefhrt werden. Konfigurieren Sie das SAP-System so, dass Ihr BI-Plattform-System als vertrauenswrdig erkannt wird. Konfigurieren Sie die SNC-Einstellungen in der Verknpfung "SNC" der Central Management Console . Importieren Sie SAP-Rollen und -Benutzer in die BI-Plattform.

Zugehrige Links Importieren von SAP-Rollen [Seite 281] Konfigurieren von SAP fr serverseitiges Vertrauen [Seite 288] Konfigurieren von SAP BusinessObjects Enterprise fr serverseitiges Vertrauen [Seite 290]

8.5.6.6

Konfigurieren der SNC-Einstellungen in der CMC

Vor dem Konfigurieren von SNC-Einstellungen mssen Sie in der BI-Plattform ein neues Berechtigungssystem hinzufgen. Ferner mssen Sie die SNC-Bibliotheksdatei in ein bestehendes Verzeichnis kopieren und eine Umgebungsvariable <RFC_LIB > als Verweis auf diese Datei erstellen. 1. 2. 3. Klicken Sie auf der Seite "SAP-Authentifizierung" auf die Registerkarte SNC-Einstellungen. Whlen Sie aus der Liste Name des logischen Systems das Berechtigungssystem. Whlen Sie unter "Grundlegende Einstellungen" Secure Network Communication (SNC) aktivieren aus.

296

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

4.

Wenn Sie die SAP-Authentifizierung fr die Nutzung von .unx-Universen oder OLAP-BICS-Verbindungen konfigurieren und beabsichtigen, STS zu verwenden, aktivieren Sie das Kontrollkstchen Kommunikation ber unsichere eingehende RFC-Verbindungen unterbinden.

5.

Geben Sie den Pfad fr die SNC-Bibliothekseinstellungen in SNC-Bibliothekspfad ein.

Hinweis
Der Anwendungsserver und der CMS mssen auf demselben Betriebssystemtyp mit demselben Pfad zur Kryptografiebibliothek installiert sein. 6. Whlen Sie unter "Qualitt der Sicherung" die gewnschte Sicherungsebene aus, beispielsweise Authentifizierung.

Hinweis
Die Sicherungsebene kann angepasst werden und wird durch die Anforderungen Ihres Unternehmens und die Fhigkeiten der SNC-Bibliothek bestimmt. 7. Geben Sie unter Einstellungen zur gegenseitigen Authentifizierung den SNC-Namen des SAP-Systems ein. Das Format des SNC-Namens richtet sich nach der SNC-Bibliothek. Bei Verwendung der SAPKryptografiebibliothek wird der definierte Name entsprechend LDAP-Namenskonventionen empfohlen. Dem Namen muss das Prfix p: vorangestellt sein. 8. Stellen Sie sicher, dass der SNC-Name der Anmeldedaten, unter denen die BI-Plattform-Server ausgefhrt werden, im Feld SNC-Name des Enterprise-Systems angezeigt wird. Wenn mehrere SNC-Namen konfiguriert sind, lassen Sie dieses Feld leer. 9. Klicken Sie auf Aktualisieren. 10. Klicken Sie auf der SAP-Authentifizierungsseite die Registerkarte Berechtigungssysteme. Unter dem Feld Sprache wird das Feld SNC-Name angezeigt. 11. Geben Sie im optionalen Feld SNC-Name den SNC-Namen ein, den Sie auf dem SAP BW-Server konfiguriert haben. Dieser Name sollte identisch sein mit dem, der verwendet wurde, um die BI-Plattform gegenber dem SAP-System als vertrauenswrdig zu konfigurieren.

Hinweis
Wenn Sie das Insight-to-Action-Framework zur Aktivierung der Bericht-zu-Bericht-Schnittstelle verwenden, kann es bis zu 10 Minuten dauern, bis der SNC aktiviert ist oder die nderungen an den SNC-Einstellungen wirksam werden. Um ein sofortiges Update auszulsen, fhren Sie einen Neustart des Adaptive Processing Servers durch, auf dem der Dienst "Insight to Action" ausgefhrt wird. Zugehrige Links Verbinden mit SAP-Berechtigungssystemen [Seite 276]

8.5.6.7 So verbinden Sie einen berechtigten Benutzer mit einem SNC-Namen


1. Melden Sie sich bei Ihrem SAP BW-System an, und fhren Sie die Transaktion SU01 aus.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

297

Der Anfangsbildschirm "User Maintenance" (Benutzerverwaltung) wird geffnet. 2. Geben Sie im Feld User (Benutzer) den Namen des SAP-Kontos ein, das als berechtigter Benutzer konfiguriert ist, und klicken Sie dann in der Symbolleiste auf die Schaltflche Change (ndern). Das Dialogfeld "Maintain User" (Benutzer verwalten) wird geffnet. 3. 4. 5. Klicken Sie auf die Registerkarte "SNC". Geben Sie im Feld SNC name das SNC-BENUTZERKONTO ein, das Sie oben in Schritt 4 eingegeben haben. Klicken Sie auf Save (Speichern).

8.5.6.8 So fgen Sie der SNC-Zugriffskontrollliste eine System-ID hinzu


1. Melden Sie sich bei Ihrem SAP BW-System an, und fhren Sie die Transaktion SNC0 aus. Das Dialogfeld "SNC: Access Control List (ACL) for Systems: Overview" (SNC: Zugriffskontrolllisten fr Systeme: berblick) wird geffnet. 2. Klicken Sie in der Symbolleiste auf New Entries (Neue Eintrge). Das Dialogfeld "New Entries: Details of Added Entries" (Neue Eintrge: Details hinzugefgter Eintrge) wird geffnet. 3. 4. Geben Sie den Namen Ihres BI-Plattform-Computers im Feld System ID ein. Geben Sie p:<SNC-BENUTZERNAME> im Feld SNC user name (SNC-Benutzername) ein, wobei SNCBENUTZERNAME fr das Konto steht, das Sie beim Konfigurieren der BI-Plattform-Server verwendet haben.

Hinweis
Wenn Ihr SNC-Provider gssapi32.dll ist, verwenden Sie bei Eingabe des SNC-BENUTZERNAMENS Grobuchstaben. Sie mssen den Domnennamen einschlieen, wenn Sie das Benutzerkonto angeben. Beispiel: Domne\Benutzername. 5. 6. Whlen Sie Entry for RFC activated (Eintrag fr RFC aktiviert) und Entry for ext. ID activated (Eintrag fr ext. ID aktiviert) aus. Deaktivieren Sie alle anderen Optionen, und klicken Sie auf Save (Speichern).

8.5.7

Einrichten der Einzelanmeldung beim SAP-System

Verschiedene BI-Plattform-Client- und Backend-Dienste interagieren mit NetWeaver-ABAP-Backendsystemen in einer integrierten Umgebung. Es ist sinnvoll, die Einzelanmeldung von der BI-Plattform zu diesen Backendsystemen (normalerweise BW) einzurichten. Nach der Konfiguration des ABAP-Systems als externes Authentifizierungssystem wird mithilfe von SAP-Token ein Mechanismus bereitgestellt, der die Einzelanmeldung fr alle BI-Plattform-Clients und -Dienste untersttzt, die eine Verbindung mit NetWeaver-ABAP-Systemen herstellen. Zum Aktivieren der Einzelanmeldung am SAP-System erstellen Sie eine Keystore-Datei und ein entsprechendes Zertifikat. Verwenden Sie das keytool-Befehlszeilenprogramm zum Erzeugen der Datei und des Zertifikats. Das Programm keytool ist standardmig im Verzeichnis sdk/bin fr die einzelnen Plattformen installiert.

298

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Das Zertifikat muss mit der CMC zum SAP ABAP BW-System und zur BI-Plattform hinzugefgt werden.

Hinweis
Das SAP-Authentifizierungsplugin muss konfiguriert werden, bevor Sie die Einzelanmeldung an der von SAP BW verwendeten Datenbank einrichten knnen.

8.5.7.1

Erzeugen einer keystore-Datei

Mit dem Programm PKCS12Tool werden keystore-Dateien und Zertifikate erzeugt, die fr die Einrichtung der Einzelanmeldung bei der SAP-Datenbank bentigt werden. Die folgende Tabelle enthlt die Standardspeicherorte der Datei PKCS12Tool.jar fr die einzelnen untersttzten Plattformen: Plattform
Windows

Standardspeicherort <INSTALLVERZ>\SAP BusinessObjects Enterprise XI 4.0\java\lib sap_bobj/enterprise_xi40/java/lib

Unix

1. 2.

Starten Sie eine Befehlseingabeaufforderung, und navigieren Sie zu dem Verzeichnis, in dem sich das Programm PKCS12Tool befindet Fhren Sie den folgenden Befehl aus, um eine keystore-Datei mit Standardeinstellungen zu generieren: java -jar PKCS12Tool.jar Die Dateien cert.der und keystore.p12 werden im selben Verzeichnis generiert. Die Dateien enthalten die folgenden Standardwerte: Parameter
-keystore -alias -storepass -dname -validity -cert

Standard
keystore.p12 myalias 123456 CN=CA 365 cert.der

Tipp
Um die Standardwerte auer Kraft zu setzen, fhren Sie das Tool gemeinsam mit dem Parameter -? aus. Die folgende Meldung wird angezeigt: Usage: PKCS12Tool <options> -keystore <filename(keystore.p12)> -alias <key entry alias(myalias)> -storepass <keystore password(123456)> -dname <certificate subject DN(CN=CA)> -validity <number of days(365)> -cert <filename (cert.der)> (No certificate is generated when importing a keystore)

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

299

-disablefips -importkeystore <filename> Sie knnen anhand der Parameter die Standardwerte auer Kraft setzen.

8.5.7.2 Exportieren des Zertifikats fr den ffentlichen Schlssel


Sie mssen ein Zertifikat fr die Schlsseldatei erstellen und exportieren. 1. 2. Starten Sie eine Eingabeaufforderung, und navigieren Sie zu dem Verzeichnis, in dem das Keytool-Programm gespeichert ist Exportieren Sie ein Schlsselzertifikat fr die Schlsselspeicherdatei mit folgendem Befehl. keytool -exportcert -keystore <keystore> -storetype pkcs12 -file <filename> -alias <alias>
Ersetzen Sie <Schlsselspeicher> durch den Namen der Schlsselspeicherdatei. Ersetzen Sie <Dateiname> durch den Namen des Zertifikats. Ersetzen Sie <Alias> durch den zum Erstellen der Schlsselspeicherdatei verwendeten Alias.

3.

Geben Sie bei Eingabeaufforderung das Kennwort ein, das Sie fr die Schlsselspeicherdatei angegeben haben.

Es befinden sich nun eine Schlsselspeicherdatei und ein Zertifikat in dem Verzeichnis mit dem keytoolProgramm.

8.5.7.3 Importieren der Zertifikatsdatei in das ABAPZielsystem


Sie bentigen eine Schlsselspeicherdatei und ein zugehriges Zertifikat fr Ihre BI-Plattform-Implementierung, um die folgende Aufgabe auszufhren.

Hinweis
Die Aktion kann nur auf einem ABAP-basierten SAP-System ausgefhrt werden. 1. Stellen Sie ber die SAP GUI eine Verbindung zu Ihrem SAP ABAP-BW-System her.

Hinweis
Sie sollten sich als Benutzer mit Administratorrechten anmelden. 2. 3. Fhren Sie STRUSTSSO2 in der SAP GUI aus. Das System wird auf den Import der Zertifikatdatei vorbereitet. Wechseln Sie zur Registerkarte Certificate (Zertifikat).

300

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

4. 5. 6. 7. 8.

Stellen Sie sicher, dass das Kontrollkstchen Use Binary option (Binroption verwenden) aktiviert ist. Klicken Sie auf die Schaltflche fr den Dateiverzeichnispfad, um auf den Speicherort der Zertifikatsdatei zu zeigen. Klicken Sie auf das grne Hkchen. Die Zertifikatdatei wird hochgeladen. Klicken Sie auf Add to Certificate List (Zur Zertifikatsliste hinzufgen). Das Zertifikat wird in der Zertifikatliste angezeigt. Klicken Sie auf Add to ACL(Zu ACL hinzufgen), und geben Sie eine System-ID und einen Client an. Die System-ID muss mit der ID zur Identifikation des BI-Plattform-Systems fr SAP BW bereinstimmen. Das Zertifikat wird zu der Zugriffskontrollliste hinzugefgt. Der Client sollte als 000 angegeben werden.

9.

Speichern Sie Ihre Einstellung und beenden Sie. Die nderungen werden im SAP-System gespeichert.

8.5.7.4 Konfigurieren der Einzelanmeldung bei der SAPDatenbank in der CMC


Zum Ausfhren der folgenden Schritte mssen Sie mit einem Administratorkonto auf das SAP-Sicherheitsplugin zugreifen. 1. 2. Wechseln Sie zum Verwaltungsbereich Authentifizierung der CMC. Doppelklicken Sie auf die Verknpfung SAP und anschlieend auf die Registerkarte Optionen. Falls kein Zertfikat importiert wurde wird folgende Meldung im Bereich SAP SSO-Dienst angezeigt: Es wurde keine Schlsselspeicherdatei hochgeladen Geben Sie die System-ID fr Ihr BI-Plattform-System in das entsprechende Feld ein. Dieser Wert sollte identisch mit dem beim Import des Zertifikats in das SAP-ABAP-Zielsystem verwendeten Werts sein. 4. 5. Klicken Sie auf die Schaltflche Durchsuchen, um auf die Schlsselspeicherdatei zu zeigen. Geben Sie die folgenden erforderlichen Informationen ein: Feld
Kennwort fr den Schlsselspeicher

3.

Erforderliche Information
Geben Sie das fr den Zugriff auf die Schlsselspeicherdatei erforderliche Kennwort ein. Dieses Kennwort wurde beim Erstellen der Schlsselspeicherdatei angegeben. Geben Sie das fr den Zugriff auf das der Schlsselspeicherdatei entsprechende Zertfikat erforderliche Kennwort ein. Dieses Kennwort wurde beim Erstellen des Zertifikats der Schlsselspeicherdatei angegeben. Geben Sie den fr den Zugriff auf die Schlsselspeicherdatei erforderlichen Alias ein. Dieser Alias wurde beim Erstellen der Schlsselspeicherdatei angegeben.

Kennwort fr den privaten Schlssel

Alias des privaten Schlssels

6.

Klicken Sie auf Aktualisieren, um die Einstellungen zu speichern. Nachdem die Einstellungen erfolgreich bertragen wurden, wird folgende Meldung unterhalb des Felds "System-ID" angezeigt:

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

301

Eine Schlsselspeicherdatei wurde hochgeladen

8.5.7.5 Hinzufgen des Sicherheitstokendiensts zum Adaptive Processing Server


In einer geclusterten Umgebung werden die Sicherheitstokendienste separat zu den einzelnen Adaptive Processing Servern hinzugefgt. 1. 2. 3. 4. 5. 6. 7. Wechseln Sie zum Verwaltungsbereich Server der CMC. Doppelklicken Sie auf Kerndienste. Unter Kerndienste wird eine Liste von Servern angezeigt. Klicken Sie mit der rechten Maustaste auf den Adaptive Processing Server, und whlen Sie Server stoppen. Setzen Sie den Vorgang erst fort, wenn der Server Gestoppt ist. Klicken Sie auf den Adaptive Processing Server und whlen Dienste auswhlen. Das Dialogfeld Dienste auswhlen wird angezeigt. Verschieben Sie "Sicherheitstokendienst" aus der Liste Verfgbare Dienste in die Liste Dienste. Verschieben Sie die Auswahl mithilfe der Schaltflche Hinzufgen. Klicken Sie auf OK. Starten Sie den Adaptive Processing Server neu.

8.5.8 Konfigurieren der Einzelanmeldung fr SAP Crystal Reports und SAP Netweaver
Die BI-Plattform wird standardmig so konfiguriert, dass SAP Crystal Reports-Benutzer mithilfe der Einzelanmeldung auf SAP-Daten zugreifen knnen.

8.5.8.1 Deaktivieren der Einzelanmeldung fr SAP Netweaver und SAP Crystal Reports
1. 2. 3. 4. Klicken Sie in der Central Management Console (CMC) auf Anwendungen. Doppelklicken Sie auf Crystal-Reports-Konfiguration. Klicken Sie auf Einzelanmeldungsoptionen. Whlen Sie einen der folgenden Treiber aus: Treiber ODS-Treiber (Operational Data Store) Open SQL-Treiber InfoSet-Treiber Anzeigename crdb_ods crdb_opensql crdb_infoset

302

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Treiber BW MDX Query-Treiber 5. 6. 7. Klicken Sie auf Entfernen. Klicken Sie auf Speichern und schlieen. Starten Sie SAP Crystal Reports erneut.

Anzeigename crdb_bwmdx

8.5.8.2 Erneutes Aktivieren der Einzelanmeldung fr SAP Netweaver und SAP Crystal Reports
Fhren Sie die folgenden Schritte aus, um die Einzelanmeldung fr SAP Netweaver (ABAP) und SAP Crystal Reports erneut zu aktivieren. 1. 2. 3. 4. Klicken Sie in der Central Management Console (CMC) auf Anwendungen. Doppelklicken Sie auf Crystal-Reports-Konfiguration. Klicken Sie auf Einzelanmeldungsoptionen. Geben Sie unter SSO-Kontext fr Datenbankanmeldung verwenden Folgendes ein: crdb_ods crdb_opensql crdb_bwmdx crdb_infoset 5. 6. 7. Klicken Sie auf Hinzufgen. Klicken Sie auf Speichern und schlieen. Starten Sie SAP Crystal Reports erneut.
Zum Aktivieren des ODS-Treibers Zum Aktivieren des Open SQL-Treibers Zum Aktivieren des SAP BW MDX Query-Treibers Zum Aktivieren des InfoSet-Treibers

8.6 8.6.1

PeopleSoft-Authentifizierung bersicht

Um die PeopleSoft Enterprise-Daten mit der BI-Plattform zu verwenden, mssen Sie dem Programm Informationen ber die Implementierung bereitstellen. Mithilfe dieser Informationen knnen Benutzer der BIPlattform authentifiziert werden, damit sie sich mit ihren PeopleSoft-Anmeldedaten beim Programm anmelden knnen.

8.6.2

Aktivieren der PeopleSoft Enterprise-Authentifizierung

Damit PeopleSoft Enterprise-Informationen von der BI-Plattform verwendet werden knnen, bentigt die BIPlattform Informationen zur Authentifizierung im PeopleSoft Enterprise-System.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

303

8.6.2.1 Aktivieren der PeopleSoft-Authentifizierung in der BI-Plattform


1. 2. 3. Melden Sie sich als Administrator bei der Central Management Console an. Klicken Sie im Verwaltungsbereich auf Authentifizierung. Doppelklicken Sie auf PeopleSoft Enterprise. Die Seite PeopleSoft Enterprise wird angezeigt. Sie verfgt ber vier Registerkarten: Optionen, Domnen, Rollen und Benutzeraktualisierung. Aktivieren Sie auf der Registerkarte Optionen das Kontrollkstchen PeopleSoft Enterprise-Authentifizierung aktivieren. Nehmen Sie unter Neuer Alias, Aktualisierungsoptionen und Optionen fr neue Benutzer die nderungen vor, die je nach Ihrer BI-Plattform-Implementierung erforderlich sind. Klicken Sie auf Aktualisieren, um die nderungen zu speichern, bevor Sie mit der Registerkarte Systeme fortfahren. Klicken Sie auf die Registerkarte Server. Geben Sie im Bereich PeopleSoft Enterprise-Systembenutzer einen Datenbank-Benutzernamen und ein Kennwort ein, die die BI-Plattform fr die Anmeldung bei der PeopleSoft Enterprise-Datenbank verwenden soll. Geben Sie im Bereich PeopleSoft Enterprise-Domnen den Domnennamen und die QAS-Adresse ein, die zur Verbindungsherstellung mit der PeopleSoft Enterprise-Umgebung verwendet werden, und klicken Sie auf Hinzufgen.

4. 5.

6. 7.

8.

Hinweis
Wenn Sie ber mehrere PeopleSoft-Domnen verfgen, wiederholen Sie diesen Schritt fr jede zustzliche Domne, auf die Sie zugreifen mchten. Die Domne, die Sie als erstes eingeben, wird die Standarddomne. 9. Klicken Sie auf Aktualisieren, um die nderungen zu speichern.

8.6.3

Zuordnen von PeopleSoft-Rollen zur BI-Plattform

Die BI-Plattform erstellt fr jede zugeordnete PeopleSoft-Rolle automatisch eine Gruppe. Darber hinaus erstellt das Programm Aliase, die die Mitglieder der zugeordneten PeopleSoft-Rollen darstellen. Sie knnen fr jeden erstellten Alias ein Benutzerkonto erstellen. Wenn Sie jedoch mehrere Systeme ausfhren und Ihre Benutzer in mehreren Systemen ber Konten verfgen, knnen Sie jeden Benutzer einem Alias mit demselben Namen zuordnen, bevor Sie die Konten in der BI-Plattform erstellen. Auf diese Weise reduziert sich die Anzahl der Konten, die fr ein und denselben Benutzer in der BI-Plattform erstellt werden mssen. Wenn Sie beispielsweise PeopleSoft HR 8.3 und PeopleSoft Financials 8.4 ausfhren, und 30 Benutzer Zugriff auf beide Systeme haben, mssen fr diese Benutzer nur 30 Konten eingerichtet werden. Wenn Sie die Benutzer nicht jeweils einem Alias mit demselben Namen zuweisen, werden fr die 30 Benutzer in der BI-Plattform 60 Konten eingerichtet.

304

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Falls Sie jedoch mehrere Systeme ausfhren und identische Benutzernamen vorhanden sind, muss fr jeden erstellten Alias ein neues Mitgliedskonto erstellt werden. Wenn Sie beispielsweise PeopleSoft HR 8.3 mit einem Benutzerkonto fr Ronald Schneider (Benutzername "rschneider") und PeopleSoft Financials 8.4 mit einem Benutzerkonto fr Regina Schneider (Benutzername "rschneider") ausfhren, mssen Sie ein separates Konto fr den Alias des jeweiligen Benutzers erstellen. Andernfalls werden die beiden Benutzer demselben BI-Plattform-Konto hinzugefgt, knnen sich mit ihren eigenen PeopleSoft-Anmeldedaten bei der BI-Plattform anmelden und haben Zugriff auf Daten aus beiden PeopleSoft-Systemen.

8.6.3.1
1. 2. 3. 4. 5.

Zuordnen von PeopleSoft-Rollen zur BI-Plattform

Melden Sie sich als Administrator bei der Central Management Console an. Klicken Sie auf Authentifizierung. Doppelklicken Sie auf PeopleSoft Enterprise. Whlen Sie im Bereich "PeopleSoft Enterprise-Domnen" auf der Registerkarte Rollen die Domne aus, die mit der Rolle verknpft ist, die Sie der BI-Plattform zuordnen mchten. Whlen Sie mithilfe einer der folgenden Optionen die Rollen aus, die Sie zuordnen mchten: Geben Sie im Bereich PeopleSoft Enterprise-Rollen im Feld "Suchen" die Rolle ein, die Sie suchen und der BI-Plattform zuordnen mchten, und klicken Sie dann auf >. Whlen Sie aus der Liste Verfgbare Rollen die Rolle aus, die Sie der BI-Plattform zuordnen mchten, und klicken Sie auf >.

Hinweis
Bei der Suche nach einem bestimmten Benutzer oder einer bestimmten Rolle knnen Sie das Platzhalterzeichen % verwenden. Um beispielsweise alle Rollen zu suchen, die mit "A" beginnen, geben Sie A% ein. Auerdem wird die Gro-/Kleinschreibung bei der Suche bercksichtigt.

Hinweis
Wenn Sie eine Rolle von einer anderen Domne zuordnen mchten, whlen Sie die neue Domne aus der Liste verfgbarer Domnen aus, um eine Rolle von einer anderen Domne zuzuordnen. 6. Um die Gruppen- und Benutzersynchronisierung zwischen der BI-Plattform und PeopleSoft zu erzwingen, aktivieren Sie das Kontrollkstchen Benutzersynchronisierung erzwingen. Um bereits importierte PeopleSoftGruppen aus der BI-Plattform zu entfernen, lassen Sie das Kontrollkstchen Benutzersynchronisierung erzwingen deaktiviert. Whlen Sie im Bereich Optionen fr neuen Alias eine der folgenden Optionen aus: Jeden hinzugefgten Alias einem Konto mit demselben Namen zuweisen Aktivieren Sie diese Option bei Verwendung mehrerer PeopleSoft Enterprise-Systeme mit Benutzern, die ber Konten auf mehr als einem System verfgen (dabei drfen zwei Benutzer jedoch nicht denselben Benutzernamen auf unterschiedlichen Systemen besitzen). Neues Konto fr jeden hinzugefgten Alias erstellen Aktivieren Sie diese Option, wenn Sie nur ein PeopleSoft Enterprise-System ausfhren, die Mehrheit Ihrer Benutzer nur ber ein Konto auf einem der Systeme verfgt, oder falls fr unterschiedliche Benutzer auf mindestens zwei Systemen identische Benutzernamen vorhanden sind.

7.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

305

8.

Whlen Sie im Bereich Aktualisierungsoptionen eine der folgenden Optionen aus: Es werden neue Aliase hinzugefgt und neue Benutzer erstellt Whlen Sie diese Option, um einen neuen Alias fr jeden Benutzer zu erstellen, den Sie der BI-Plattform zuordnen. Bei Benutzern ohne BI-Plattform-Konto oder bei Aktivierung der Option "Neues Konto fr jeden hinzugefgten Alias erstellen" werden neue Konten fr die Benutzer hinzugefgt. Es werden keine neuen Aliase hinzugefgt und keine neuen Benutzer erstellt Aktivieren Sie diese Option, wenn die zuzuordnende Rolle viele Benutzer umfasst, die BI-Plattform jedoch nur von einigen wenigen Benutzern genutzt wird. Aliase und Konten fr die Benutzer werden von der Plattform nicht automatisch erstellt. Vielmehr werden Aliase (und gegebenenfalls Konten) fr die Benutzer erst dann erstellt, wenn sie sich zum ersten Mal bei der BI-Plattform anmelden. Dies ist die Standardoption.

9.

Geben Sie unter Optionen fr neue Benutzer an, wie neue Benutzer erstellt werden. Whlen Sie eine der folgenden Optionen: Neue Benutzer werden als Namenslizenzbenutzer erstellt Neue Benutzerkonten werden fr die Verwendung von Namenslizenzen konfiguriert. Namenslizenzen sind mit bestimmten Benutzern verbunden und ermglichen den Zugriff auf das System auf der Grundlage von Benutzername und Kennwort. Dieser Lizenztyp ermglicht Benutzern den Zugriff auf das System unabhngig von der Anzahl der derzeit verbundenen Benutzer. Fr jedes mit dieser Option erstellte Benutzerkonto muss eine Namenslizenz verfgbar sein. Neue Benutzer werden als Zugriffslizenzbenutzer erstellt Neue Benutzerkonten werden fr die Verwendung von Zugriffslizenzen konfiguriert. Zugriffslizenzen geben die Anzahl der Personen an, die gleichzeitig mit der BI-Plattform verbunden sein knnen. Dieser Lizenztyp ist sehr flexibel, da mit einer geringen Anzahl von Zugriffslizenzen viele Benutzer untersttzt werden knnen. Je nach Hufigkeit und Dauer des Zugriffs auf die BI-Plattform knnen 100 Zugriffslizenzen beispielsweise 250, 500 oder auch 700 Benutzer untersttzen.

Die ausgewhlten Rollen werden jetzt als Gruppen in der BI-Plattform angezeigt.

8.6.3.2

Hinweise zum erneuten Zuordnen

Wenn Sie Benutzer einer Rolle hinzufgen, die der BI-Plattform bereits zugeordnet wurde, mssen Sie die Rolle erneut zuordnen, damit die Benutzer zur BI-Plattform hinzugefgt werden. Beim erneuten Zuordnen der Rolle hat die Option zum Zuordnen der Benutzer als Namenslizenz- oder Zugriffslizenzbenutzer nur Einfluss auf die neuen, der Rolle hinzugefgten Benutzer. Beispiel: Zuerst ordnen Sie der BI-Plattform eine Rolle mit aktivierter Option "Neue Benutzer werden als Namenslizenzbenutzer erstellt" zu. Spter fgen Sie derselben Rolle Benutzer hinzu und ordnen die Rolle dann erneut zu, whrend die Option "Neue Benutzer werden als Zugriffslizenzbenutzer erstellt" aktiviert ist. In diesem Fall werden nur die neuen Benutzer in der Rolle der BI-Plattform als Zugriffslizenzbenutzer zugeordnet. Benutzer, die bereits zugeordnet waren, bleiben Namenslizenzbenutzer. Dasselbe gilt, wenn Sie Benutzer erst als Zugriffslizenzbenutzer zuordnen und spter die Einstellungen ndern, um neue Benutzer als Namenslizenzbenutzer neu zuzuordnen.

306

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

8.6.3.3
1. 2. 3. 4. 5. 6.

Aufheben der Zuordnung einer Rolle

Melden Sie sich als Administrator bei der Central Management Console an. Klicken Sie auf Authentifizierung. Klicken Sie auf PeopleSoft Enterprise. Klicken Sie auf Rollen. Whlen Sie die Rolle aus, die Sie entfernen mchten, und klicken Sie auf <. Klicken Sie auf Aktualisieren. Mitglieder der Rolle sind nicht mehr in der Lage, auf die BI-Plattform zuzugreifen, es sei denn, sie verfgen noch ber andere Konten oder Aliase.

Hinweis
Sie knnen auch einzelne Konten lschen oder Benutzer aus Rollen entfernen, bevor Sie die Rollen der BIPlattform zuordnen, um zu verhindern, dass sich bestimmte Benutzer anmelden knnen.

8.6.4 Zeitgesteuertes Verarbeiten von Benutzeraktualisierungen


Um sicherzustellen, dass nderungen Ihrer Benutzerdaten fr das ERP-System in Ihren BI-PlattformBenutzerdaten widergespiegelt werden, knnen Sie regelmige Benutzeraktualisierungen planen. Diese Aktualisierungen synchronisieren automatisch die ERP- und BI-Plattform-Benutzer in bereinstimmung mit den Zuordnungseinstellungen, die Sie in der Central Management Console (CMC) konfiguriert haben. Fr die Ausfhrung und zeitgesteuerte Verarbeitung von Aktualisierungen fr importierte Rollen stehen zwei Optionen zur Verfgung: Nur Rollen aktualisieren: Bei Verwendung dieser Option werden nur die Verknpfungen zwischen den aktuell zugeordneten Rollen aktualisiert, die in die BI-Plattform importiert wurden. Verwenden Sie diese Option, wenn Sie voraussichtlich hufig Aktualisierungen ausfhren mssen und Bedenken hinsichtlich der Systemressourcennutzung haben. Wenn Sie nur Rollen aktualisieren, werden keine neuen Benutzerkonten erstellt. Rollen und Aliase aktualisieren: Bei Verwendung dieser Option werden nicht nur Verknpfungen zwischen Rollen aktualisiert, sondern auch neue Benutzerkonten in der BI-Plattform fr neue Benutzeraliase erstellt, die zum ERP-System hinzugefgt wurden.

Hinweis
Wenn Sie bei der Aktivierung der Authentifizierung nicht angegeben haben, dass Benutzeraliase automatisch fr Aktualisierungen erstellt werden sollen, werden keine Konten fr neue Aliase erstellt.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

307

8.6.4.1 Zeitgesteuertes Verarbeiten von Benutzeraktualisierungen


Nachdem Sie Rollen in der BI-Plattform zugeordnet haben, mssen Sie angeben, wie das System diese Rollen aktualisiert. 1. 2. Klicken Sie auf die Registerkarte Benutzeraktualisierung. Klicken Sie im Abschnitt Nur Rollen aktualisieren oder Rollen und Aliase aktualisieren auf Zeitgesteuert verarbeiten.

Tipp
Wenn Sie die Aktualisierung sofort ausfhren mchten, klicken Sie auf Jetzt aktualisieren.

Tipp
Verwenden Sie die Option Nur Rollen aktualisieren, wenn Sie hufig aktualisieren mchten und Bedenken bezglich der Systemressourcen haben. Das System bentigt mehr Zeit, um sowohl Rollen als auch Aliase zu aktualisieren. Das Dialogfeld Wiederholung wird angezeigt. 3. Whlen Sie in der Liste Objekt ausfhren eine Option aus, und geben Sie alle angeforderten Informationen zur zeitgesteuerten Verarbeitung ein. Bei der zeitgesteuerten Verarbeitung einer Aktualisierung stehen Ihnen die Wiederholungsmuster in der folgenden Tabelle zur Verfgung: Wiederholungsmuster Stndlich Tglich Beschreibung Die Aktualisierung wird stndlich ausgefhrt. Sie legen die Startzeit sowie Anfangs- und Enddatum fr das Objekt fest. Die Aktualisierung wird tglich oder alle n angegebenen Tage ausgefhrt. Sie knnen die Ausfhrungszeit sowie Anfangs- und Enddatum fr das Objekt festlegen. Die Aktualisierung wird wchentlich ausgefhrt. Es kann einmal die Woche oder mehrmals wchentlich ausgefhrt werden. Sie knnen festlegen, an welchen Tagen und zu welcher Uhrzeit das Objekt ausgefhrt wird, und das Anfangs- und Enddatum der Ausfhrung bestimmen. Die Aktualisierung wird einmal monatlich oder alle n Monate ausgefhrt. Sie knnen die Ausfhrungszeit sowie Anfangs- und Enddatum festlegen. Die Aktualisierung wird an einem bestimmten Tag des Monats ausgefhrt. Sie knnen festlegen, an welchem Tag des Monats und zu welcher Uhrzeit die Aktualisierung ausgefhrt wird, sowie Anfangsund Enddatum der Ausfhrung bestimmen.

Wchentlich

Monatlich

Am n-ten Tag des Monats

308

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Wiederholungsmuster Am ersten Montag des Monats

Beschreibung Die Aktualisierung wird jeden Monat am ersten Montag ausgefhrt. Sie knnen die Ausfhrungszeit sowie Anfangs- und Enddatum festlegen. Die Aktualisierung wird am letzten Tag jedes Monats ausgefhrt. Sie knnen die Ausfhrungszeit sowie Anfangs- und Enddatum festlegen. Die Aktualisierung wird an einem bestimmten Tag einer bestimmten Woche im Monat ausgefhrt. Sie knnen die Ausfhrungszeit sowie Anfangs- und Enddatum festlegen. Die Aktualisierung wird zu den Terminen ausgefhrt, die in einem zuvor erstellten Kalender festgelegt wurden.

Am letzten Tag des Monats Am x-ten Tag der n-ten Woche des Monats Kalender 4.

Klicken Sie auf Zeitgesteuert verarbeiten, nachdem Sie die Informationen fr die zeitgesteuerte Verarbeitung angegeben haben. In der Registerkarte Benutzeraktualisierung wird das Datum der nchsten zeitgesteuert verarbeiteten Rollenaktualisierung angezeigt.

Hinweis
Sie knnen die nchste zeitgesteuert verarbeitete Aktualisierung jederzeit abbrechen, indem Sie im Abschnitt Nur Rollen aktivieren oder Rollen und Aliase aktivieren auf Geplante Aktualisierungen abbrechen klicken.

8.6.5

Verwenden der PeopleSoft-Sicherheitsbrcke

Mit der Funktion "Sicherheitsbrcke" der BI-Plattform knnen Sie die Sicherheitseinstellungen von PeopleSoft EPM-in die BI-Plattform importieren. Die Sicherheitsbrcke hat zwei verschiedene Modi: Konfigurationsmodus Im Konfigurationsmodus ist die Sicherheitsbrcke eine Art Schnittstelle, mit der Sie eine Antwortdatei erstellen knnen. Diese Antwortdatei steuert das Verhalten der Sicherheitsbrcke whrend des Ausfhrungsmodus. Ausfhrungsmodus Auf Basis der von Ihnen in der Antwortdatei festgelegten Parameter importiert die Sicherheitsbrcke die Sicherheitseinstellungen der Dimensionstabellen in PeopleSoft EPM in die Universen in der BI-Plattform.

8.6.5.1

Importieren von Sicherheitseinstellungen

Fhren Sie zum Importieren der Sicherheitseinstellungen folgende Aufgaben der Reihe nach aus: Definieren Sie die Objekte, die von der Sicherheitsbrcke verwaltet werden sollen. Erstellen Sie eine Antwortdatei.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

309

Fhren Sie das Sicherheitsbrckenprogramm aus.

Informationen ber die Sicherheitsverwaltung nach dem Importieren der Einstellungen finden Sie im Abschnitt zum Verwalten von Sicherheitseinstellungen.

8.6.5.1.1

Definieren verwalteter Objekte

Vor Ausfhrung der Sicherheitsbrcke ist es wichtig, dass die Objekte festgelegt werden, die von der Anwendung verwaltet werden sollen. Die Sicherheitsbrcke kann eine oder mehrere PeopleSoft-Rollen, eine BI-PlattformGruppe und ein oder mehrere Universen verwalten. Verwaltete PeopleSoft-Rollen Dies sind die Rollen in Ihrem PeopleSoft-System. Die Mitglieder dieser Rollen verarbeiten PeopleSoft-Daten ber PeopleSoft EPM. Whlen Sie die Rollen mit den Mitgliedern aus, fr die Sie die Zugriffsberechtigungen zu in der BI-Plattform verwalteten Universen einrichten oder aktualisieren mchten. Die fr die Mitglieder dieser Rollen definierten Zugriffsberechtigungen basieren auf den eingestellten Berechtigungen in PeopleSoft EPM. Die Sicherheitsbrcke importiert diese Sicherheitseinstellungen in die BIPlattform. Verwaltete BI-Plattform-Gruppe Beim Ausfhren der Sicherheitsbrcke erstellt das Programm in der BI-Plattform fr jedes Mitglied einer verwalteten PeopleSoft-Rolle einen Benutzer. Die Gruppe, in der die Benutzer erstellt werden, ist die verwaltete BI-Plattform-Gruppe. Mitglieder dieser Gruppe sind die Benutzer, deren Zugriffsberechtigungen fr die verwalteten Universen von der Sicherheitsbrcke verwaltet werden. Da die Benutzer in einer Gruppe erstellt werden, knnen Sie die Sicherheitsbrcke so konfigurieren, dass die Sicherheitseinstellungen fr bestimmte Benutzer einfach durch das Entfernen von Benutzern aus der verwalteten BI-Plattform-Gruppe nicht aktualisiert werden. Whlen Sie vor Ausfhrung der Sicherheitsbrcke eine Gruppe in der BI-Plattform als Speicherort zum Erstellen der Benutzer aus. Wenn Sie eine nicht vorhandene Gruppe angeben, erstellt die Sicherheitsbrcke diese Gruppe in der BI-Plattform. Verwaltete Universen Verwaltete Universen sind jene Universen, in die die Sicherheitsbrcke die Sicherheitseinstellungen aus PeopleSoft EPM importiert. Whlen Sie aus den in Ihrem BI-Plattform-System gespeicherten Universen die Universen aus, die von der Sicherheitsbrcke verwaltet werden sollen. Mitglieder der verwalteten PeopleSoftRollen, die auch Mitglieder der verwalteten BI-Plattform-Gruppe sind, knnen durch diese Universen nicht auf Daten zugreifen, auf die sie auch in PeopleSoft EPM keinen Zugriff haben.

8.6.5.1.2
1.

Erstellen von Antwortdateien

Wechseln Sie zu dem Ordner, den Sie bei der Installation der Sicherheitsbrcke angegeben haben, und fhren Sie die Datei crpsepmsecuritybridge.bat (unter Windows) und crpsepmsecuritybridge.sh (unter Unix) aus.

Hinweis
Unter Windows befindet sich der Ordner standardmig unter C:\Programme\Business Objects \BusinessObjects 12.0 Integration for PeopleSoft\epm

310

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Das Dialogfeld "Sicherheitsbrcke fr PeopleSoft EPM" wird angezeigt. 2. Whlen Sie Neu aus, um eine Antwortdatei zu erstellen, oder whlen Sie ffnen aus, und klicken Sie auf Durchsuchen, um nach der zu ndernden Antwortdatei zu suchen. Whlen Sie die gewnschte Sprache fr die Datei aus. Klicken Sie auf Weiter. Geben Sie die Verzeichnisse des PeopleSoft EPM SDK und des BI-Plattform-SDK an.

3. 4.

Hinweis
Normalerweise befindet sich das PeopleSoft EPM SDK auf dem PeopleSoft-Server unter <PS_HOME>/ class/com.peoplesoft.epm.pf.jar.

Hinweis
Das BI-Plattform-SDK ist normalerweise unter C:\Programme (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\java\lib zu finden. 5. Klicken Sie auf Weiter. Das Dialogfeld fordert Sie zur Eingabe von Verbindungs- und Treiberinformationen fr die PeopleSoftDatenbank auf. 6. Whlen Sie aus der Datenbankliste den entsprechenden Datenbanktyp aus, und geben Sie die Informationen in die entsprechenden Felder ein. Feld Datenbank Host Portnummer Klassenspeicherort Beschreibung Name der PeopleSoft-Datenbank Name des Servers, der Host der Datenbank ist Portnummer fr Zugriff zum Server Speicherort der Klassendateien fr den Datenbanktreiber Ihr Benutzername Ihr Kennwort

Benutzername Kennwort 7. Klicken Sie auf Weiter.

Im Dialogfeld wird eine Liste mit allen Klassen angezeigt, die von der Sicherheitsbrcke bei der Ausfhrung verwendet werden. Sie knnen der Liste Klassen hinzufgen oder Klassen aus der Liste entfernen, falls erforderlich. 8. Klicken Sie auf Weiter. Das Dialogfeld fordert Sie zur Eingabe von Verbindungsinformationen fr die BI-Plattform auf. 9. Geben Sie die entsprechenden Informationen fr folgende Felder ein:

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

311

Feld Server

Beschreibung Der Name des Servers, auf dem sich der Central Management Server (CMS) befindet. Ihr Benutzername Ihr Kennwort Ihr Authentifizierungstyp

Benutzername Kennwort Authentifizierung 10. Klicken Sie auf Weiter.

11. Whlen Sie eine BI-Plattform-Gruppe aus, und klicken Sie auf Weiter.

Hinweis
In der in diesem Feld angegebenen Gruppe werden die Mitglieder der verwalteten PeopleSoft-Rollen erstellt.

Hinweis
Wenn Sie eine noch nicht vorhandene Gruppe angeben, erstellt die Sicherheitsbrcke diese Gruppe. Im Dialogfeld wird eine Liste mit den Rollen Ihres PeopleSoft-Systems angezeigt. 12. Whlen Sie die Option Importiert fr die von der Sicherheitsbrcke zu verwaltenden Rollen aus, und klicken Sie auf Weiter.

Hinweis
Die Sicherheitsbrcke erstellt einen Benutzer in der verwalteten (und von Ihnen im vorherigen Schritt festgelegten) BI-Plattform-Gruppe fr jedes Mitglied der ausgewhlten Rolle(n). Im Dialogfeld wird eine Liste mit den Universen in der BI-Plattform angezeigt. 13. Whlen Sie die Universen aus, in die die Sicherheitsbrcke die Sicherheitseinstellungen importieren soll, und klicken Sie auf Weiter. 14. Geben Sie einen Dateinamen und einen Speicherort fr die Protokolldatei der Sicherheitsbrcke an. Aus der Protokolldatei ist ersichtlich, ob die Sicherheitsbrcke die Sicherheitseinstellungen von PeopleSoft EPM erfolgreich importiert hat. 15. Klicken Sie auf Weiter. Im Dialogfeld wird eine Vorschau der Antwortdatei angezeigt, die die Sicherheitsbrcke im Ausfhrungsmodus verwenden wird. 16. Klicken Sie auf Speichern, und whlen Sie einen Speicherort fr die Antwortdatei aus. 17. Klicken Sie auf Weiter. Sie haben die Antwortdatei fr die Sicherheitsbrcke erfolgreich erstellt. 18. Klicken Sie auf Beenden.

312

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Hinweis
Die Antwortdatei ist eine Java-Eigenschaftsdatei, die Sie auch manuell ndern bzw. erstellen knnen. Weitere Informationen finden Sie im Abschnitt PeopleSoft-Antwortdatei.

8.6.5.2

Anwenden der Sicherheitseinstellungen

Fhren Sie zum Anwenden der Sicherheitseinstellungen die Datei crpsepmsecuritybridge.bat (unter Windows) oder crpsempsecuritybridge.sh (unter UNIX) aus, und verwenden Sie die von Ihnen erstellte Antwortdatei als Argument. (Sie knnen z.B. crpsepmsecuritybridge.bat (Windows) oder crpsempsecuritybridge.sh (Unix) myresponsefile.properties eingeben.) Das Sicherheitsbrckenprogramm wird ausgefhrt. Es erstellt Benutzer in der BI-Plattform fr die Mitglieder der PeopleSoft-Rollen, die Sie in der Antwortdatei angegeben haben, und importiert die Sicherheitseinstellungen von PeopleSoft EPM in die entsprechenden Universen.

8.6.5.2.1

Hinweise fr die Zuordnung

Im Ausfhrungsmodus erstellt die Sicherheitsbrcke in der BI-Plattform fr jedes Mitglied einer verwalteten PeopleSoft-Rolle einen Benutzer. Die Benutzer werden so erstellt, dass sie nur Enterprise-Authentifizierungsaliase haben, und die BI-Plattform ordnet diesen Benutzern Zufallskennwrter zu. Die Benutzer knnen sich daher erst bei der BI-Plattform anmelden, wenn der Administrator manuell neue Kennwrter zuweist oder die Rollen der BI-Plattform ber das PeopleSoft-Sicherheits-Plugin zuordnet. Erst dann knnen sich die Benutzer mit ihren PeopleSoft-Anmeldedaten anmelden.

8.6.5.3

Verwalten von Sicherheitseinstellungen

Sie knnen die von Ihnen zugewiesenen Sicherheitseinstellungen durch ndern der Objekte verwalten, die von der Sicherheitsbrcke verwaltet werden.

8.6.5.3.1

Verwaltete Benutzer

Die Sicherheitsbrcke verwaltet Benutzer auf der Grundlage folgender Kriterien: Ist der Benutzer ein Mitglied einer verwalteten PeopleSoft-Rolle? Ist der Benutzer ein Mitglied der verwalteten BI-Plattform-Gruppe?

Wenn Sie fr einen Benutzer Zugriff auf PeopleSoft-Daten durch Universen in der BI-Plattform festlegen mchten, mssen Sie sicherstellen, dass der Benutzer ein Mitglied sowohl einer verwalteten PeopleSoft-Rolle als auch der verwalteten BI-Plattform-Gruppe ist.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

313

Fr Mitglieder verwalteter PeopleSoft-Rollen ohne Konten in der BI-Plattform erstellt die Sicherheitsbrcke Konten und weist ihnen Zufallskennwrter zu. Der Administrator muss entscheiden, ob neue Kennwrter manuell zugewiesen werden oder ob die Rollen der BI-Plattform durch das PeopleSoft-Sicherheits-Plugin zugeordnet werden, damit sich die Benutzer bei der BI-Plattform anmelden knnen. Bei Mitgliedern verwalteter PeopleSoft-Rollen, die auch Mitglieder der verwalteten BI-Plattform-Gruppe sind, aktualisiert die Sicherheitsbrcke die den Benutzern zugewiesenen Sicherheitseinstellungen, damit sie auf die entsprechenden Daten von den verwalteten Universen zugreifen knnen.

Wenn ein Mitglied einer verwalteten PeopleSoft-Rolle ber ein Konto in der BI-Plattform verfgt, aber kein Mitglied der verwalteten BI-Plattform-Gruppe ist, aktualisiert die Sicherheitsbrcke die dem Benutzer zugewiesenen Sicherheitseinstellungen nicht. Normalerweise kommt es nur dann zu dieser Situation, wenn der Administrator Benutzerkonten entfernt, die durch die Sicherheitsbrcke von der verwalteten BI-Plattform-Gruppe erstellt wurden.

Hinweis
Dies ist eine effektive Methode zur Sicherheitsverwaltung: Durch das Entfernen von Benutzern aus der verwalteten BI-Plattform-Gruppe knnen Sie ihre Sicherheitseinstellungen so konfigurieren, dass sie sich von den Sicherheitseinstellungen fr die Benutzer in PeopleSoft unterscheiden. Wenn andererseits ein Mitglied der verwalteten BI-Plattform-Gruppe kein Mitglied einer verwalteten PeopleSoftRolle ist, gewhrt ihm die Sicherheitsbrcke keinen Zugriff auf die verwalteten Universen. Normalerweise kommt es nur dann zu dieser Situation, wenn PeopleSoft-Administratoren Benutzer entfernen, die zuvor durch die Sicherheitsbrcke von den verwalteten PeopleSoft-Rollen der BI-Plattform zugeordnet wurden.

Hinweis
Hierbei handelt es sich um eine weitere Methode zur Sicherheitsverwaltung: Durch das Entfernen von Benutzern aus verwalteten PeopleSoft-Rollen knnen Sie sicherstellen, dass die Benutzer keinen Zugriff auf Daten von PeopleSoft haben.

8.6.5.3.2

Verwaltete Universen

Die Sicherheitsbrcke verwaltet Universen durch Einschrnkungsmengen, welche die Daten einschrnken, auf die verwaltete Benutzer von den verwalteten Universen zugreifen knnen. Einschrnkungsmengen sind Gruppen von Einschrnkungen (z.B. Einschrnkungen zu Abfragesteuerung, SQLErstellung usw.). Die Sicherheitsbrcke wendet die Zeilenzugriffs- und Objektzugriffseinschrnkungen fr die verwalteten Universen an oder aktualisiert diese. Sie weist Dimensionstabellen Zeilenzugriffseinschrnkungen zu, die in PeopleSoft EPM definiert sind. Diese Einschrnkungen sind benutzerspezifisch und knnen fr eine der folgenden Einstellungen konfiguriert werden: Der Benutzer hat Zugriff auf alle Daten. Der Benutzer hat Zugriff auf keine Daten. Der Benutzer hat Zugriff auf Daten auf Grundlage ihrer Zeilenebenenberechtigungen in PeopleSoft, die durch die in PeopleSoft EPM definierten Security Join Tables (SJT) angezeigt werden.

Sie weist Objektzugriffseinschrnkungen zu, um Objekte auf Grundlage der Felder zu messen, auf die von den Kennzahlen zugegriffen wird.

314

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Wenn eine Kennzahl auf Felder zugreift, die in PeopleSoft als metrisch definiert sind, wird der Zugriff auf die Kennzahl erlaubt oder nicht erlaubt, je nachdem, ob der Benutzer in PeopleSoft auf die referenzierten Metriken zugreifen kann. Wenn ein Benutzer auf keine der Metriken zugreifen kann, wird der Zugriff auf die Kennzahl nicht zugelassen. Wenn ein Benutzer auf alle Metriken zugreifen kann, wird der Zugriff auf die Kennzahl zugelassen. Als Administrator knnen Sie auch die Daten beschrnken, auf die Benutzer aus Ihrem PeopleSoft-System zugreifen knnen, indem Sie die Anzahl der Universen begrenzen, die durch die Sicherheitsbrcke verwaltet werden.

8.6.5.4

PeopleSoft-Antwortdatei

Die Funktion "Sicherheitsbrcke" der BI-Plattform wird auf der Grundlage der Einstellungen ausgefhrt, die Sie in einer Antwortdatei festlegen. Normalerweise erzeugen Sie die Antwortdatei durch Verwendung der Schnittstelle, die im Konfigurationsmodus der Sicherheitsbrcke verfgbar ist. Da die Datei eine Java-Eigenschaftsdatei ist, knnen Sie sie auch manuell ndern oder erstellen. Dieser Anhang enthlt Informationen ber die Parameter, die Sie in der Antwortdatei angeben mssen, wenn Sie sich fr eine manuelle Erstellung entscheiden.

Hinweis
Bei der Dateierstellung mssen Sie die Codewechselumschaltanforderungen fr Java-Eigenschaftsdateien beachten (das Umschaltzeichen fr ":" ist z.B. "\:").

8.6.5.4.1

Antwortdateiparameter

In der folgenden Tabelle sind die in der Antwortdatei enthaltenen Parameter beschrieben: Parameter classpath Beschreibung Klassenpfad zum Laden der erforderlichen .jar-Dateien. Sowohl unter Windows als auch unter UNIX mssen mehrere Klassenpfade durch ein Semikolon (;) getrennt werden. Die bentigten Klassenpfade sind fr die Datei com.peoplesoft.epm.pf.jar und fr die .jar-Datei des JDBC-Treibers. db.driver.name JDBC-Treibername, der zur Verbindung mit der PeopleSoft-Datenbank verwendet wird (z.B. com.microsoft.jdbc.sqlserver.SQLServerDriver)

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

315

Parameter db.connect.str

Beschreibung JDBC-Verbindungsstring, der zur Verbindung mit der PeopleSoft-Datenbank verwendet wird (z.B. jdbc:microsoft:sqlserver:// vanrdpsft01:1433;DatabaseName=PRDMO) Benutzername fr die Anmeldung bei der PeopleSoftDatenbank Kennwort fr die Anmeldung in der PeopleSoftDatenbank Mit dem Wert dieses Parameters wird festgelegt, ob der Kennwortparameter in der Antwortdatei verschlsselt ist oder nicht. Der Wert kann auf "True" oder "False" (Wahr oder Falsch) eingestellt werden. (Wenn kein Wert angegeben ist, lautet der Wert standardmig "False".) CMS, auf dem sich die Universen befinden Benutzername fr die Anmeldung beim CMS Kennwort fr die Anmeldung am CMS Mit dem Wert dieses Parameters wird festgelegt, ob der Kennwortparameter in der Antwortdatei verschlsselt ist oder nicht. Der Wert kann auf "True" oder "False" (Wahr oder Falsch) eingestellt werden. (Wenn kein Wert angegeben ist, lautet der Wert standardmig "False".) Authentifizierungsmethode fr die Anmeldung am CMS Verwaltete BI-Plattform-Gruppe. (Weitere Informationen finden Sie unter Definieren verwalteter Objekte [Seite 310].) Bestimmt beim Importieren von Benutzern aus PeopleSoft den Lizenztyp. Mit "0" wird die Namenslizenz , mit "1" die Zugriffslizenz festgelegt. Liste der verwalteten PeopleSoft-Rollen. (Weitere Informationen finden Sie unter Definieren verwalteter Objekte [Seite 310].) <n> ist eine ganze Zahl, und jeder Eintrag besetzt eine Eigenschaft des peoplesoft.role-Prfixes.

db.user.name

db.password

db.password.encrypted

enterprise.cms.name enterprise.user.name enterprise.password enterprise.password.encrypted

enterprise.authMethod

enterprise.role

enterprise.license

peoplesoft.role.n

316

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Parameter

Beschreibung

Hinweis
<n> basiert auf 1. Sie knnen "*" zur Bezeichnung aller verfgbaren PeopleSoft-Rollen verwenden, vorausgesetzt, dass n 1 ist, und es die einzige Eigenschaft ist, die peoplesoft.role als Prfix in der Antwortdatei hat. mapped.universe.n Liste der Universen, die von der Sicherheitsbrcke aktualisiert werden sollen. (Weitere Informationen finden Sie unter Definieren verwalteter Objekte [Seite 310].) <n> ist eine ganze Zahl, und jeder Eintrag besetzt eine Eigenschaft des mapped.universe-Prfixes.

Hinweis
<n> basiert auf 1. Sie knnen "*" zur Bezeichnung aller verfgbaren Universen verwenden, vorausgesetzt, dass n 1 ist, und es die einzige Eigenschaft ist, die mapped.universe als Prfix in der Antwortdatei hat. log4j.appender.file.File log4j.* Von der Sicherheitsbrcke geschriebene Protokolldatei Standardeigenschaften von log4j, die log4j fr richtiges Funktionieren bentigt: log4j.rootLogger=INFO, file, stdout log4j.appender.file=org.apache.log4j.RollingFile Appender log4j.appender.file.layout=org.apache.log4j.PatternLay out log4j.appender.file.MaxFileSize=5000KB log4j.appender.file.MaxBackupIndex=100 log4j.appender.file.layout.ConversionPattern=%d [ %-5 ] %c{1} - %m%n log4j.appender.stdout=org.apache.log4j.ConsoleAppe nder log4j.appender.stdout.layout=org.apache.log4j.Pattern Layout

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

317

Parameter

Beschreibung log4j.appender.stdout.layout.ConversionPattern=%d [ %-5 ] %c{1} - %m%n

peoplesoft classpath

Klassenpfad zu den .jar-Dateien von PeopleSoft EPM API Dieser Parameter ist optional.

enterprise.classpath

Klassenpfad zu den JAR-Dateien des BI-PlattformSDK. Dieser Parameter ist optional.

db.driver.type

PeopleSoft-Datenbanktyp. Diese Parameter knnen einen der folgenden Werte haben: Microsoft SQL Server 2000 Oracle Database 10.1 DB2 UDB 8.2 Fixpack 7 Benutzerdefiniert "Benutzerdefiniert" kann zum Angeben von Datenbanken mit anderen Formaten oder Versionen als den erkannten verwendet werden. Dieser Parameter ist optional.

sql.db.class.location sql.db.host sql.db.port sql.db.database

Der Speicherort der .jar-Dateien des SQL Server-JDBTreibers, der SQL Server-Hostrechner, der SQL ServerPort und der SQL Server-Datenbankname. Diese Parameter knnen nur verwendet werden, wenn der db.driver.type Microsoft SQL Server 2000 ist. Diese Parameter sind optional.

oracle.db.class.location oracle.db.host oracle.db.port oracle.db.sid

Der Speicherort der .jar-Dateien des Oracle-JDBCTreibers, der Oracle-Datenbank-Hostrechner, der Oracle-Datenbankanschluss und die OracleDatenbank-SID. Diese Parameter knnen nur verwendet werden, wenn der db.driver.type Oracle Database 10.1 ist. Diese Parameter sind optional.

db2.db.class.location db2.db.host db2.db.port

Der Speicherort der .jar-Dateien des DB2-JDBCTreibers, der DB2-Datenbank-Hostrechner, der DB2Datenbankanschluss und die DB2-Datenbank-SID.

318

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Parameter db2.db.sid

Beschreibung Diese Parameter knnen nur verwendet werden, wenn der db.driver.type DB2 UDB 8.2 Fixpack 7 ist. Diese Parameter sind optional.

custom.db.class.location custom.db.drivername custom.db.connectStr

Speicherort, Name und Verbindungsstring des benutzerdefinierten JDBC-Treibers Diese Parameter knnen nur verwendet werden, wenn der db.driver.type "Benutzerdefiniert" ist. Diese Parameter sind optional.

8.7 8.7.1

JD Edwards-Authentifizierung bersicht

Um JD Edwards-Daten mit der BI-Plattform zu verwenden, mssen Sie dem System Informationen ber die JD Edwards-Implementierung bereitstellen. Mithilfe dieser Informationen kann die BI-Plattform Benutzer authentifizieren, damit diese sich mit ihren JD Edwards EnterpriseOne-Anmeldedaten bei der BI-Plattform anmelden knnen.

8.7.2 Aktivieren der JD Edwards EnterpriseOneAuthentifizierung


Damit JD Edwards EnterpriseOne-Informationen von der BI-Plattform genutzt werden knnen, bentigt Enterprise Angaben zur Authentifizierung im JD Edwards EnterpriseOne-System.

8.7.2.1 Aktivieren der JD Edwards-Authentifizierung in der BI-Plattform


1. 2. 3. Melden Sie sich als Administrator bei der Central Management Console an. Klicken Sie im Verwaltungsbereich auf Authentifizierung. Doppelklicken Sie auf JD Edwards EnterpriseOne. Die Seite JD Edwards EnterpriseOne wird angezeigt. Sie enthlt vier Registerkarten: Optionen, Server, Rollen und Benutzeraktualisierung. Aktivieren Sie auf der Registerkarte Optionen das Kontrollkstchen JD Edwards EnterpriseOneAuthentifizierung aktivieren.

4.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

319

5.

Nehmen Sie unter Neuer Alias, Aktualisierungsoptionen und Optionen fr neue Benutzer die nderungen vor, die je nach Ihrer BI-Plattform-Implementierung erforderlich sind. Klicken Sie auf Aktualisieren, um die nderungen zu speichern, bevor Sie mit der Registerkarte Systeme fortfahren. Klicken Sie auf die Registerkarte Server. Geben Sie im Bereich JD Edwards EnterpriseOne-Systembenutzer einen Datenbank-Benutzernamen und ein Kennwort ein, die die BI-Plattform fr die Anmeldung bei Ihrer JD Edwards EnterpriseOne-Datenbank verwenden soll. Geben Sie im Bereich JD Edwards EnterpriseOne-Domne den Namen, den Host und den Port ein, der zum Herstellen einer Verbindung zur JD Edwards EnterpriseOne-Umgebung verwendet wird, geben Sie einen Namen fr die Umgebung ein und klicken auf Hinzufgen. Klicken Sie auf Aktualisieren, um die nderungen zu speichern.

6. 7.

8.

9.

8.7.3 Zuordnen von JD Edwards EnterpriseOne-Rollen zur BIPlattform


Die BI-Plattform erstellt fr jede zugeordnete JD Edwards EnterpriseOne-Rolle automatisch eine Gruppe. Darber hinaus erstellt das System Aliase, die die Mitglieder der zugeordneten JD Edwards EnterpriseOne-Rollen darstellen. Sie knnen fr jeden erstellten Alias ein Benutzerkonto erstellen. Wenn Sie jedoch mehrere Systeme ausfhren und Ihre Benutzer in mehreren Systemen ber Konten verfgen, knnen Sie jeden Benutzer einem Alias mit demselben Namen zuordnen, bevor Sie die Konten in der BI-Plattform erstellen. Auf diese Weise reduziert sich die Anzahl der Konten, die fr ein und denselben Benutzer in der BI-Plattform erstellt werden muss. Wenn Sie beispielsweise eine JD Edwards EnterpriseOne-Testumgebung und eine JD Edwards EnterpriseOneProduktionsumgebung betreiben und 30 Ihrer Benutzer Zugriff auf beide Systeme haben, werden nur 30 Konten fr diese Benutzer eingerichtet. Wenn Sie die Benutzer nicht jeweils einem Alias mit demselben Namen zuweisen, werden fr die 30 Benutzer in der BI-Plattform 60 Konten eingerichtet. Falls Sie jedoch mehrere Systeme ausfhren und identische Benutzernamen vorhanden sind, muss fr jeden erstellten Alias ein neues Mitgliedskonto erstellt werden. Wenn Sie Ihre Testumgebung beispielsweise mit einem Benutzerkonto fr Ronald Schneider (Benutzername "rschneider") und die Produktionsumgebung mit einem Benutzerkonto fr Regina Schneider (Benutzername "rschneider") ausfhren, mssen Sie ein separates Konto fr den Alias jedes Benutzers erstellen. Andernfalls werden die beiden Benutzer demselben BI-Plattform-Konto hinzugefgt und knnen sich nicht mit ihren eigenen JD Edwards EnterpriseOne-Anmeldedaten bei der BI-Plattform anmelden.

8.7.3.1
1. 2.

Zuordnen einer JD Edwards EnterpriseOne-Rolle

Melden Sie sich als Administrator bei der Central Management Console an. Klicken Sie im Bereich Verwalten auf Authentifizierung.

320

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

3. 4.

Doppelklicken Sie auf JD Edwards EnterpriseOne. Whlen Sie im Bereich Optionen fr neuen Alias eine der folgenden Optionen aus: Jeden hinzugefgten Alias einem Konto mit demselben Namen zuweisen Aktivieren Sie diese Option bei Verwendung mehrerer JD-Edwards-EnterpriseOne-Systeme mit Benutzern, die Konten auf mehr als einem System besitzen (dabei drfen zwei Benutzer jedoch nicht denselben Benutzernamen auf unterschiedlichen Systemen haben). Neues Konto fr jeden hinzugefgten Alias erstellen Aktivieren Sie diese Option, wenn Sie nur ein JD Edwards EnterpriseOne-System ausfhren und die Mehrheit Ihrer Benutzer nur ein Konto auf einem der Systeme hat oder falls fr unterschiedliche Benutzer auf mindestens zwei Systemen identische Benutzernamen vorhanden sind.

5.

Whlen Sie im Bereich Aktualisierungsoptionen eine der folgenden Optionen aus: Es werden neue Aliase hinzugefgt und neue Benutzer erstellt Whlen Sie diese Option, um einen neuen Alias fr jeden Benutzer zu erstellen, der der BI-Plattform zugeordnet wird. Bei Benutzern ohne BI-Plattform-Konto oder bei Aktivierung der Option "Neues Konto fr jeden hinzugefgten Alias erstellen" werden neue Konten fr die Benutzer hinzugefgt. Es werden keine neuen Aliase hinzugefgt und keine neuen Benutzer erstellt Aktivieren Sie diese Option, wenn die zuzuordnende Rolle viele Benutzer umfasst, die BI-Plattform jedoch nur von einigen wenigen Benutzern genutzt wird. Aliase und Konten fr die Benutzer werden vom System nicht automatisch erstellt. Vielmehr werden Aliase (und ggf. Konten) fr die Benutzer erst dann erstellt, wenn sie sich zum ersten Mal bei der BI-Plattform anmelden. Dies ist die Standardoption.

6.

Geben Sie unter Optionen fr neue Benutzer an, wie neue Benutzer erstellt werden. Whlen Sie eine der folgenden Optionen: Neue Benutzer werden als Namenslizenzbenutzer erstellt Neue Benutzerkonten werden fr die Verwendung von Namenslizenzen konfiguriert. Namenslizenzen sind mit bestimmten Benutzern verbunden und ermglichen den Zugriff auf das System auf der Grundlage von Benutzername und Kennwort. Dieser Lizenztyp ermglicht Benutzern den Zugriff auf das System unabhngig von der Anzahl der derzeit verbundenen Benutzer. Fr jedes mit dieser Option erstellte Benutzerkonto muss eine Namenslizenz verfgbar sein. Neue Benutzer werden als Zugriffslizenzbenutzer erstellt Neue Benutzerkonten werden fr die Verwendung von Zugriffslizenzen konfiguriert. Zugriffslizenzen geben die Anzahl der Personen an, die gleichzeitig mit der BI-Plattform verbunden sein knnen. Dieser Lizenztyp ist sehr flexibel, da mit einer geringen Anzahl von Zugriffslizenzen viele Benutzer untersttzt werden knnen. Je nach Hufigkeit und Dauer des Zugriffs auf die BI-Plattform knnen 100 Zugriffslizenzen beispielsweise 250, 500 oder auch 700 Benutzer untersttzen.

Die ausgewhlten Rollen werden jetzt als Gruppen in der BI-Plattform angezeigt. 7. 8. 9. Klicken Sie auf die Registerkarte Rollen. Whlen Sie unter Server auswlen den JD Edwards-Server, der die gewnschten Rollen enthlt. Whlen Sie unter Importierte Rollen die Rollen, die Sie der BI-Plattform zuweisen wollen, und klicken Sie auf <.

10. Klicken Sie auf Aktualisieren. Die Rollen werden der BI-Plattform zugewiesen.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

321

8.7.3.2

Hinweise zum erneuten Zuordnen

Wenn Sie Benutzer einer Rolle hinzufgen, die der BI-Plattform bereits zugeordnet wurde, mssen Sie die Rolle erneut zuordnen, damit die Benutzer zur BI-Plattform hinzugefgt werden. Beim erneuten Zuordnen der Rolle hat die Option zum Zuordnen der Benutzer als Namenslizenz- oder Zugriffslizenzbenutzer nur Einfluss auf die neuen, der Rolle hinzugefgten Benutzer. Beispiel: Zuerst ordnen Sie der BI-Plattform eine Rolle mit aktivierter Option "Neue Benutzer werden als Namenslizenzbenutzer erstellt" zu. Spter fgen Sie derselben Rolle Benutzer hinzu und ordnen die Rolle dann erneut zu, whrend die Option "Neue Benutzer werden als Zugriffslizenzbenutzer erstellt" aktiviert ist. In diesem Fall werden nur die neuen Benutzer in der Rolle der BI-Plattform als Zugriffslizenzbenutzer zugeordnet. Benutzer, die bereits zugeordnet waren, bleiben Namenslizenzbenutzer. Dasselbe gilt, wenn Sie Benutzer erst als Zugriffslizenzbenutzer zuordnen und spter die Einstellungen ndern, um neue Benutzer als Namenslizenzbenutzer neu zuzuordnen.

8.7.3.3
1. 2. 3. 4. 5.

Aufheben der Zuordnung einer Rolle

Melden Sie sich als Administrator bei der Central Management Console an. Klicken Sie im Bereich Verwalten auf Authentifizierung. Klicken Sie auf die Registerkarte fr JD Edwards EnterpriseOne. Whlen Sie im Bereich Rollen die zu entfernende Rolle aus, und klicken Sie auf <. Klicken Sie auf Aktualisieren. Mitglieder der Rolle sind nicht mehr in der Lage, auf die BI-Plattform zuzugreifen, es sei denn, sie verfgen noch ber andere Konten oder Aliase.

Hinweis
Sie knnen auch einzelne Konten lschen oder Benutzer aus Rollen entfernen, bevor Sie die Rollen der BIPlattform zuordnen, um zu verhindern, dass sich bestimmte Benutzer anmelden knnen.

8.7.4 Zeitgesteuertes Verarbeiten von Benutzeraktualisierungen


Um sicherzustellen, dass nderungen Ihrer Benutzerdaten fr das ERP-System in Ihren BI-PlattformBenutzerdaten widergespiegelt werden, knnen Sie regelmige Benutzeraktualisierungen planen. Diese Aktualisierungen synchronisieren automatisch die ERP- und BI-Plattform-Benutzer in bereinstimmung mit den Zuordnungseinstellungen, die Sie in der Central Management Console (CMC) konfiguriert haben. Fr die Ausfhrung und zeitgesteuerte Verarbeitung von Aktualisierungen fr importierte Rollen stehen zwei Optionen zur Verfgung: Nur Rollen aktualisieren: Bei Verwendung dieser Option werden nur die Verknpfungen zwischen den aktuell zugeordneten Rollen aktualisiert, die in die BI-Plattform importiert wurden. Verwenden Sie diese Option, wenn

322

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

Sie voraussichtlich hufig Aktualisierungen ausfhren mssen und Bedenken hinsichtlich der Systemressourcennutzung haben. Wenn Sie nur Rollen aktualisieren, werden keine neuen Benutzerkonten erstellt. Rollen und Aliase aktualisieren: Bei Verwendung dieser Option werden nicht nur Verknpfungen zwischen Rollen aktualisiert, sondern auch neue Benutzerkonten in der BI-Plattform fr neue Benutzeraliase erstellt, die zum ERP-System hinzugefgt wurden.

Hinweis
Wenn Sie bei der Aktivierung der Authentifizierung nicht angegeben haben, dass Benutzeraliase automatisch fr Aktualisierungen erstellt werden sollen, werden keine Konten fr neue Aliase erstellt.

8.7.4.1 Zeitgesteuertes Verarbeiten von Benutzeraktualisierungen


Nachdem Sie Rollen in der BI-Plattform zugeordnet haben, mssen Sie angeben, wie das System diese Rollen aktualisiert. 1. 2. Klicken Sie auf die Registerkarte Benutzeraktualisierung. Klicken Sie im Abschnitt Nur Rollen aktualisieren oder Rollen und Aliase aktualisieren auf Zeitgesteuert verarbeiten.

Tipp
Wenn Sie die Aktualisierung sofort ausfhren mchten, klicken Sie auf Jetzt aktualisieren.

Tipp
Verwenden Sie die Option Nur Rollen aktualisieren, wenn Sie hufig aktualisieren mchten und Bedenken bezglich der Systemressourcen haben. Das System bentigt mehr Zeit, um sowohl Rollen als auch Aliase zu aktualisieren. Das Dialogfeld Wiederholung wird angezeigt. 3. Whlen Sie in der Liste Objekt ausfhren eine Option aus, und geben Sie alle angeforderten Informationen zur zeitgesteuerten Verarbeitung ein. Bei der zeitgesteuerten Verarbeitung einer Aktualisierung stehen Ihnen die Wiederholungsmuster in der folgenden Tabelle zur Verfgung: Wiederholungsmuster Stndlich Tglich Beschreibung Die Aktualisierung wird stndlich ausgefhrt. Sie legen die Startzeit sowie Anfangs- und Enddatum fr das Objekt fest. Die Aktualisierung wird tglich oder alle n angegebenen Tage ausgefhrt. Sie knnen die Ausfhrungszeit sowie Anfangs- und Enddatum fr das Objekt festlegen.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

323

Wiederholungsmuster Wchentlich

Beschreibung Die Aktualisierung wird wchentlich ausgefhrt. Es kann einmal die Woche oder mehrmals wchentlich ausgefhrt werden. Sie knnen festlegen, an welchen Tagen und zu welcher Uhrzeit das Objekt ausgefhrt wird, und das Anfangs- und Enddatum der Ausfhrung bestimmen. Die Aktualisierung wird einmal monatlich oder alle n Monate ausgefhrt. Sie knnen die Ausfhrungszeit sowie Anfangs- und Enddatum festlegen. Die Aktualisierung wird an einem bestimmten Tag des Monats ausgefhrt. Sie knnen festlegen, an welchem Tag des Monats und zu welcher Uhrzeit die Aktualisierung ausgefhrt wird, sowie Anfangsund Enddatum der Ausfhrung bestimmen. Die Aktualisierung wird jeden Monat am ersten Montag ausgefhrt. Sie knnen die Ausfhrungszeit sowie Anfangs- und Enddatum festlegen. Die Aktualisierung wird am letzten Tag jedes Monats ausgefhrt. Sie knnen die Ausfhrungszeit sowie Anfangs- und Enddatum festlegen. Die Aktualisierung wird an einem bestimmten Tag einer bestimmten Woche im Monat ausgefhrt. Sie knnen die Ausfhrungszeit sowie Anfangs- und Enddatum festlegen. Die Aktualisierung wird zu den Terminen ausgefhrt, die in einem zuvor erstellten Kalender festgelegt wurden.

Monatlich

Am n-ten Tag des Monats

Am ersten Montag des Monats

Am letzten Tag des Monats Am x-ten Tag der n-ten Woche des Monats Kalender 4.

Klicken Sie auf Zeitgesteuert verarbeiten, nachdem Sie die Informationen fr die zeitgesteuerte Verarbeitung angegeben haben. In der Registerkarte Benutzeraktualisierung wird das Datum der nchsten zeitgesteuert verarbeiteten Rollenaktualisierung angezeigt.

Hinweis
Sie knnen die nchste zeitgesteuert verarbeitete Aktualisierung jederzeit abbrechen, indem Sie im Abschnitt Nur Rollen aktivieren oder Rollen und Aliase aktivieren auf Geplante Aktualisierungen abbrechen klicken.

8.8 8.8.1

Siebel-Authentifizierung Aktivieren der Siebel-Authentifizierung

Damit Siebel-Informationen von der BI-Plattform verwendet werden knnen, bentigt diese Informationen zur Authentifizierung im Siebel-System.

324

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

8.8.1.1 Aktivieren der Siebel-Authentifizierung in BIPlattform


1. 2. 3. Melden Sie sich als Administrator bei der Central Management Console an. Klicken Sie im Verwaltungsbereich auf Authentifizierung. Doppelklicken Sie auf Siebel. Die Seite Siebel wird angezeigt. Sie verfgt ber vier Registerkarten: Optionen, Systeme, Zustndigkeiten und Benutzeraktualisierung. Aktivieren Sie auf der Registerkarte Optionen das Kontrollkstchen Siebel-Authentifizierung aktivieren. Nehmen Sie unter Neuer Alias, Aktualisierungsoptionen und Optionen fr neue Benutzer die nderungen vor, die je nach Ihrer BI-Plattform-Implementierung erforderlich sind. Klicken Sie auf Aktualisieren, um die nderungen zu speichern, bevor Sie mit der Registerkarte Systeme fortfahren. Klicken Sie auf die Registerkarte Domnen. Geben Sie im Feld Domnenname den Domnennamen fr das Siebel-System ein, zu dem Sie eine Verbindung herstellen mchten. Geben Sie unter Verbindung die Verbindungszeichenfolge fr diese Domne ein. Geben Sie im Bereich Benutzername einen Datenbank-Benutzernamen und ein Kennwort ein, die die BIPlattform fr die Anmeldung bei der Siebel-Datenbank verwenden soll.

4. 5.

6. 7. 8. 9.

10. Geben Sie im Bereich Kennwort das Kennwort fr den Benutzer ein, den Sie ausgewhlt haben. 11. Klicken Sie auf Hinzufgen, um die Systeminformationen zu der Liste Aktuelle Domnen hinzuzufgen. 12. Klicken Sie auf Aktualisieren, um die nderungen zu speichern.

8.8.2

Zuordnen von Rollen zur BI-Plattform

Die BI-Plattform erstellt fr jede zugeordnete Siebel-Rolle automatisch eine Gruppe. Darber hinaus erstellt das Programm Aliase, die die Mitglieder der zugeordneten Siebel-Rollen darstellen. Sie knnen fr jeden erstellten Alias ein Benutzerkonto erstellen. Wenn Sie jedoch mehrere Systeme ausfhren und Ihre Benutzer in mehreren Systemen ber Konten verfgen, knnen Sie jeden Benutzer einem Alias mit demselben Namen zuordnen, bevor Sie die Konten in der BI-Plattform erstellen Auf diese Weise reduziert sich die Anzahl der Konten, die fr ein und denselben Benutzer im Programm erstellt werden mssen. Wenn Sie beispielsweise eine Siebel-eBusiness-Testumgebung und eine Produktionsumgebung betreiben und 30 Ihrer Benutzer Zugriff auf beide Systeme haben, werden nur 30 Konten fr diese Benutzer eingerichtet. Wenn Sie die Benutzer nicht jeweils einem Alias mit demselben Namen zuweisen, werden fr die 30 Benutzer in der BIPlattform 60 Konten eingerichtet. Falls Sie jedoch mehrere Systeme ausfhren und identische Benutzernamen vorhanden sind, muss fr jeden erstellten Alias ein neues Mitgliedskonto erstellt werden. Wenn Sie Ihre Testumgebung beispielsweise mit einem Benutzerkonto fr Ronald Schneider (Benutzername "rschneider") und die Produktionsumgebung mit einem Benutzerkonto fr Regina Schneider (Benutzername "rschneider") ausfhren, mssen Sie ein separates Konto fr den Alias jedes Benutzers erstellen. Andernfalls

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

325

werden die beiden Benutzer demselben Konto hinzugefgt, und sie knnen sich nicht mit ihren eigenen Siebel eBusiness-Anmeldedaten bei der BI-Plattform anmelden.

8.8.2.1 Zuordnen einer Siebel eBusiness-Rolle zur BIPlattform


1. 2. 3. 4. Melden Sie sich als Administrator bei der Central Management Console an. Klicken Sie auf Authentifizierung. Doppelklicken Sie auf Siebel eBusiness. Whlen Sie im Bereich Optionen fr neuen Alias eine der folgenden Optionen aus: Jeden hinzugefgten Alias einem Konto mit demselben Namen zuweisen Aktivieren Sie diese Option bei Verwendung mehrerer Siebel eBusiness-Systeme mit Benutzern, die ber Konten auf mehreren Systemen verfgen (dabei drfen zwei Benutzer jedoch nicht denselben Benutzernamen auf unterschiedlichen Systemen besitzen). Neues Konto fr jeden hinzugefgten Alias erstellen Aktivieren Sie diese Option, wenn Sie nur ein Siebel eBusiness-System ausfhren und die Mehrheit Ihrer Benutzer nur ber ein Konto auf einem der Systeme verfgt oder falls fr unterschiedliche Benutzer auf mindestens zwei Systemen identische Benutzernamen vorhanden sind.

5.

Whlen Sie im Bereich Aktualisierungsoptionen eine der folgenden Optionen aus: Es werden neue Aliase hinzugefgt und neue Benutzer erstellt Whlen Sie diese Option, um einen neuen Alias fr jeden Benutzer zu erstellen, der die BI-Plattform zugeordnet wird. Bei Benutzern ohne BI-Plattform-Konto oder bei Aktivierung der Option "Neues Konto fr jeden hinzugefgten Alias erstellen" werden neue Konten fr die Benutzer hinzugefgt. Es werden keine neuen Aliase hinzugefgt und keine neuen Benutzer erstellt Aktivieren Sie diese Option, wenn die zuzuordnende Rolle viele Benutzer umfasst, die BI-Plattform jedoch nur von einigen wenigen Benutzern genutzt wird. Aliase und Konten fr die Benutzer werden vom Programm nicht automatisch erstellt. Vielmehr werden Aliase (und ggf. Konten) fr die Benutzer erst dann erstellt, wenn sie sich zum ersten Mal bei der BI-Plattform anmelden. Dies ist die Standardoption.

6.

Geben Sie unter Optionen fr neue Benutzer an, wie neue Benutzer erstellt werden. Whlen Sie eine der folgenden Optionen: Neue Benutzer werden als Namenslizenzbenutzer erstellt Neue Benutzerkonten werden fr die Verwendung von Namenslizenzen konfiguriert. Namenslizenzen sind mit bestimmten Benutzern verbunden und ermglichen den Zugriff auf das System auf der Grundlage von Benutzername und Kennwort. Dieser Lizenztyp ermglicht Benutzern den Zugriff auf das System unabhngig von der Anzahl der derzeit verbundenen Benutzer. Fr jedes mit dieser Option erstellte Benutzerkonto muss eine Namenslizenz verfgbar sein. Neue Benutzer werden als Zugriffslizenzbenutzer erstellt Neue Benutzerkonten werden fr die Verwendung von Zugriffslizenzen konfiguriert. Zugriffslizenzen geben die Anzahl der Personen an, die gleichzeitig mit der BI-Plattform verbunden sein knnen. Dieser Lizenztyp ist sehr flexibel, da mit einer geringen Anzahl von Zugriffslizenzen viele Benutzer untersttzt werden knnen. Je nach Hufigkeit und Dauer des Zugriffs auf die BI-Plattform knnen 100 Zugriffslizenzen beispielsweise 250, 500 oder auch 700 Benutzer untersttzen.

7.

Klicken Sie auf die Registerkarte Rollen.

326

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

8. 9.

Whlen Sie die Domne, die dem Siebel-Server entspricht, fr den Sie Rollen zuordnen mchten. Whlen Sie unter Verfgbare Rollen die zuzuordnenden Rollen, und klicken Sie auf >.

Hinweis
Sie knnen die Suche ber das Feld Rollen suchen, die wie folgt anfangen: eingrenzen, wenn Sie eine groe Anzahl von Rollen haben. Geben Sie die Zeichen ein, mit denen die Rolle bzw. Rollen beginnen sollen, gefolgt von einem Platzhalterzeichen (%), und klicken Sie auf Suchen. 10. Klicken Sie auf Aktualisieren. Die Rollen werden der BI-Plattform zugeordnet.

8.8.2.2

Hinweise zum erneuten Zuordnen

Um die Gruppen- und Benutzersynchronisierung zwischen der BI-Plattform und Siebel zu erzwingen, aktivieren Sie die Option Benutzersynchronisierung erzwingen.

Hinweis
Um Benutzersynchronisierung erzwingen auswhlen zu knnen, mssen Sie zuerst Es werden neue Aliase hinzugefgt und neue Benutzer erstellt auswhlen. Beim erneuten Zuordnen der Rolle hat die Option zum Zuordnen der Benutzer als Namenslizenz- oder Zugriffslizenzbenutzer nur Einfluss auf die neuen, der Rolle hinzugefgten Benutzer. Beispiel: Zuerst ordnen Sie der BI-Plattform eine Rolle mit aktivierter Option "Neue Benutzer werden als Namenslizenzbenutzer erstellt" zu. Spter fgen Sie derselben Rolle Benutzer hinzu und ordnen die Rolle dann erneut zu, whrend die Option "Neue Benutzer werden als Zugriffslizenzbenutzer erstellt" aktiviert ist. In diesem Fall werden nur die neuen Benutzer in der Rolle der BI-Plattform als Zugriffslizenzbenutzer zugeordnet. Benutzer, die bereits zugeordnet waren, bleiben Namenslizenzbenutzer. Dasselbe gilt, wenn Sie Benutzer erst als Zugriffslizenzbenutzer zuordnen und spter die Einstellungen ndern, um neue Benutzer als Namenslizenzbenutzer neu zuzuordnen.

8.8.2.3
1. 2. 3. 4. 5. 6.

Aufheben der Zuordnung einer Rolle

Melden Sie sich als Administrator bei der Central Management Console an. Klicken Sie im Bereich Verwalten auf Authentifizierung. Doppelklicken Sie auf Siebel. Whlen Sie auf der Registerkarte Domnen die Siebel-Domne, die der Rolle bzw. den Rollen entsprechen, deren Zuordnung Sie aufheben mchten. Whlen Sie auf der Registerkarte Rollen die zu entfernende Rolle aus, und klicken Sie auf <. Klicken Sie auf Aktualisieren. Mitglieder der Rolle sind nicht mehr in der Lage, auf die BI-Plattform zuzugreifen, es sei denn, sie verfgen noch ber andere Konten oder Aliase.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Authentifizierung

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

327

Hinweis
Sie knnen auch einzelne Konten lschen oder Benutzer aus Rollen entfernen, bevor Sie die Rollen der BIPlattform zuordnen, um zu verhindern, dass sich bestimmte Benutzer anmelden knnen.

8.8.3 Zeitgesteuertes Verarbeiten von Benutzeraktualisierungen


Um sicherzustellen, dass nderungen Ihrer Benutzerdaten fr das ERP-System in Ihren BI-PlattformBenutzerdaten widergespiegelt werden, knnen Sie regelmige Benutzeraktualisierungen planen. Diese Aktualisierungen synchronisieren automatisch die ERP- und BI-Plattform-Benutzer in bereinstimmung mit den Zuordnungseinstellungen, die Sie in der Central Management Console (CMC) konfiguriert haben. Fr die Ausfhrung und zeitgesteuerte Verarbeitung von Aktualisierungen fr importierte Rollen stehen zwei Optionen zur Verfgung: Nur Rollen aktualisieren: Bei Verwendung dieser Option werden nur die Verknpfungen zwischen den aktuell zugeordneten Rollen aktualisiert, die in die BI-Plattform importiert wurden. Verwenden Sie diese Option, wenn Sie voraussichtlich hufig Aktualisierungen ausfhren mssen und Bedenken hinsichtlich der Systemressourcennutzung haben. Wenn Sie nur Rollen aktualisieren, werden keine neuen Benutzerkonten erstellt. Rollen und Aliase aktualisieren: Bei Verwendung dieser Option werden nicht nur Verknpfungen zwischen Rollen aktualisiert, sondern auch neue Benutzerkonten in der BI-Plattform fr neue Benutzeraliase erstellt, die zum ERP-System hinzugefgt wurden.

Hinweis
Wenn Sie bei der Aktivierung der Authentifizierung nicht angegeben haben, dass Benutzeraliase automatisch fr Aktualisierungen erstellt werden sollen, werden keine Konten fr neue Aliase erstellt.

8.8.3.1 Zeitgesteuertes Verarbeiten von Benutzeraktualisierungen


Nachdem Sie Rollen in der BI-Plattform zugeordnet haben, mssen Sie angeben, wie das System diese Rollen aktualisiert. 1. 2. Klicken Sie auf die Registerkarte Benutzeraktualisierung. Klicken Sie im Abschnitt Nur Rollen aktualisieren oder Rollen und Aliase aktualisieren auf Zeitgesteuert verarbeiten.

Tipp
Wenn Sie die Aktualisierung sofort ausfhren mchten, klicken Sie auf Jetzt aktualisieren.

328

2013 SAP AG oder ein SAP-Konzernunternehmen. Alle Rechte

vorbehalten.

Administratorhandbuch fr SAP BusinessObjects Business Intelligence Auth