PUBLIC

2017-06-01

Business Intelligence Platform Administrator Guide

Contenu

1 Historique du document. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

2 Getting Started. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
2.1 A propos de ce guide. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Public concerné par ce guide. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
A propos de la plateforme de Business Intelligence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Variables. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
Terminologie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
2.2 Avant de commencer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Notions clés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
Outils d'administration clés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
Tâches clés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

3 Architecture. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
3.1 Présentation de l'architecture. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .39
Schéma des composants. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
Niveaux d'architecture. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
Bases de données. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Serveurs, hôtes et clusters. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
Serveurs d'applications Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
Kits de développement logiciel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .49
Sources de données. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Authentification et connexion unique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Intégration SAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Contrôle de version intégrée. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
Chemin de mise à niveau. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
3.2 Serveurs, services, nœuds et hôtes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
Modifications des serveurs depuis la version XI 3.1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57
Services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Service categories. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
Types de serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
Serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
3.3 Applications client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Installées avec les outils client de la plateforme SAP BusinessObjects Business Intelligence. . . . . . . 74
Installées avec la plateforme SAP BusinessObjects Business Intelligence. . . . . . . . . . . . . . . . . . . . 78
Disponibles séparément. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Clients d'applications Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

Business Intelligence Platform Administrator Guide

2 PUBLIC Contenu
3.4 Workflows de traitement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Démarrage et authentification. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Objets de programme. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Crystal Reports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
Web Intelligence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
Analysis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .94
3.5 Intégration à la barre de lancement SAP Fiori sur le SAP Enterprise Portal . . . . . . . . . . . . . . . . . . . . . . 95

4 System Configuration Wizard. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

4.1 Introduction à l'Assistant de configuration du système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
4.2 Indication des produits utilisés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
4.3 Sélection d'un modèle de déploiement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
4.4 Indication des emplacements des dossiers de données. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
4.5 Révision des modifications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
4.6 Fichiers journaux et fichiers de réponse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
Utilisation d'un fichier de réponse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102

5 Managing Licenses. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106

5.1 Gestion des clés de licence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
Pour afficher les informations de licence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
Pour ajouter une clé de licence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
Pour visualiser l'activité du compte actuel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

6 Managing Users and Groups. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

6.1 Présentation de la gestion des comptes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Gestion des utilisateurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
Gestion des groupes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
Types d'authentification disponibles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .110
6.2 Gestion des comptes Enterprise et des comptes généraux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Pour créer un compte d'utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 111
Pour modifier un compte d'utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112
Pour supprimer un compte d'utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Pour créer un groupe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Pour modifier les propriétés d'un groupe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Pour afficher les membres d'un groupe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
Pour ajouter des sous-groupes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Pour définir l'appartenance à un groupe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115
Pour supprimer un groupe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Pour ajouter des utilisateurs ou groupes d'utilisateurs en bloc. . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
Pour activer le compte Guest. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Ajout d'utilisateurs à des groupes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
Modification des paramètres de mot de passe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

Business Intelligence Platform Administrator Guide

Contenu PUBLIC 3
 Octroi d'un droit d'accès à des utilisateurs et à des groupes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
Contrôle de l'accès aux boîtes de réception des utilisateurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Configuration des options de la zone de lancement BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121
Gestion des attributs des utilisateurs système . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
Classement des attributs utilisateur entre plusieurs options d'authentification. . . . . . . . . . . . . . . . 126
Pour ajouter un nouvel attribut utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126
Pour modifier les attributs utilisateur personnalisés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
6.3 Gestion des alias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128
Pour créer un utilisateur et ajouter un alias tiers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .128
Pour créer un alias pour un utilisateur existant. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .129
Pour affecter un alias d'un autre utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129
Pour supprimer un alias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .130
Pour désactiver un alias. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .130

7 Setting Rights. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

7.1 Fonctionnement des droits sur la plateforme de BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Niveaux d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132
Définition de droits avancés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133
Héritage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
Droits spécifiques au type. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
Détermination des droits effectifs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .140
7.2 Gestion des paramètres de sécurité des objets dans la CMC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .141
Pour visualiser les droits d'un utilisateur ou groupe principal sur un objet. . . . . . . . . . . . . . . . . . . . 141
Pour affecter des utilisateurs ou groupes principaux à une liste de contrôle d'accès d'un objet
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
Pour modifier les droits d'un utilisateur ou groupe principal sur un objet. . . . . . . . . . . . . . . . . . . . .142
Définition des droits sur un dossier de niveau supérieur dans la plateforme de BI. . . . . . . . . . . . . . 143
Vérification des paramètres de sécurité pour un utilisateur ou un groupe principal. . . . . . . . . . . . . 144
7.3 Utilisation des niveaux d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
Choisir entre les niveaux d'accès Visualiser et Visualiser à la demande. . . . . . . . . . . . . . . . . . . . . . 148
Pour copier un niveau d'accès existant. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Pour créer un niveau d'accès . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149
Pour renommer un niveau d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
Pour supprimer un niveau d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
Pour modifier les droits d'un niveau d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150
Suivi de la relation entre niveaux d'accès et objets. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
Gestion des niveaux d'accès sur différents sites. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
7.4 Rupture de l'héritage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153
Désactiver l'héritage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154
7.5 Utilisation des droits pour déléguer l'administration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
Choisir entre les options « Modifier les droits des utilisateurs sur les objets ». . . . . . . . . . . . . . . . . . 156
Droits de propriétaire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158

Business Intelligence Platform Administrator Guide

4 PUBLIC Contenu
7.6 Récapitulatif des recommandations concernant l'administration des droits. . . . . . . . . . . . . . . . . . . . .158

8 Securing the BI Platform. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159

8.1 Présentation de la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
8.2 Planification de récupération d'urgence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159
8.3 Recommandations générales pour la sécurité de votre déploiement. . . . . . . . . . . . . . . . . . . . . . . . . . 160
8.4 Configuration de la sécurité pour les serveurs tiers fournis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
8.5 Relation de confiance active. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
Jetons de connexion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
Système de ticket pour la sécurité distribuée. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .162
8.6 Sessions et suivi de session. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Suivi de session du CMS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Gestion des sessions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164
8.7 Protection de l'environnement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .165
Du navigateur Web au serveur Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .165
Serveur Web vers la plateforme de BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
8.8 Audit des modifications de la configuration de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
8.9 Audit de l'activité Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Protection contre les tentatives de connexion malveillantes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
Restrictions relatives aux mots de passe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
Restrictions relatives aux connexions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
Restrictions relatives aux utilisateurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
Restrictions relatives au compte Guest. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
8.10 Extensions de traitement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
8.11 Interface d'analyse anti-virus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
Activation de l'analyse anti-virus. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169
8.12 Présentation de la sécurité des données de la plateforme de BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
Modes de sécurité du traitement des données. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170
8.13 Cryptographie sur la plateforme de BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
Utilisation de clés de cluster. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
Agents de cryptographie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
Gestion des clés de cryptage dans la CMC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176
8.14 Configuration des serveurs pour SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
Création de fichiers de clé et de certificat. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .181
Configuration de SSL lorsque le certificat est géré par une autorité de certification. . . . . . . . . . . . . 183
Génération d'un fichier pse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .185
Configuration du protocole SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
8.15 Description de la communication entre les composants de la plateforme de BI. . . . . . . . . . . . . . . . . . .191
Présentation des serveurs de la plateforme de BI et des ports de communication. . . . . . . . . . . . . . 192
Communication entre les composants de la plateforme de BI . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
8.16 Configuration de la plateforme de BI pour les pare-feu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206
Pour configurer le système pour des pare-feu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206

Business Intelligence Platform Administrator Guide

Contenu PUBLIC 5
 Débogage d'un déploiement équipé d'un pare-feu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
8.17 Exemples de scénarios classiques de pare-feu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210
Exemple - Niveau application déployé sur un réseau distinct. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Exemple : Client lourd et niveau base de données séparés des serveurs de la plateforme de BI par
un pare-feu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .213
8.18 Paramètres de pare-feu pour les environnements intégrés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .215
Instructions propres au pare-feu pour l'intégration SAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
Configuration du pare-feu pour l'intégration JD Edwards EnterpriseOne. . . . . . . . . . . . . . . . . . . . .218
Instructions propres au pare-feu pour Oracle EBS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
Configuration du pare-feu pour l'intégration PeopleSoft Enterprise . . . . . . . . . . . . . . . . . . . . . . . 220
Configuration du pare-feu pour l'intégration Siebel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .221
8.19 Plateforme de BI et serveurs proxy inverses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Serveurs proxy inverses pris en charge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
Description du déploiement des applications Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .223
8.20 Configuration des serveurs proxy inverses pour les applications Web de la plateforme de Business
Intelligence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
Instructions détaillées relatives à la configuration des serveurs proxy inverses. . . . . . . . . . . . . . . . 224
Pour configurer le serveur proxy inverse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
Pour configurer le serveur proxy inverse Apache 2.2 pour la plateforme de BI . . . . . . . . . . . . . . . . 225
Pour configurer le serveur proxy inverse WebSEAL 6.0 pour la plateforme de BI . . . . . . . . . . . . . . 226
Pour configurer Microsoft ISA 2006 pour la plateforme de BI . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227
8.21 Configuration spéciale de la plateforme de BI dans les déploiements de serveurs proxy inverses
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Activation du proxy inverse pour les services Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
Activation du chemin racine des cookies de session pour ISA 2006. . . . . . . . . . . . . . . . . . . . . . . . 231
Activation du proxy inverse pour SAP BusinessObjects Live Office. . . . . . . . . . . . . . . . . . . . . . . . 233

9 Authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
9.1 Options d'authentification dans la plateforme de BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
Authentification primaire. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .235
Plug-ins de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
Connexion unique à la plateforme de BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237
9.2 Enterprise authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
Présentation de l'authentification Enterprise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .240
Paramètres d'authentification Enterprise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240
Modification des paramètres d'Enterprise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241
Activation de l'authentification sécurisée. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243
Configuration de l'authentification sécurisée pour l'application Web. . . . . . . . . . . . . . . . . . . . . . . 244
9.3 LDAP authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
Utilisation de l'authentification LDAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
Configuration de l'authentification LDAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .255
Mappage des groupes LDAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265

Business Intelligence Platform Administrator Guide

6 PUBLIC Contenu
9.4 Windows AD authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
Using Windows AD authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
Preparing the Domain Controller. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
Configuring AD Authentication in the CMC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278
Configuring the BI platform service to run the SIA. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286
Configuring the web application server for AD Authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
Single Sign-On Setup. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297
Troubleshooting Windows AD authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .314
9.5 SAP authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
Configuration de l'authentification SAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
Création d'un compte utilisateur pour la plateforme de BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317
Connexion aux systèmes d'autorisation de SAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318
Définition des options d'authentification SAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
Importation de rôles SAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .324
Configuration de la communication réseau sécurisée (SNC). . . . . . . . . . . . . . . . . . . . . . . . . . . . .328
Configuration de la connexion unique au système SAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .342
Configuration de la connexion unique pour SAP Crystal Reports et SAP NetWeaver. . . . . . . . . . . . 347
9.6 PeopleSoft authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
Présentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
Activation de l'authentification PeopleSoft Enterprise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 348
Mappage de rôles PeopleSoft à la plateforme de BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
Planification de mises à jour utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
Utilisation de la passerelle de sécurité PeopleSoft. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 354
9.7 JD Edwards authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
Présentation générale. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
Activation de l'authentification JD Edwards EnterpriseOne. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
Mappage de rôles JD Edwards EnterpriseOne à la plateforme de BI. . . . . . . . . . . . . . . . . . . . . . . . 365
Planification de mises à jour utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367
9.8 Siebel authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
Activation de l'authentification Siebel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
Mappage de rôles à la plateforme de BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .370
Planification de mises à jour utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373
9.9 Oracle EBS authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
Activation de l'authentification Oracle EBS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
Mappage de rôles Oracle E-Business Suite à la plateforme de BI. . . . . . . . . . . . . . . . . . . . . . . . . . 376
Démappage de rôles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
Personnalisation des droits pour les groupes et utilisateurs Oracle EBS mappés . . . . . . . . . . . . . . 380
Configuration de la connexion unique pour SAP Crystal Reports et Oracle EBS. . . . . . . . . . . . . . . . 381
9.10 X.509 Authentication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
X.509 Authentication for BI Launchpad. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
X.509 Authentication for Web Services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390

Business Intelligence Platform Administrator Guide

Contenu PUBLIC 7
 X.509 Authentication for CMC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392

10 Server Administration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396

10.1 Utilisation de la zone de gestion Serveurs de la CMC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396
10.2 Gestion des serveurs à l'aide de scripts sous Windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399
10.3 Gestion des serveurs sous Unix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399
10.4 Affichage et modification du statut d'un serveur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399
Visualisation de l'état des serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .399
Démarrage, arrêt et redémarrage d'un serveur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401
Arrêt d'un Central Management Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403
Activation et désactivation de serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404
10.5 Ajout, clonage ou suppression de serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
Ajout, clonage et suppression de serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 405
10.6 Mise en cluster de Central Management Servers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
Mise en cluster de Central Management Servers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408
10.7 Gestion des groupes de serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412
Création d'un groupe de serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413
Conversion d'un groupe de serveurs exclusif en groupe de serveurs non exclusif et vice versa.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415
Utilisation des sous-groupes de serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .417
Modification de l'appartenance d'un serveur à un groupe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 418
Accès en administration à un serveur ou à un groupe de serveurs accordé aux utilisateurs. . . . . . . 419
Mappage d'un groupe d'utilisateurs à un groupe de serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . .421
Mappage d'un dossier à un groupe de serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422
10.8 Configuration des serveurs de traitement adaptif (APS, Adaptive Processing Servers) pour les
systèmes de production. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 424
10.9 Évaluation des performances du système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
Surveillance des serveurs de la plateforme de BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
Analyse des performances du serveur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425
Affichage des performances du système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426
Journalisation des activités du serveur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426
10.10 Configuration des paramètres des serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
Pour modifier les propriétés d'un serveur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 427
Pour appliquer les paramètres de service à plusieurs serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . 428
Utilisation des modèles de configuration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .428
10.11 Configuration des paramètres réseau du serveur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
Options d'environnement réseau. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431
Options d'identification de l'hôte du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432
Configuration d'un ordinateur multi-résident. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .434
Configuration des numéros de port. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437
10.12 Gestion des nœuds. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440
Utilisation des nœuds. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 440

Business Intelligence Platform Administrator Guide

8 PUBLIC Contenu
 Ajout d'un nœud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 442
Recréation d'un nœud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .446
Suppression d'un nœud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450
Renommer un nœud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453
Déplacement d'un nœud. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454
Paramètres de script. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458
Ajout des dépendances de serveurs Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463
Modification des références de connexion utilisateur pour un nœud. . . . . . . . . . . . . . . . . . . . . . . 464
10.13 Renommage d'un ordinateur dans un déploiement de plateforme de BI. . . . . . . . . . . . . . . . . . . . . . . 464
Modification du nom des clusters. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .464
Modification des adresses IP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
Renommage des ordinateurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .466
10.14 Utilisation des bibliothèques tierces 32 bits et 64 bits avec la plateforme de BI. . . . . . . . . . . . . . . . . . 470
10.15 Gestion des espaces réservés de nœuds et de serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471
Visualisation des espaces réservés de serveur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 471
Visualisation et modification des espaces réservés d'un nœud. . . . . . . . . . . . . . . . . . . . . . . . . . . 471

11 Managing Central Management Server (CMS) Databases. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472

11.1 Gestion des connexions à la base de données système du CMS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 472
Sélection de SQL Anywhere comme base de données du CMS. . . . . . . . . . . . . . . . . . . . . . . . . . . 472
Sélection de SAP HANA comme base de données du CMS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473
11.2 Sélection d'une base de données CMS (nouvelle ou existante). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 474
Pour sélectionner une base de données de CMS nouvelle ou existante sous Windows. . . . . . . . . . . 475
Pour sélectionner une base de données de CMS nouvelle ou existante sous UNIX. . . . . . . . . . . . . .476
11.3 Recréation de la base de données système du CMS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476
Pour recréer la base de données système du CMS sous Windows. . . . . . . . . . . . . . . . . . . . . . . . . 477
Pour recréer la base de données système du CMS sous UNIX. . . . . . . . . . . . . . . . . . . . . . . . . . . . 478
11.4 Copie de données d'une base de données système d'un CMS dans une autre. . . . . . . . . . . . . . . . . . . 479
Préparation de la copie d'une base de données système du CMS. . . . . . . . . . . . . . . . . . . . . . . . . 480
Pour copier une base de données système du CMS sous Windows. . . . . . . . . . . . . . . . . . . . . . . . 480
Copie de données d'une base de données système du CMS sous UNIX. . . . . . . . . . . . . . . . . . . . . 481
11.5 Pilote de base de données du CMS (Central Management Server). . . . . . . . . . . . . . . . . . . . . . . . . . . 481

12 Managing Web Application Container Servers (WACS). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482

12.1 WACS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .482
Serveur conteneur d'applications Web (WACS). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482
Ajout ou suppression de serveurs WACS à votre déploiement. . . . . . . . . . . . . . . . . . . . . . . . . . . .485
Ajout ou suppression de services aux serveurs WACS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 488
Configuration HTTPS/SSL. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 490
Méthodes d'authentification prises en charge. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493
Configuration d'AD Kerberos pour un serveur WACS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .494
Configuration de la connexion unique Kerberos AD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501

Business Intelligence Platform Administrator Guide

Contenu PUBLIC 9
 Configuration des services Web RESTful. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .503
Configuration des serveurs WACS dans votre environnement informatique. . . . . . . . . . . . . . . . . . 513
Configuration des propriétés d'applications Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516
Dépannage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 517
Propriétés des serveurs WACS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 521

13 Backing Up and Restoring Your System. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522

13.1 Présentation de la sauvegarde et de la restauration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522
13.2 Terminologie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522
13.3 Cas d'utilisation de la sauvegarde et de la restauration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 523
13.4 Sauvegardes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525
Sauvegarde du système entier. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 526
Sauvegarde des paramètres du serveur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 530
Sauvegarde du contenu BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .533
13.5 Restauration du système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 533
Restauration de votre système entier. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534
Restauration des paramètres de serveur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541
Restauration du contenu BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544
13.6 Scripts BackupCluster et RestoreCluster. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544

14 Copying Your BI Platform Deployment. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548

14.1 Présentation de la copie du système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
14.2 Terminologie. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .548
14.3 Cas d'utilisation de la copie du système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548
14.4 Planification de la copie du système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 549
14.5 Remarques et restrictions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550
14.6 Procédure de copie de système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552
Pour exporter depuis un système source. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 552
Pour importer dans un système cible. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556

15 Promotion Management. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 560

15.1 Bienvenue dans la gestion des promotions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 560
Présentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 560
Fonctionnalités. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 560
Droits d'accès à l'application. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 561
Prise en charge de WinAD dans la gestion des promotions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 562
Remplacement des informations dans la plateforme de BI 4.1 SP3 et version ultérieure. . . . . . . . . 562
Remplacement des connexions entre le serveur d'applications et le serveur de messagerie. . . . . . .563
15.2 Introduction à l'outil de gestion des promotions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564
Accès à l'outil de gestion de la promotion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564
Composants de l'interface utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564
Utilisation de l'option Paramètres. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .566

Business Intelligence Platform Administrator Guide

10 PUBLIC Contenu
15.3 Utilisation de l'outil de gestion des promotions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574
Création et suppression de dossiers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574
Permet de créer un travail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575
Pour créer un travail en copiant un travail existant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 578
Pour rechercher un travail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 578
Pour modifier un travail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579
Pour ajouter un InfoObject à un travail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 579
Pour gérer les dépendances d'un travail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 580
Pour rechercher des objets dépendants . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 582
Pour promouvoir un travail quand les référentiels sont connectés. . . . . . . . . . . . . . . . . . . . . . . . . 582
Promotion d'un travail à l'aide d'un fichier LCMBIAR. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 585
Pour planifier une promotion de travail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 588
Pour afficher l'historique d'un travail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 590
Pour reprendre un travail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 590
15.4 Pour gérer différentes versions d'un InfoObject. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 592
Droits d'accès à l'application de la gestion des versions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 593
Sauvegarde et restauration des fichiers Subversion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .594
15.5 Promotion du contenu d'un référentiel entier à l'aide de l'outil de gestion des promotions. . . . . . . . . . 595
Pour préparer les systèmes source et cible. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 595
Stratégies de migration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 597
15.6 Étapes de promotion d'un système entier. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 598
Pour promouvoir les utilisateurs et les groupes d'utilisateurs (Travail 1). . . . . . . . . . . . . . . . . . . . .598
Pour promouvoir des objets dépendants (Travail 2). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 599
Pour promouvoir des objets principaux (Travail 3). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .600
Post-promotion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 601
15.7 Utilisation de l'option Ligne de commande. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 601
Pour exécuter l'outil de ligne de commande sous Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .602
Pour exécuter l'outil de ligne de commande sous Unix. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602
Paramètres d'outil de ligne de commande. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603
Exemple de fichier de propriétés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 623
15.8 Utilisation du CTS (Change and Transport System) amélioré. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .624
Prérequis. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 624
Pour configurer la plateforme de BI et l'intégration CTS+. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 625
Pour promouvoir un travail à l'aide de CTS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 632

16 Version Management. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 636

16.1 Pour gérer différentes versions de ressources BI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 636
16.2 Démarrage et arrêt manuels de Subversion sous Unix. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .637
16.3 Fichiers requis pour Subversion sous Solaris 10 et RedHat Linux 5. . . . . . . . . . . . . . . . . . . . . . . . . . . 638
16.4 Utilisation de l'option Paramètres du système de gestion des versions. . . . . . . . . . . . . . . . . . . . . . . . 638
Paramètres du système de gestion des versions par défaut. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 639
Configuration du système de gestion des versions ClearCase dans Windows. . . . . . . . . . . . . . . . . 640

Business Intelligence Platform Administrator Guide

Contenu PUBLIC 11
 Configuration du système de gestion des versions ClearCase dans Unix. . . . . . . . . . . . . . . . . . . . 640
16.5 Comparaison de différentes versions du même travail. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 640
16.6 Mise à niveau du contenu de SubVersion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 641
16.7 Configuration de Subversion pour les Job Server de traitement groupés. . . . . . . . . . . . . . . . . . . . . . .642
Option A : configurer l'ordinateur Subversion principal avant de réaliser une opération du système
de gestion des versions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 642
Option B : configurer Subversion après la création d'un répertoire de copie de travail par le
système de gestion des versions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 642
Configuration d'autres ordinateurs Subversion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 643
16.8 Pour accéder à la même vue ClearCase depuis plusieurs serveurs de gestion des versions. . . . . . . . . .644

17 Visual Difference. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .645

17.1 Différence visuelle dans l'outil de gestion des promotions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 645
Comparaison d'objets ou de fichiers à l'aide de la différence visuelle. . . . . . . . . . . . . . . . . . . . . . . 646
Comparaison d'objets ou de fichiers à l'aide du système de gestion des versions. . . . . . . . . . . . . . 647
Planification de la comparaison. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 648

18 Managing Applications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 650

18.1 Gestion des applications via la CMC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 650
Présentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 650
Paramètres courants pour les applications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 651
Paramètres spécifiques aux applications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 652
18.2 Gestion des applications à l'aide des propriétés de la couche sémantique. . . . . . . . . . . . . . . . . . . . . . 707
18.3 Gestion des applications via les propriétés du fichier BOE.war. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 708
Fichier war BOE. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 708
18.4 Personnalisation des points d'entrée de connexion de la zone de lancement BI et OpenDocument
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .717
Emplacements des fichiers Zone de lancement BI et OpenDocument. . . . . . . . . . . . . . . . . . . . . . . 717
Pour définir une page de connexion personnalisée. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 718
Pour ajouter l'authentification sécurisée à la connexion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 719
18.5 Personnalisation des interfaces utilisateur d'application. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 720
Web Intelligence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 720
Zone de lancement BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 739

19 Managing Connections and Universes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 740

19.1 Gestion des connexions. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 740
Pour supprimer une connexion d'univers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 740
19.2 Gestion des univers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 741
Pour supprimer des univers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 741

20 Monitoring. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .743
20.1 A propos de la surveillance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 743
20.2 Terminologie de la surveillance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 744

Business Intelligence Platform Administrator Guide

12 PUBLIC Contenu
 Architecture. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .746
20.3 Configuration de la prise en charge de la base de données pour la surveillance . . . . . . . . . . . . . . . . . . 747
Configuration pour l'utilisation de la base de données Derby. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 748
Configuration pour utiliser la base de données d'audit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 748
20.4 Propriétés de configuration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 756
URL du point de terminaison JMX. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .759
Authentification HTTPS pour les métriques de surveillance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 760
Cryptage des mots de passe pour les tests. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 760
20.5 Intégration à d'autres applications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 760
Intégration de l'application de surveillance à IBM Tivoli. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 761
Intégration de l'application de surveillance à SAP Solution Manager . . . . . . . . . . . . . . . . . . . . . . . 763
20.6 Prise en charge de cluster pour serveur de surveillance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .764
20.7 Dépannage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 764
Tableau de bord. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 765
Alertes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .765
Liste de veille. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 766
Tests. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 767
Métriques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 768
Graphique. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 768

21 CMS Reporting. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 769

21.1 À propos du reporting du CMS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 769
Architecture de la plateforme SAP BusinessObjects. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 769
Structure de la base de données système du CMS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 770
À propos des InfoObjects. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .772
21.2 Aperçu du reporting du CMS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 774
21.3 Connexion de la base de données du CMS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 775
21.4 À propos du kit d'exemples de reporting du CMS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 776
Importation du kit d’exemples de reporting du CMS avec l'outil de gestion des promotions. . . . . . . 777
Exemple d'univers du CMS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778
Extension de l'exemple d'univers du CMS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778
21.5 Création d'un rapport sur le CMS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .778

22 BI Administrators' Cockpit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 780

22.1 À propos du Cockpit de l'administrateur BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 780
Page d'accueil du Cockpit de l'administrateur BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 780
BI et Serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 781
BI sur des instances de document. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 782
Utilisateurs et sessions dans BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 783
BI et Utilisation du contenu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 784
BI et Applications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 785

23 Recycle Bin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 787

Business Intelligence Platform Administrator Guide

Contenu PUBLIC 13
23.1 À propos de la Corbeille. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 787
Restauration d'un élément de la corbeille. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 787
Suppression définitive des éléments de la corbeille. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 788
Activation du nettoyage automatique de la Corbeille. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 788

24 Auditing. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 790
24.1 Présentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 790
24.2 Page Audit de la CMC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .796
Statut de l'audit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 796
Configuration des événements d'audit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 798
Paramètres de configuration des magasins de données d'audit. . . . . . . . . . . . . . . . . . . . . . . . . . .801
24.3 Evénements d'audit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 802
Evénements et détails d'audit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .812

25 Events. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 831
25.1 À propos des événements. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .831
Notifications d'utilisateur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 832

26 Platform Search. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 836

26.1 Description de la recherche de plateformes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 836
SDK de recherche de plateformes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 836
Environnement en cluster. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 837
26.2 Installation de la recherche de plateformes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 837
Déploiement d'OpenSearch. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 837
Configuration du proxy inverse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 839
Configuration des propriétés de l'application dans la CMC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 839
26.3 Utilisation de la recherche de plateformes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 847
Indexation de contenu dans le référentiel CMS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 847
Liste d'échecs d'indexation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 848
Recherche des résultats. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 849
26.4 Intégration de la recherche de plateformes à SAP NetWeaver Enterprise Search. . . . . . . . . . . . . . . . . 855
Création d'un connecteur dans SAP NetWeaver Enterprise Search . . . . . . . . . . . . . . . . . . . . . . . .856
Importation du rôle d'un utilisateur dans la plateforme de BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . .856
26.5 Recherche depuis SAP NetWeaver Enterprise Search. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 857
26.6 Audit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 857
26.7 Dépannage. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 859
Auto-guérison. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 859
Problem Scenarios. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 859

27 Federation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .862
27.1 Fédération. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 862
27.2 Terminologie Fédération. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 863
27.3 Gestion des droits de sécurité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .865

Business Intelligence Platform Administrator Guide

14 PUBLIC Contenu
 Droits requis sur le site d'origine. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 865
Droits requis sur le site de destination. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 866
Droits spécifiques à Fédération. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 867
Réplication de la sécurité sur un objet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .868
Réplication de la sécurité à l'aide des niveaux d'accès.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 869
27.4 Options de types et de mode de réplication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 869
Réplication unidirectionnelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 869
Réplication bidirectionnelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .870
Actualiser à partir du site d'origine ou Actualiser à partir de la destination. . . . . . . . . . . . . . . . . . . 870
27.5 Réplication d'utilisateurs et de groupes tiers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 872
27.6 Réplication des univers et des connexions d'univers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 873
27.7 Gestion des listes de réplication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 874
Création de listes de réplication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 875
Modification des listes de réplication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 877
27.8 Gestion des connexions à distance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 878
Création de connexions à distance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 878
Modification des connexions à distance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 880
27.9 Gestion des travaux de réplication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 881
Création de travaux de réplication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 881
Planification de travaux de réplication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 883
Modification des travaux de réplication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .883
Visualisation d'un journal après un travail de réplication. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 884
27.10 Gestion du nettoyage des objets. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 885
Utilisation du nettoyage des objets. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 885
Limites du nettoyage des objets. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .886
Fréquence de nettoyage des objets. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 886
27.11 Gestion de la détection et de la résolution des conflits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 887
Résolution des conflits de réplication unidirectionnelle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .887
Résolution des conflits de réplication bidirectionnelle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 889
27.12 Utilisation des services Web dans Fédération. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 892
Variables de session . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .893
Mise en cache des fichiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 893
Déploiement personnalisé . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 894
27.13 Planification à distance et instances exécutées localement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 895
Planification à distance. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 895
Instances exécutées localement. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 896
Partage d'instances. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 897
27.14 Importation et promotion de contenu répliqué. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 898
Importation de contenu répliqué. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 898
Importation de contenu répliqué et réplication continue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 899
Promotion de contenu à partir d'un environnement de test. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .899

Business Intelligence Platform Administrator Guide

Contenu PUBLIC 15
 Redirection d'un site de destination. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 900
27.15 Meilleures pratiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 900
Limites de la version actuelle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 903
Dépannage des messages d'erreur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 904

28 Supplementary Configurations for ERP Environments. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 909

28.1 Configurations pour l'intégration SAP NetWeaver. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .909
Intégration avec SAP Business Warehouse (BW). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .909
28.2 Configuration pour l'intégration JD Edwards. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .952
Configuration de la connexion unique pour SAP Crystal Reports. . . . . . . . . . . . . . . . . . . . . . . . . . 952
Configuration de SSL (Secure Sockets Layer) pour les intégrations JD Edwards. . . . . . . . . . . . . . .953
28.3 Configuration pour l'intégration PeopleSoft Enterprise. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 954
Configuration de la connexion unique pour SAP Crystal Reports et PeopleSoft Enterprise. . . . . . . . 954
Configuration de la communication Secure Sockets Layer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 955
Ajustement des performances pour les systèmes PeopleSoft. . . . . . . . . . . . . . . . . . . . . . . . . . . . 957
28.4 Configuration pour l'intégration Siebel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .958
Configuration de Siebel pour l'intégration à la plateforme SAP BI. . . . . . . . . . . . . . . . . . . . . . . . . 958
Création de l'élément de menu Crystal Reports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 959
Reconnaissance contextuelle. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 961
Configuration de la connexion unique pour SAP Crystal Reports et Siebel. . . . . . . . . . . . . . . . . . . 963
Configuration de la communication Secure Sockets Layer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 963

29 Managing and Configuring Logs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 966

29.1 Journalisation des traces de composant. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 966
29.2 Niveaux du journal de suivi. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 966
29.3 Configuration du suivi pour les serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .967
Pour définir le niveau de journalisation dans la CMC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .968
Pour définir le niveau de journalisation de plusieurs serveurs dans la CMC. . . . . . . . . . . . . . . . . . . 968
Pour configurer le suivi de serveur à l'aide du fichier Bo_trace.ini. . . . . . . . . . . . . . . . . . . . . . . . . 969
29.4 Configuration du suivi pour les applications Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 971
Pour définir le niveau du journal de suivi des applications Web dans la CMC. . . . . . . . . . . . . . . . . . 972
Configuration des paramètre de suivi de serveur à l'aide du fichier BO_trace.ini. . . . . . . . . . . . .972
29.5 Configuration du suivi pour l'outil de gestion de mise à niveau. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 977
Pour configurer le suivi pour l'outil de gestion de mise à niveau. . . . . . . . . . . . . . . . . . . . . . . . . . . 977
29.6 Configuration du traçage pour les applications clientes de la plateforme de BI . . . . . . . . . . . . . . . . . . 978

30 Integration to SAP Solution Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 979

30.1 Présentation de l'intégration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 979
30.2 Liste de vérification de l'intégration SAP Solution Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 979
30.3 Gestion de l'enregistrement du répertoire du paysage système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 980
Enregistrement de la plateforme de BI dans le paysage système. . . . . . . . . . . . . . . . . . . . . . . . . .980
Déclenchement de l'enregistrement SLD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 982

Business Intelligence Platform Administrator Guide

16 PUBLIC Contenu
 Nettoyage SLD avant les installations des correctifs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 982
Connexion de la connectivité SLD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 983
30.4 Gestion des agents Solution Manager Diagnostics. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 983
Présentation de Solution Manager Diagnostics (SMD). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 983
Utilisation des agents SMD. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 984
Compte utilisateur SMAdmin. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .984
30.5 Gestion de l'instrumentation des performances. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 985
Instrumentation de performances pour la plateforme de BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 985
Configuration de l'instrumentation de performances pour la plateforme de BI. . . . . . . . . . . . . . . . 985
Instrumentation de performances pour le niveau Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 986
Fichiers journaux d'instrumentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .987
30.6 Suivi avec le Passeport SAP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 987

31 Command Line Administration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 989

31.1 Scripts UNIX. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 989
Utilitaires de script. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 989
Modèles de scripts. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 995
Scripts utilisés par la plateforme de BI. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 995
31.2 Scripts Windows. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 997
ccm.exe. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 997
31.3 Server Command Lines. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1000
Présentation des lignes de commande. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1000
Options standard communes à tous les serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1001
Central Management Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1001
Crystal Reports Processing Server et Crystal Reports Cache Server. . . . . . . . . . . . . . . . . . . . . . 1003
Serveur de traitement Dashboards et Dashboards Cache Server. . . . . . . . . . . . . . . . . . . . . . . . .1004
Job Servers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1005
Serveur de traitement adaptatif. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1006
Report Application Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1006
Web Intelligence Processing Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1009
Input et Output File Repository Servers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1010
Event Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1012

32 Repository Diagnostic Tool. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1013

32.1 Présentation du Repository Diagnostic Tool. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1013
32.2 Utilisation du Repository Diagnostic Tool (RDT, outil de diagnostic de référentiel). . . . . . . . . . . . . . . 1013
Pour utiliser l'outil de diagnostic de référentiel. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1014
Paramètres du Repository Diagnostic Tool. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1015
32.3 Incohérences entre le CMS et le FRS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1023
32.4 Incohérences dans les métadonnées du CMS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1024

33 Rights Appendix. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1028

Business Intelligence Platform Administrator Guide

Contenu PUBLIC 17
33.1 A propos de l'annexe relative aux droits. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1028
33.2 Droits généraux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1028
33.3 Droits sur les types d'objet spécifiques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1031
Droits d'accès aux dossiers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1031
Catégories. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1031
Documents Desktop Intelligence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1032
Remarques. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1033
Rapports Crystal. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1034
Documents Web Intelligence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1034
Utilisateurs et groupes. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1036
Niveaux d'accès. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1037
Droits d'univers (.unv). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1038
Droits d'univers (.unx). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1039
Niveaux d'accès aux objets d'univers. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1040
Droits de connexion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1042
Applications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1043

34 Server Properties Appendix. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1059

34.1 A propos de l'annexe relative aux propriétés des serveurs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1059
Propriétés courantes du serveur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1059
Propriétés des services principaux. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1061
Propriétés des services de connectivité. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1073
Propriétés des services Crystal Reports. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1077
Propriétés d'Analysis Services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1086
Propriétés des services de fédération de données. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1087
Propriétés des services Web Intelligence. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1088
Propriétés de Dashboards Services. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1095

35 Server Metrics Appendix. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1097

35.1 A propos de l'annexe Métriques du serveur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1097
Métriques communes du serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1098
Métriques du Central Management Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1099
Métrique du serveur de connexion. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1102
Métriques de l'Event Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1103
Métriques du File Repository Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1103
Métriques du serveur de traitement adaptatif. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1104
Métriques de serveurs conteneurs d'applications Web. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1108
Métriques d'Adaptative Job Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1109
Métriques de Crystal Reports Server. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1111
Métriques de Web Intelligence Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1113
Métriques du serveur Dashboards. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1115

36 Server and Node Placeholder Appendix. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1117

Business Intelligence Platform Administrator Guide

18 PUBLIC Contenu
36.1 Espaces réservés de nœud et de serveur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1117

37 Auditing Data Store Schema Appendix. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1126

37.1 Présentation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1126
37.2 Diagramme de schéma. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1126
37.3 Tables du magasin de données d'audit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1126

38 Monitoring Database Schema Appendix. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1135

38.1 Schéma de la base de données des tendances. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1135

39 System Copy Worksheet Appendix. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1138

39.1 Feuille de calcul Copie du système. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1138

Business Intelligence Platform Administrator Guide

Contenu PUBLIC 19
1 Historique du document

Le tableau suivant fournit une présentation des principales modifications du document.

Table 1 :
Version Date Description

Plateforme SAP Busines­ Mai 2013 Première version de ce document.

sObjects BI 4.1

Plateforme SAP Busines­ Août 2013 ● Le chapitre « Gestion des promotions » a été mis à jour.
sObjects BI 4.1 Support ● Le chapitre « Gestion des licences » a été mis à jour.
Package 1
● Autres corrections et mises à jour secondaires.

Plateforme SAP Busines­ Novembre 2013 ● Le chapitre « Gestion des versions » a été mis à jour.
sObjects BI 4.1 Support ○ La section « Pour lancer la gestion des versions sous
Package 2 Solaris 10 » a été ajoutée.
○ La section « Démarrage et arrêt manuels de Subver­
sion sous Unix » a été ajoutée.
○ La section « Paramètres système par défaut de la
gestion des versions » a été ajoutée.
○ La section « Pour utiliser l'option des paramètres sys­
tème de gestion des versions » a été mise à jour.
● Le chapitre « Gestion de la promotion » a été mis à jour.
○ La section « Utilisation des paramètres de remplace­
ment du cycle de vie » a été mise à jour.
○ La section « Utilisation de l'option de ligne de com­
mande » a été mise à jour.
○ La section « Paramètres de l'outil de ligne de com­
mande » a été mise à jour.
● Le chapitre « Repository Diagnostic Tool » a été mis à
jour.
● La section « Personnalisation de l'interface Web Intelli­
gence » a été mise à jour.
● Autres corrections et mises à jour secondaires.

Plateforme SAP Busines­ Mars 2014 ● Section « Gestion des sessions » ajoutée.
sObjects BI 4.1 Support ● Section « Personnalisation des interfaces utilisateur d'ap­
Package 3 plication » réorganisée et mise à jour.
● Audit Design Studio ajouté.
● Section décrivant la méthode de modification de port de
demande du CMS ajoutée.
● Informations ajoutées sur l'utilisation des bases de don­
nées Oracle pour la surveillance.

Plateforme SAP Busines­ Juin 2014 ● Zone de lancement BI ajoutée à la section « Gestion des
sObjects BI 4.1 Support applications ».
Package 4 ● Ajout d'un paramètre de ligne de commande -
legacymode pour le File Repository Server.

Business Intelligence Platform Administrator Guide

20 PUBLIC Historique du document
 Version Date Description

Plateforme SAP Busines­ Novembre 2014 ● Une section SAP Lumira a été ajoutée sous "Architecture
sObjects BI 4.1 Sup­ > Applications client > Disponibles séparément".
port Package 5 ● SAP Lumira a été ajouté à la section « Gestion des appli­
cations > Gestion des applications via la CMC > Présenta­
tion ».
● La section "Gestion des paramètres SAP Lumira" a été
ajoutée sous "Gestion des applications > Gestion des ap­
plications via la CMC > Paramètres spécifiques aux appli­
cations".
● Section "Interfaces utilisateur de l'application de person­
nalisation" mise à jour avec la fonctionnalité de personna­
lisation de dossier.
● Les types Analysis Office et Lumira document ont été
ajoutés aux sections "Types de contenu" et "Types de
contenu pouvant être recherchés".
● Une note sur la prise en charge de l'indexation de contenu
complète a été ajoutée à la section "Configuration des
propriétés de l'application dans la CMC".
● Une note a été ajoutée sur la recherche de métadonnées
dans la section "Facettes".
● La section "Configuration de fichiers SBO" a été mise à
jour.
● La valeur par défaut a été mise à jour pour l'option -
maxobjectsincache dans la section « Central mana­
gement Server ».
● La section "Propriétés des services Web Intelligence" a
été mise à jour avec le paramètre de ligne de commande
-
Dsap.sl.bics.variableComplexSelectionMa
pping=n.
● La section "Paramètres du Repository Diagnostic Tool" a
été mise à jour avec le paramètre de ligne de commande
-trace.
● La valeur maximale pour le champ Supprimer les
événements datant de plus de (jours) a été mise à jour
dans la section "Configuration des paramètres de base de
données du magasin de données d'audit".

Business Intelligence Platform Administrator Guide

Historique du document PUBLIC 21
Version Date Description

Plateforme SAP Busines­ Juin 2015 ● La section "Authentification" a été mise à jour avec le nou­
sObjects BI 4.1 Sup­ veau niveau de sécurité du mot de passe sous "Authentifi­
port Package 6 cation > Authentification Enterprise > Modification des
paramètres d'Enterprise > Pour modifier les paramètres
généraux de mot de passe".
● Le serveur SFTP a été ajouté à la description du service
sous "Architecture > Serveurs, services, nœuds et hôtes >
Services > Table 4 > Service de planification de livraison
vers la destination".
● Le serveur SFTP a été ajouté à la description du service
sous "Architecture > Serveurs, services, nœuds et hôtes >
Services > Table 4 > Service de publication".
● Le serveur SFTP a été ajouté comme application tierce
sous "Sécurisation de la plateforme de BI > Description de
la communication entre les composants de la plateforme
de BI > Communication entre les composants de la plate­
forme de BI > Ports requis pour la plateforme de BI >
Ports requis pour les applications tierces".
● "Envoyer vers l'emplacement SFTP" a été ajouté comme
droit sous "Annexe relative aux droits > Droits sur les ty­
pes d'objet spécifiques > Applications > Zone de lance­
ment BI".
● "Paramètres par défaut valides pour la destination SFTP"
a été ajouté comme métrique sous "Annexe relative aux
métriques de serveur > À propos de l'annexe Métriques
de serveur > Métriques de l'Adaptive Job Server > Ta­
ble 240 : Métriques de Job Server".
● La description de "Serveur de messagerie" a été mise à
jour sous "Sécurisation de la plateforme de BI > Descrip­
tion de la communication entre les composants de la pla­
teforme de BI > Communication entre les composants de
la plateforme de BI > Ports requis pour la plateforme de BI
> Ports requis pour les applications tierces" avec les éta­
pes pour configurer SMTP sur SSL.
● La section "Activation de la connexion unique pour la
CMC" a été ajoutée sous "Authentification > Options d'au­
thentification sur la plateforme de BI > Connexion unique
sur la plateforme de BI > Prise en charge de la connexion
unique".
● La section "Mise en cluster de Central Management Ser­
vers" a été mise à jour sous "Administration du serveur >
Mise en cluster de Central Management Servers".
● La section "Restrictions relatives aux mots de passe" a
été mise à jour sous "Sécurisation de la plateforme de BI >
Audit de l'activité Web".
● La section "Espaces de travail BI" a été mise à jour sous
"Architecture > Applications clientes > Clients d'applica­
tions Web".
● "Script de requête : activer la modification (SQL, MDX,
etc.)" a été ajouté comme droit sous "Annexe relative aux
droits > Droits sur les types d'objet spécifiques > Docu­
ments Web Intelligence".

Business Intelligence Platform Administrator Guide

22 PUBLIC Historique du document
 Version Date Description

Plateforme SAP Busines­ Novembre 2015 ● Nouveau chapitre ajouté concernant le "Cockpit d'admi­
sObjects BI 4.2 nistration BI"
● Nouveau chapitre ajouté concernant les "Événements",
décrivant les "Notifications d'utilisateur" et autres événe­
ments.
● La section "Gestion des paramètres de l'application des
commentaires BI" a été ajoutée sous "Gestion des appli­
cations > Gestion des applications via la CMC > Paramè­
tres spécifiques aux applications".
● Nouveau chapitre ajouté concernant la "Corbeille".
● Nouvelle section ajoutée "Extraction sélective d'objet d'un
fichier LCMBIAR" sous "Gestion de la promotion > Utilisa­
tion de l'outil de gestion des promotions > Promotion d'un
travail à l'aide d'un fichier LCMBIAR > Importation d'un
travail depuis un fichier LCMBIAR".
● Mise à jour de "Pour promouvoir les remplacements" sous
"Gestion de la promotion > Introduction à l'outil de ges­
tion de la promotion > Utilisation de l'option Paramètres >
Utilisation de l'option Remplacer les options".
● Mise à jour de "Pour activer la connexion unique Vintela
pour les services Web" sous "Authentification > Authenti­
fication Windows AD > Configuration de la connexion uni­
que > Utilisation de la connexion unique Vintela".
● Mise à jour de "Configuration de la communication réseau
sécurisée (SNC)" sous "Authentification > Authentifica­
tion SAP".
● Ajout d'une capture d'écran dans "Pour configurer les pa­
ramètres SNC d'authentification SAP" sous "Authentifica­
tion > Authentification SAP > Configuration de la commu­
nication réseau sécurisée (SNC) > Configuration de la pla­
teforme de BI pour une sécurité côté serveur".
● Mise à jour de "Présentation de la sécurité côté serveur
SAP" avec des captures d'écran sous "Authentification >
Authentification SAP > Configuration de la communica­
tion réseau sécurisée (SNC)".
● Mise à jour de "Configuration de la connexion unique au
système SAP" sous "Authentification > Authentification
SAP".
● Mise à jour de "Génération du fichier de stockage de clés"
sous "Authentification > Authentification SAP > Configu­
ration de la connexion unique au système SAP".
● Mise à jour de "Configuration de la connexion unique à la
base de données SAP dans la CMC" sous "Authentifica­
tion > Authentification SAP > Configuration de la conne­
xion unique au système SAP".
● Ajout de huit droits Commentaires BI dans "Droits géné­
raux", sous "Annexe relative aux droits".

Business Intelligence Platform Administrator Guide

Historique du document PUBLIC 23
Version Date Description

Plateforme SAP Busines­ Décembre 2015 ● Ajout d'une remarque dans "Gestion des paramètres de
sObjects BI 4.2 Sup­ l'application des commentaires BI" sous "Gestion des ap­
port Package 1 plications > Gestion des applications via la CMC > Para­
mètres spécifiques aux applications".
● Mise à jour du "Clonage des serveurs" sous "Administra­
tion du serveur > Ajout, clonage ou suppression de ser­
veurs :

Plateforme SAP Busines­ Mars 2016 ● Ajout d'une note dans "Gestion des licences" sous "Ges­
sObjects BI 4.2 Sup­ tion des clés de licence > Pour ajouter une clé de licence".
port Package 2 ● La description de "Serveur de messagerie" a été mise à
jour sous "Sécurisation de la plateforme de BI > Descrip­
tion de la communication entre les composants de la pla­
teforme de BI > Communication entre les composants de
la plateforme de BI > Ports requis pour la plateforme de BI
> Ports requis pour les applications tierces" avec les éta­
pes pour configurer SMTP sur SSL.

Business Intelligence Platform Administrator Guide

24 PUBLIC Historique du document
 Version Date Description

Plateforme SAP Busines­ Août 2016 ● Mise à jour des rubriques "Onglet Éléments de l'interface
sObjects BI 4.2 Sup­ utilisateur" et "Personnalisation de l'apparence de l'inter­
port Package 3 face Web Intelligence" sous "Gestion des applications".
● Mise à jour de la procédure "Pour activer les points d'ex­
tension de l'interface utilisateur Web Intelligence" sous
"Gestion des applications".
● Mise à jour de la description de "Serveur de messagerie"
sous "Sécurisation de la plateforme de BI > Description de
la communication entre les composants de la plateforme
de BI > Communication entre les composants de la plate­
forme de BI > Configuration requise pour les ports de la
plateforme de Business Intelligence > Ports requis pour
les applications tierces" avec les étapes pour configurer
SMTP sur SSL.
● Ajout de la section "Pour créer un groupe de serveurs ex­
clusif" sous Administration du serveur > Groupes de ser­
veurs > Gestion des groupes de serveurs > Création d'un
groupe de serveurs.
● Ajout de la section "Conversion d'un groupe de serveurs
exclusif en groupe de serveurs non exclusif" sous Admi­
nistration du serveur > Groupes de serveurs > Gestion
des groupes de serveurs >Conversion d'un groupe de ser­
veurs exclusif en groupe de serveurs non exclusif et vice
versa.
● Ajout de la section "Conversion d'un groupe de serveurs
non exclusif en groupe de serveurs exclusif" sous Admi­
nistration du serveur > Groupes de serveurs > Gestion
des groupes de serveurs >Conversion d'un groupe de ser­
veurs exclusif en groupe de serveurs non exclusif et vice
versa.
● Mise à jour de la section "Pour modifier l'appartenance
d'un serveur à un groupe" sous Administration du serveur
> Groupes de serveurs > Gestion des groupes de serveurs
> Modification de l'appartenance d'un serveur à un
groupe.
● Ajout de la rubrique "Mappage d'un groupe d'utilisateurs à
un groupe de serveurs" sous Administration du serveur >
Groupes de serveurs > Gestion des groupes de serveurs.
● Ajout de la rubrique "Pilote de base de données du CMS
(Central Management Server)" sous Gestion des bases de
données du Central Management Server (CMS).
● Ajout de la rubrique "Utilisateurs et sessions dans BI"
sous Cockpit d'administration BI > À propos du Cockpit
d'administration BI.
● Mise à jour de la section "À propos de la corbeille" avec
des nouveaux InfoObjects pris en charge sous "Corbeille"
● Mise à jour de "Droits généraux" avec de nouveaux droits
pour BI Commentaire sous "Annexe relative aux droits".

Business Intelligence Platform Administrator Guide

Historique du document PUBLIC 25
Version Date Description

Plateforme SAP Busines­ Mai 2017 ● Ajout de la rubrique "Nettoyage SLD avant les installa­
sObjects BI 4.2 Sup­
tions des correctifs" sous Intégration à SAP Solution Ma­
port Package 4
nager>Gestion du paysage système
● Mise à jour de la troisième remarque sous Sécurisation de
la plateforme de BI > Configuration SSL > Configuration
des serveurs pour SSL > Création des fichiers de clé et de
certificat
● Ajout de la rubrique "Génération d'un fichier pse" sous Sé­
curisation de la plateforme de BI > Configuration SSL >
Configuration des serveurs pour SSL
● Mise à jour de la table sous Sécurisation de la plateforme
de BI > Configuration SSL > Configuration des serveurs
pour SSL > Configuration du protocole SSL > Pour confi­
gurer le protocole SSL dans le CCM
● Mise à jour de la table et du code sous Sécurisation de la
plateforme de BI > Configuration SSL > Configuration des
serveurs pour SSL > Configuration du protocole SSL >
Pour configurer les clients lourds
● Modification de la rubrique "Suppression d'un nœud sous
Windows" et "Suppression d'un nœud sous Unix" sous
Administration du serveur > Gestion des nœuds > Sup­
pression d'un nœud
● Modification d'une rubrique "Création d'une connexion
SAP HANA" sous Gestion des applications > Paramètres
spécifiques aux applications > Configuration de la conne­
xion unique SAP HANA
● Ajout d'une rubrique "Utilisation de X509" sous Authenti­
fication > Authentification Windows AD > Configuration
de la connexion unique
● Ajout de la rubrique "Mappage d'un dossier à un groupe
de serveurs" sous Administration du serveur > Groupes
de serveurs > Gestion des groupes de serveurs.
● Ajout de deux nouvelles rubriques relatives à l'interface
d'analyse anti-virus : "Interface d'analyse anti-virus" et
"Activation de l'interface d'analyse anti-virus".
● Mise à jour de la rubrique "Création d'un compte utilisa­
teur".
● Mise à jour de la description de "Serveur de messagerie"
sous "Sécurisation de la plateforme de BI > Description de
la communication entre les composants de la plateforme
de BI > Communication entre les composants de la plate­
forme de BI > Configuration requise pour les ports de la
plateforme de Business Intelligence > Ports requis pour
les applications tierces" avec les étapes pour configurer
SMTP sur SSL.
● Ajout d'une remarque dans Gestion des paramètres de
l'application des commentaires BI sous Gestion des appli­
cations > Gestion des applications via la CMC > Paramè­
tres spécifiques aux applications.
● Ajout d'une rubrique "Reporting du CMS" sous Suivi

Business Intelligence Platform Administrator Guide

26 PUBLIC Historique du document
 Version Date Description

● Ajout d'une rubrique "Configuration d'une connexion SAP

HANA HTTPS" sous "Gestion des applications > Gestion
des applications via la CMC > Paramètres spécifiques aux
applications > Configuration de la connexion unique SAP
HANA

Business Intelligence Platform Administrator Guide

Historique du document PUBLIC 27
2 Getting Started

2.1 A propos de ce guide

Ce guide fournit des informations et des procédures pour le déploiement et la configuration de la plateforme SAP
BusinessObjects Business Intelligence (la « plateforme de BI »). Les procédures décrivent les tâches courantes.
Des informations d'ordre conceptuel et des détails techniques se rapportent aux questions plus élaborées.

Pour en savoir plus sur l'installation de ce produit, voir le Guide d'installation de la plateforme SAP BusinessObjects
Business Intelligence.

2.1.1 Public concerné par ce guide

Ce guide porte sur le déploiement et la configuration de la plateforme de BI. Il est recommandé de consulter ce
guide si vous réalisez l'une des tâches suivantes :

● planifiez votre premier déploiement ;

● configurez votre premier déploiement ;
● apportez d'importantes modifications à l'architecture d'un déploiement existant ;
● améliorez les performances de votre système.

Ce guide s'adresse aux administrateurs système responsables de la configuration, de la gestion et de la

maintenance d'une installation de la plateforme de BI. La maîtrise de votre système d'exploitation et de votre
environnement réseau est des plus utiles, tout comme une connaissance générale des technologies relatives à la
gestion des serveurs d'applications Web et à la rédaction de scripts. Toutefois, afin de tenir compte des différents
niveaux d'expérience en matière d'administration, ce guide tente de fournir suffisamment d'informations
contextuelles et conceptuelles pour clarifier l'ensemble des fonctions et des tâches d'administration.

2.1.2 A propos de la plateforme de Business Intelligence

La plateforme de BI (Business Intelligence) est une solution souple et évolutive permettant de fournir des
informations aux utilisateurs finaux sous diverses formes, notamment des tableaux de bord et des rapports
interactifs via n'importe quelle application Web, notamment un intranet, un extranet, Internet ou un portail
d'entreprise.

Suite intégrée spécialisée dans le reporting, l'analyse et la diffusion d'informations, la plateforme permet aux
utilisateurs finaux d'augmenter leur productivité tout en réduisant les tâches administratives. Qu'elle soit utilisée
pour diffuser des rapports de ventes hebdomadaires, fournir aux clients des services personnalisés ou intégrer
des informations importantes dans des portails d'entreprise, la plateforme offre des avantages concrets qui
dépassent le simple cadre de l'entreprise.

Business Intelligence Platform Administrator Guide

28 PUBLIC Getting Started
2.1.3 Variables

Les variables suivantes sont utilisées dans ce guide.

Variable Description

<REPINSTALL > Répertoire dans lequel est installée la plateforme de BI.

Sous Windows, le répertoire par défaut est : C:\Program

Files (x86)\SAP BusinessObjects\.

<REPPLATEFORME64> Nom de votre système d'exploitation Unix. Les valeurs

acceptées sont les suivantes :
● aix_rs6000_64
● linux_x64
● solaris_sparcv9
● hpux_ia64

<REPSCRIPT> Répertoire où sont situés les scripts pour la gestion de la

plateforme de BI.

Sous Windows, le répertoire est <REPINSTALL>\SAP

BusinessObjects
Enterprise XI 4.0\win64_x64\scripts.

Sous Unix, le répertoire est <REPINSTALL>/sap_bobj/

enterprise_xi40/<REPPLATEFORME64>/scripts.

2.1.4 Terminologie

La documentation de la plateforme de BI utilise la terminologie suivante :

Table 2 :

Terme Définition

produits de modules complémentaires Produits utilisant la plateforme de BI mais disposant de leur

propre programme d'installation, tels que SAP
BusinessObjects Explorer.

Magasin de données d'audit Base de données utilisée pour stocker les données d'audit

Plateforme de BI Abréviation pour Plateforme SAP BusinessObjects Business

Intelligence

base de données fournie, serveur d'applications Web fourni Base de données ou serveur d'applications Web accompa­
gnant la plateforme de BI

Business Intelligence Platform Administrator Guide

Getting Started PUBLIC 29
Terme Définition

cluster Au moins deux serveurs CMS (Central Management Servers)

travaillant ensemble et utilisant une seule base de données du
CMS.

mettre en cluster Pour créer un cluster.

Par exemple, pour créer un cluster :

1. Installez un CMS et une base de données du CMS sur l'or­

dinateur A.
2. Installez un CMS sur l'ordinateur B.
3. Dirigez le CMS installé sur l'ordinateur B vers la base de
données du CMS installée sur l'ordinateur A.

clé de cluster Utilisée pour déchiffrer les clés de la base de données du

CMS.

Vous pouvez changer de clé de cluster dans le CCM mais vous

ne pouvez pas réinitialiser la clé comme un mot de passe. Elle
renferme un contenu chiffré et il est essentiel de ne pas la per­
dre.

CMS Abréviation pour Central Management Server

Base de données du CMS Base de données utilisée par le CMS pour stocker les informa­
tions relatives à la plateforme de BI

déploiement Logiciel de la plateforme de BI installé, configuré et exécuté

sur un ou plusieurs ordinateurs.

l'installation Une instance des fichiers de la plateforme de BI créée par le

programme d'installation sur un ordinateur

ordinateur Ordinateur sur lequel le logiciel de la plateforme de BI est in­

stallé

version principale Version complète du logiciel, telle que 4.0

migration Processus de transfert de contenu BI depuis une version prin­

cipale précédente (par exemple, depuis XI 3.1) à l'aide de l'ou­
til de gestion de mise à niveau.

Ce terme ne concerne pas les déploiements de même version

principale. Voir promotion.

version secondaire Version comportant certains composants, telle que 4.2

nœud Groupe de serveurs de la plateforme de BI qui s'exécutent sur

le même ordinateur et sont gérés par le même SIA (Server In­
telligence Agent)

Business Intelligence Platform Administrator Guide

30 PUBLIC Getting Started
 Terme Définition

Correctif Petite mise à jour concernant une version de Support Package

spécifique

promotion Processus de transfert de contenu BI entre des déploiements

de même version principale (par exemple, de 4.0 vers 4.0) à
l'aide de l'application de gestion des promotions

serveur Un processus de la plateforme de BI. Un serveur héberge un

ou plusieurs services.

Server Intelligence Agent Processus gérant un groupe de serveurs, notamment l'arrêt,

le démarrage et le redémarrage des serveurs

Support Package Mises à jour logicielle concernant une version secondaire ou

principale

Serveurs d'applications Web Serveur traitant du contenu dynamique. Par exemple, le ser­
veur d'applications Web fourni pour 4.2 est Tomcat 8.

mise à niveau La planification, la préparation, la migration et le post-traite­

ment nécessaires à la réalisation d'un processus de migration

2.2 Avant de commencer

2.2.1 Notions clés

2.2.1.1 Server Intelligence

Server Intelligence est un composant central de la plateforme de BI. Les modifications des processus des
serveurs appliquées dans la CMC (Central Management Console) sont répercutées sur les objets serveur
correspondants par le CMS (Central Management Server). Le SIA (Server Intelligence Agent) est utilisé pour
redémarrer ou arrêter automatiquement un serveur lorsqu'il rencontre une condition inattendue ; un
administrateur y accède lorsqu'il gère un nœud.

Le CMS stocke les informations relatives aux serveurs dans la base de données système du CMS, si bien que vous
pouvez facilement restaurer les paramètres par défaut des serveurs. Comme le SIA interroge périodiquement le
CMS pour demander des informations sur les serveurs qu'il gère, le SIA connaît l'état dans lequel doivent être les
serveurs et le moment où appliquer une action.

Remarque
Une installation de la plateforme de BI est une instance unique des fichiers de la plateforme de BI créée par le
programme d'installation sur un ordinateur. Une instance d'installation de la plateforme de BI ne peut être

Business Intelligence Platform Administrator Guide

Getting Started PUBLIC 31
 utilisée qu'au sein d'un seul cluster. Les nœuds appartenant à différents clusters qui partagent la même
installation de la plateforme de BI ne sont pas pris en charge parce que ce type de déploiement ne peut pas se
voir appliquer des correctifs ou des mises à jour. Seules les plateformes Unix prennent en charge plusieurs
installations du logiciel sur le même ordinateur et ce, uniquement si chaque installation est effectuée sous un
compte utilisateur unique et est placée dans un dossier distinct afin que les installations ne partagent aucun
fichier. Rappelez-vous que tous les ordinateurs du cluster doivent avoir le même niveau de version et de
correctif.

Informations associées

Serveurs, hôtes et clusters [page 43]

2.2.1.2 Serveurs, services, nœuds et hôtes

La plateforme de BI utilise les termes serveur et service pour désigner les deux types de logiciels s'exécutant sur
un ordinateur de la plateforme de BI.

Le terme « serveur » sert à décrire un processus au niveau du système d'exploitation (appelé démon sur certains
systèmes) qui héberge un ou plusieurs services. Par exemple, le Central Management Server (CMS) et le serveur
de traitement adaptatif sont des serveurs. Un serveur s'exécute sous un compte système spécifique et possède
son propre ID de processus (PID).

Un service est un sous-système de serveur qui exécute une fonction spécifique. Le service s'exécute dans
l'espace mémoire de son serveur sous l'ID de processus du conteneur parent (serveur). Par exemple, le service de
planification Web Intelligence est un sous-système qui s'exécute sur l'Adaptive Job Server.

Un nœud est un ensemble de serveurs de la plateforme de BI qui s'exécutent tous sur le même hôte et sont gérés
par le même SIA (Server Intelligence Agent). Un même hôte peut contenir un ou plusieurs nœuds.

La plateforme de BI peut être installée sur un seul ordinateur, répartie sur plusieurs ordinateurs d'un intranet ou
sur un réseau étendu (WAN).

Le diagramme suivant illustre une hypothèse d'installation de la plateforme de BI. Le nombre d'hôtes, nœuds,
serveurs et services, ainsi que le type des serveurs et services, varient en dans les installations réelles.

Business Intelligence Platform Administrator Guide

32 PUBLIC Getting Started
Deux hôtes forment le cluster nommé ProductionBISystem :

● L'hôte nommé HostAlpha comporte l'installation de la plateforme de BI et est configuré de sorte à contenir
deux nœuds :
○ NodeMercuy contient un Adaptive Job Server (NodeMercury.AJS) avec les services de planification et
publication de rapports, un Input File Repository Server (NodeMercury.IFRS) avec un service de
stockage des rapports d'entrée, ainsi qu'un Output File Repository Server (NodeMercury.OFRS) avec un
service de stockage des rapports de sortie.
○ NodeVenus contient un serveur de traitement adaptatif (NodeVenus.APS) avec des services fournissant
des fonctions de publication, de surveillance et de traduction, un serveur de traitement adaptatif
(NodeVenus.APS2) avec un service d'audit client, ainsi qu'un Central Management Server
(NodeVenus.CMS) avec un service fournissant les services du CMS.
● L'hôte nommé HostBeta comporte l'installation de la plateforme de BI et est configuré de sorte à contenir
trois nœuds :
○ NodeMars contient un Central Management Server (NodeMars.CMS) avec un service fournissant les
services du CMS. Le fait d'avoir le CMS sur deux ordinateurs permet d'avoir des fonctionnalités
d'équilibrage des charges, d'atténuation et de basculement.

Business Intelligence Platform Administrator Guide

Getting Started PUBLIC 33
 ○ NodeJupiter contient un serveur de traitement Web Intelligence (NodeJupiter.Web Intelligence)
avec un service assurant le reporting Web Intelligence et un Event Server (NodeJupiter.EventServer)
assurant la surveillance des rapports des fichiers.
○ NodeSaturn contient un serveur de traitement adaptatif (NodeSaturn.APS) avec un service fournissant
l'audit client.

2.2.2 Outils d'administration clés

2.2.2.1 Assistant de configuration du système

L'Assistant de configuration du système est un outil disponible pour configurer simplement et rapidement votre
déploiement de la plateforme de BI. L'Assistant vous guide pour les options de configuration de base, amenant à
un déploiement qui fonctionne à l'aide de paramètres courants comme :

● les serveurs du produit à démarrer automatiquement avec la plateforme de BI ;

● le choix d'optimiser votre déploiement pour des performances maximales ou pour des ressources matérielles
limitées ;
● les emplacements des dossiers système.

Par défaut, l'Assistant s'exécute automatiquement quand vous vous connectez à la CMC (Central Management
Console), mais vous pouvez modifier ce paramètre dans l'Assistant. Vous pouvez également démarrer l'Assistant
à tout moment depuis la zone Gérer de la CMC.

Remarque
Dans les systèmes de production, il est de rigueur de définir l'Assistant de sorte qu'il ne s'exécute pas
automatiquement afin d'éviter une reconfiguration accidentelle.

Remarque
Il est recommandé d'effectuer une sauvegarde complète avant d'utiliser l'Assistant pour apporter des
modifications au système existant.

2.2.2.2 Central Management Console (CMC)

La CMC (Central Management Console) est un outil Web à utiliser pour effectuer les tâches administratives (dont
la gestion des utilisateurs, du contenu et des serveurs) et pour configurer les paramètres de sécurité. La CMC
étant une application Web, vous pouvez effectuer toutes les tâches d'administration dans un navigateur Web, sur
tout ordinateur pouvant se connecter au serveur d'applications Web.

Seuls les membres du groupe Administrateurs peuvent modifier les paramètres de gestion, à moins que les droits
pour le faire ne soient explicitement accordés à un utilisateur. Des rôles peuvent être affectés dans la CMC afin
d'accorder des droits d'utilisateurs pour effectuer des tâches administratives mineures comme la gestion des
utilisateurs d'un groupe ou des rapports dans les dossiers appartenant à une équipe.

Business Intelligence Platform Administrator Guide

34 PUBLIC Getting Started
2.2.2.3 Central Configuration Manager (CCM)

Le CCM (Central Configuration Manager) est un outil de gestion de nœuds et de dépannage de serveurs proposé
sous deux formes. Dans un environnement Microsoft Windows, le CCM permet de gérer des serveurs locaux et
distants via son interface utilisateur graphique ou depuis une ligne de commande. Dans un environnement Unix, le
script shell du CCM (ccm.sh) permet de gérer les serveurs à partir de la ligne de commande.

Le CCM vous permet de créer et de configurer des nœuds et de démarrer ou arrêter votre serveur d'applications
Web, s'il s'agit du serveur d'applications Web Tomcat fourni par défaut. Sous Windows, il permet également de
configurer des paramètres réseau, tels que le cryptage SSL (Secure Socket Layer). Ces paramètres s'appliquent à
tous les serveurs d'un même nœud.

Remarque
La plupart des tâches de gestion des serveurs sont à présent gérées via la CMC, et non via le CCM. Désormais,
le CCM est utilisé pour le dépannage et la configuration des nœuds.

2.2.2.4 Repository Diagnostic Tool

L'outil de diagnostic de référentiel permet d'analyser, de diagnostiquer et de réparer les incohérences qui peuvent
se produire entre la base de données système du CMS ( Central Management Server) et le stockage des fichiers
FRS (File Repository Servers). Vous pouvez définir une limite pour le nombre d'erreurs trouvées et réparées par le
RDT avant l'arrêt.

Le RDT doit être utilisé après la restauration du système de la plateforme de BI.

Remarque
Sur les systèmes de production, il est de rigueur d'exécuter régulièrement le RDT mais en désactivant l'option
« repair » pour rechercher d'éventuels problèmes sous-jacents d'état du système. N'exécutez le RDT avec
l'option de réparation activée que si vous êtes sûr de vouloir que le RDT effectue des réparations sur le
système.

2.2.2.5 Outil de gestion de mise à niveau

L'outil de gestion de mise à niveau (anciennement une fonctionde l'Assistant d'importation) est installé dans le
cadre de la plateforme de BI et guide les administrateurs tout au long du processus d'importation des utilisateurs,
groupes et dossiers depuis les versions précédentes de la plateforme de BI. Il permet également l'importation et
la mise à niveau des événements, groupes de serveurs, objets de référentiel et calendriers.

Pour en savoir plus sur la mise à niveau à partir d'une version antérieure de la plateforme de BI, voir le Guide de
mise à niveau de la plateforme de Business Intelligence.

Business Intelligence Platform Administrator Guide

Getting Started PUBLIC 35
2.2.3 Tâches clés

Selon votre situation, vous pouvez consulter des sections spécifiques de ce guide et accéder à d'autres
ressources disponibles. Pour chacune des situations ci-après, une liste de tâches suggérées et de rubriques à
consulter vous est proposée.

Informations associées

Planification ou exécution de votre premier déploiement [page 36]

Configuration de votre déploiement [page 37]
Amélioration des performances du système [page 37]
Central Management Console (CMC) [page 34]

2.2.3.1 Planification ou exécution de votre premier

déploiement

Si vous planifiez ou effectuez votre premier déploiement de la plateforme de BI, il est conseillé de lire ces sections
du guide :

● Pour vous familiariser avec les composants de la plateforme de BI, lisez la rubrique « Présentation de
l'architecture »
● « Description de la communication entre les composants de la plateforme de BI »
● « Présentation de la sécurité »
● Si vous prévoyez d'utiliser une authentification tierce, lisez « Options d'authentification dans la plateforme de
BI »
● Après l'installation, lisez « Utilisation de la zone de gestion Serveurs de la CMC »

Pour en savoir plus sur l'installation de la plateforme de BI, voir le Guide d'installation de la plateforme SAP
BusinessObjects Business Intelligence. Pour évaluer vos besoins et concevoir l'architecture de déploiement la plus
appropriée à votre entreprise, lisez le Guide de planification de la plateforme SAP BusinessObjects Business
Intelligence.

Informations associées

Présentation de l'architecture [page 39]

Communication entre les composants de la plateforme de BI [page 194]
Présentation de la sécurité [page 159]
Options d'authentification dans la plateforme de BI [page 235]
Utilisation de la zone de gestion Serveurs de la CMC [page 396]

Business Intelligence Platform Administrator Guide

36 PUBLIC Getting Started
2.2.3.2 Configuration de votre déploiement

Si vous avez terminé l'installation de la plateforme de BI et que vous devez effectuer les tâches de configuration
initiales, telles que la configuration du pare-feu et la gestion des utilisateurs, nous vous recommandons de lire les
sections suivantes.

Informations associées

Introduction à l'Assistant de configuration du système [page 96]

Communication entre les composants de la plateforme de BI [page 194]
Présentation de la sécurité [page 159]
A propos de la surveillance [page 743]

2.2.3.3 Amélioration des performances du système

Pour évaluer l'efficacité de votre déploiement et l'affiner afin de maximiser les ressources, lisez les sections
suivantes :

● Si vous souhaitez utiliser un modèle de déploiement pour configurer votre système, lisez « Introduction à
l'Assistant de configuration du système ».
● Si vous souhaitez surveiller le système existant, lisez « A propos de la surveillance ».
● Pour les tâches de gestion quotidienne et les procédures d'utilisation des serveurs dans la CMC, consultez
« Utilisation de la zone de gestion Serveurs de la CMC ».

Informations associées

Introduction à l'Assistant de configuration du système [page 96]

A propos de la surveillance [page 743]
Utilisation de la zone de gestion Serveurs de la CMC [page 396]

2.2.3.4 Utilisation des objets dans la CMC

Un objet est un document ou un fichier créé sur la plateforme de BI ou un autre logiciel, stocké et géré dans le
référentiel de la plateforme de BI. Si vous utilisez des objets dans la CMC, lisez les sections suivantes :

● Pour en savoir plus sur la configuration des utilisateurs et des groupes dans la CMC, voir « Présentation de la
gestion des comptes ».
● Pour définir une sécurité sur les objets, voir « Fonctionnement des droits sur la plateforme de BI ».
● Pour obtenir des informations générales sur l'utilisation des objets, voir le Guide de l'utilisateur de la
plateforme SAP BusinessObjects Business Intelligence.

Business Intelligence Platform Administrator Guide

Getting Started PUBLIC 37
Informations associées

Présentation de la gestion des comptes [page 108]

Fonctionnement des droits sur la plateforme de BI [page 132]

Business Intelligence Platform Administrator Guide

38 PUBLIC Getting Started
3 Architecture

3.1 Présentation de l'architecture

Cette section décrit les composants de l'architecture globale de la plateforme, ainsi que les composants système
et de service qui constituent la plateforme SAP BusinessObjects Business Intelligence. Ces informations
permettent aux administrateurs de mieux comprendre les bases du système et d'élaborer un plan de
déploiement, de gestion et de maintenance du système.

Remarque
Pour afficher une liste des plateformes, langues, bases de données, serveurs d'applications Web, serveurs Web
et d'autres systèmes pris en charge par cette version, voir la Product Availability Matrix (PAM) à l'adresse
http://service.sap.com/sap/support/pam?hash=pvnr%3D67837800100900006540 .

Remarque
Etant donné que la Matrice de disponibilité des produits est constamment actualisée, référez-vous toujours à
sa version en ligne au lieu d'une copie téléchargée.

La plateforme de Business Intelligence est conçue pour fournir des performances élevées dans une large gamme
de scénarios utilisateur et de déploiement. Vous pouvez transférer les opérations de traitement et de planification
consommatrices de temps processeur en créant des serveurs dédiés pour héberger des services spécifiques.
L'architecture est conçue pour répondre aux besoins de quasiment tout déploiement BI et est suffisamment
flexible pour passer de quelques utilisateurs avec un seul outil à des dizaines de milliers d'utilisateurs avec
plusieurs outils et interfaces.

Les développeurs peuvent intégrer la plateforme de BI aux autres systèmes technologiques de votre organisation
à l'aide d'API (Application Programming Interfaces) de services Web, Java ou .NET.

Les utilisateurs finaux peuvent accéder aux rapports, en créer, en modifier et interagir avec ceux-ci à l'aide d'outils
et d'applications spécialisés, notamment :

● Les clients installés par le programme d'installation des outils client de la plateforme de BI :
○ Web Intelligence Rich Client
○ Gestionnaire de vues d'entreprise
○ Outil de conversion de rapport
○ Outil de conception d'univers
○ Query as a Web Service
○ Outil de conception d'information (anciennement Information Designer)
○ Outil de gestion de la traduction (anciennement Gestionnaire de traduction)
○ Widgets (anciennement BI Widgets)
● Clients disponibles séparément :
○ SAP Crystal Reports
○ SAP BusinessObjects Dashboards (anciennement Xcelsius)

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 39
 ○ SAP BusinessObjects Analysis (anciennement Voyager)
○ Espaces de travail BI (anciennement Dashboard Builder)

Les services informatiques peuvent utiliser les outils de gestion de systèmes et de données suivants :

● Visualiseurs de rapports
● Central Management Console (CMC)
● Central Configuration Manager (CCM)
● Repository Diagnostic Tool (RDT, outil de diagnostic de référentiel)
● Outil d'administration de fédération de données
● Outil de gestion de mise à niveau (ancienne fonction de l'Assistant d'importation)
● Outil de conception d'univers (anciennement Universe Designer)
● SAP BusinessObjects Mobile

Pour garantir la flexibilité, la fiabilité et l'évolutivité, les composants de la plateforme de BI peuvent être installés
sur un ou plusieurs ordinateurs. Dans certains cas, vous pouvez même installer deux versions différentes de la
plateforme de BI simultanément sur le même ordinateur, bien que cette configuration soit uniquement
recommandée dans le cadre du processus de mise à niveau ou à des fins de test.

Les processus serveur peuvent être étendus verticalement (c'est-à-dire qu'un ordinateur exécute plusieurs
processus côté serveur, voire tous) pour réduire les coûts ou étendus horizontalement (c'est-à-dire que les
processus serveur sont répartis entre au moins deux ordinateurs en réseau) pour améliorer les performances. Il
est également possible d'exécuter plusieurs versions redondantes d'un même processus serveur sur plusieurs
ordinateurs de sorte que le traitement puisse se poursuivre si un problème survient au niveau du premier
processus.

Remarque
Bien qu'il soit possible d'utiliser à la fois des plateformes Windows et Unix ou Linux, il est recommandé de ne
pas utiliser de systèmes d'exploitation différents pour les processus CMS (Central Management Server).

3.1.1 Schéma des composants

La plateforme SAP BusinessObjects Business Intelligence désigne une plateforme de Business Intelligence (BI)
qui fournit des outils d'analyse et de reporting au niveau de l'entreprise pour faciliter la remise des informations.
Les données peuvent être analysées à partir d'un grand nombre de systèmes de bases de données pris en charge
(y compris des systèmes OLAP de texte ou multidimensionnels) et les rapports BI peuvent être publiés dans
différents formats sur divers systèmes de publication.

Le schéma d'architecture illustre les composants de la plateforme de BI, y compris les serveurs et les outils client,
ainsi que d'autres produits d'analyse, composants d'application Web et bases de données pouvant faire partie
d'un paysage de la plateforme de BI. https://help.sap.com/doc/
08b869bee3a641bd99d9a7a34b1cbd0a/4.2/en-US/Architecture%20BI%20platform%204.2.pdf.

La plateforme de BI effectue des rapports à partir d'une connexion en lecture seule aux bases de données de
votre organisation et utilise ses propres bases de données pour stocker ses informations de configuration, d'audit
et autres informations opérationnelles. Les rapports BI créés par le système peuvent être envoyés vers de
nombreuses destinations, y compris les systèmes de fichiers et courriers électroniques, ou être accessibles par le
biais de sites Web ou de portails.

Business Intelligence Platform Administrator Guide

40 PUBLIC Architecture
La plateforme de BI est un système autonome qui peut exister sur un seul ordinateur (par exemple, sous forme de
petit environnement de développement ou d'environnement de test de pré-production) ou qui peut être mis à
l'échelle dans un cluster de plusieurs ordinateurs exécutant différents composants (par exemple, sous forme
d'environnement de production à grande échelle).

3.1.2 Niveaux d'architecture

La plateforme SAP BusinessObjects de Business Intelligence peut être considérée comme une série de niveaux
conceptuels :

Niveau client

Le niveau client contient toutes les applications de bureau client qui interagissent avec la plateforme de BI pour
fournir diverses capacités de reporting, d'analyse et d'administration. Parmi les exemples : Central Configuration
Manager (programme d'installation de la plateforme de BI), outil de conception d'information (programme
d'installation des outils client de la plateforme de BI) et SAP Crystal Reports (disponible et installé séparément).

Niveau Web

Le niveau Web contient des applications Web déployées sur un serveur d'applications Web Java. Les applications
Web fournissent les fonctionnalités de la plateforme de BI aux utilisateurs finaux via un navigateur Web. Les
exemples d'applications Web comprennent l'interface Web d'administration de la CMC (Central Management
Console) et la zone de lancement BI.

Le niveau Web contient également des services Web. Les services Web fournissent les fonctionnalités de la
plateforme de BI aux outils logiciels via le serveur d'applications Web, par exemple l'authentification de session, la
gestion des droits utilisateur, la planification, la recherche, l'administration, le reporting et la gestion des requêtes.
Par exemple, Live Office est un produit qui utilise les services Web pour intégrer le reporting de la plateforme de BI
à certains produits Microsoft Office.

Niveau gestion

Le niveau de gestion (également nommé niveau d'intelligence) coordonne et commande tous les composants qui
constituent la plateforme de BI. Il comprend le CMS (Central Management Server) et l'Event Server, ainsi que les
services associés. Le CMS gère la sécurité et les informations de configuration, adresse les demandes de service
aux serveurs, gère l'audit, ainsi que la base de données système du CMS. L'Event Server gère les événements
basés sur des fichiers qui se produisent dans un niveau de stockage donné.

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 41
Niveau stockage

Le niveau de stockage est responsable de la gestion des fichiers tels que les documents et les rapports.

L'Input File Repository Server gère les fichiers contenant les informations utilisées dans les rapports, comme les
types de fichiers suivants : .rpt, .car, .exe, .bat, .js, .xls, .doc, .ppt, .rtf, .txt, .pdf, .wid, .rep, .unv
et .unx.

Remarque
La taille du stockage de fichier Input File Repository Server n'est pas gérée par le système ; toutefois, un
administrateur doit gérer un plan de maintenance et de surveillance.

L'Output File Repository Server gère les rapports créés par le système, comme les types de fichiers
suivants : .rpt, .csv, .xls, .doc, .rtf, .txt, .pdf, .wid, .rep.

Le niveau de stockage gère également la mise en mémoire cache des rapports afin d'économiser les ressources
système lorsque les utilisateurs accèdent aux rapports.

Niveau traitement

Le niveau de traitement analyse les données et génère les rapports ainsi que d'autres types de sortie. Il s'agit du
seul niveau qui accède directement aux bases de données contenant les données des rapports. Ce niveau
comprend l'Adaptive Job Server, le serveur de connexion (32 et 64 bits) et des serveurs de traitement comme le
serveur de traitement adaptatif ou le serveur de traitement Crystal Reports.

Niveau données

Le niveau de données comprend les serveurs hébergeant la base de données système du CMS et le magasin de
données d'audit. Il comprend également tous les serveurs de base de données contenant des données
relationnelles, OLAP ou autres destinées aux applications de reporting et d'analyse.

3.1.3 Bases de données

La plateforme de BI utilise plusieurs bases de données différentes.

● Base de données de reporting

Elle fait référence aux données de votre entreprise. Il s'agit des données sources faisant l'objet des analyses
et rapports de la suite SAP BusinessObjects Business Intelligence. Le plus souvent, les données sont stockées
dans une base de données relationnelle, mais elles peuvent également être contenues dans des fichiers texte,
des documents Microsoft Office ou des systèmes OLAP.
● Base de données système du CMS
La base de données système du CMS est utilisée pour stocker des informations de la plateforme de BI telles
que les renseignements d'utilisateur, de serveur, de dossier, de document, de configuration et

Business Intelligence Platform Administrator Guide

42 PUBLIC Architecture
 d'authentification. La gestion de cette base de données, parfois connue sous le nom de référentiel système,
est assurée par le CMS (Central Management Server).
● Magasin de données d'audit
Le magasin de données d'audit sert à stocker des informations sur des événements traçables qui se
produisent sur la plateforme de BI. Ces informations peuvent être utilisées pour contrôler l'utilisation des
composants système, l'activité des utilisateurs ou d'autres aspects des opérations quotidiennes.
● Base de données de gestion du cycle de vie
La base de données de gestion du cycle de vie trace les informations de configuration et de version relatives à
une installation de la plateforme de BI, ainsi que les mises à jour.
● Base de données de surveillance
La surveillance utilise la base de données Java Derby pour stocker les informations de composants et de
configuration système relatives aux modalités de prise en charge SAP.

Si vous ne disposez pas déjà d'un serveur de base de données à utiliser avec les bases de données système du
CMS et du magasin de données d'audit, le programme d'installation de la plateforme de BI peut en installer un et
le configurer pour vous. Il est conseillé d'évaluer vos besoins par rapport aux informations du fournisseur de votre
serveur de base de données Web pour déterminer quelle base de données prise en charge correspond le mieux
aux besoins de votre entreprise.

Remarque
La base de données SQL Anywhere par défaut n'est pas recommandée sur les systèmes de production.

3.1.4 Serveurs, hôtes et clusters

La plateforme de BI comprend des ensembles de serveurs s'exécutant sur un ou plusieurs hôtes. Les petites
installations (comme les systèmes de test ou de développement) peuvent utiliser un seul hôte pour un serveur
d'applications Web, un serveur de base de données et tous les serveurs de la plateforme de BI.

Les installations moyennes et importantes peuvent utiliser des serveurs fonctionnant sur plusieurs hôtes. Par
exemple, un hôte de serveur d'applications Web peut être utilisé en combinaison avec un hôte de serveur de la
plateforme de BI. Cela libère des ressources sur l'hôte du serveur de la plateforme de BI, ce qui lui permet de
traiter plus d'informations que s'il hébergeait également le serveur d'applications Web.

Les grandes installations peuvent disposer de plusieurs hôtes de serveur de la plateforme de BI fonctionnant
ensemble dans un cluster. Par exemple, si une entreprise compte un grand nombre d'utilisateurs SAP Crystal
Reports, des serveurs de traitement Crystal Reports peuvent être créés sur plusieurs hôtes de serveur de la
plateforme de BI pour veiller à ce qu'il y ait suffisamment de ressources disponibles pour traiter les demandes des
clients.

Les avantages d'avoir plusieurs serveurs sont les suivants :

● Amélioration des performances

Plusieurs hôtes de serveur de la plateforme de BI peuvent traiter une file d'attente d'informations de reporting
plus rapidement qu'un seul hôte de serveur de la plateforme de BI.
● Equilibrage de charge
Si un serveur rencontre une charge importante, le CMS envoie automatiquement le nouveau travail aux
autres serveurs du cluster.
● Amélioration de la disponibilité

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 43
 Si un serveur rencontre une condition inattendue, le CMS réachemine automatiquement le travail vers
d'autres serveurs jusqu'à ce que la condition soit corrigée.

3.1.5 Serveurs d'applications Web

Un serveur d'applications Web fait office de couche de traduction entre un navigateur Web ou une application
riche et la plateforme de BI. Les serveurs d'applications Web exécutés sur les systèmes Windows, Unix et Linux
sont pris en charge.

Pour obtenir une liste détaillée des serveurs d'applications Web pris en charge, consultez le document
Plateformes prises en charge/PAR, disponible à l'adresse : https://support.sap.com/home.html .

Si vous ne disposez pas déjà d'un serveur d'applications Web à utiliser avec la plateforme de BI, le programme
d'installation peut installer et configurer un serveur d'applications Web Tomcat. Il est conseillé d'évaluer vos
besoins par rapport aux informations du fournisseur de votre serveur d'applications Web pour déterminer quel
serveur d'applications Web pris en charge correspond le mieux aux besoins de votre entreprise.

Remarque
Lors de la configuration d'un environnement de production, il est conseillé d'héberger le serveur d'applications
Web sur un système distinct. L'exécution de la plateforme de BI et d'un serveur d'applications Web sur le
même hôte dans un environnement de production peut entraver les performances.

3.1.5.1 Activation de la mise en cluster dans l'application

Web Zone de lancement BI pour prendre en charge le
basculement de session et l'évolutivité

Cette section décrit comment activer la mise en cluster dans l'application Web Zone de lancement BI pour
prendre en charge le basculement de session et l'évolutivité. Elle décrit aussi les étapes requises pour configurer
les serveurs d'applications Apache Tomcat et Websphere à cette fin.

Pour activer la mise en cluster pour un serveur d'applications comme Tomcat ou Websphere, les composants
suivants sont requis :

● un serveur HTTP
● un équilibreur de charge compatible
● deux instances ou plus du serveur d'applications avec l'application Web requise déjà installée
● une installation complète de BOE (référentiel)

Remarque
Les étapes décrites dans cette section sont génériques et peuvent être utilisées pour activer la mise en cluster
pour toute autre application. Les seules différences sont les modifications apportées dans le descripteur de
déploiement de l'application Web (web.xml).

Business Intelligence Platform Administrator Guide

44 PUBLIC Architecture
3.1.5.1.1 Installation d'Apache Tomcat

Pour installer le serveur Apache Tomcat, procédez comme suit :

1. Installez le serveur Apache HTTP.

2. Installez le serveur Apache Tomcat sur les ordinateurs exécutant l'instance.
3. Téléchargez mod_jk (équilibreur de charge) et enregistrez-le dans le répertoire "modules" sur le serveur
Apache HTTPD à l'adresse http://tomcat.apache.org/download-connectors.cgi .
4. Exécutez l'agent SI sur un ordinateur exécutant une installation complète de BOE.

Remarque
Pour vérifier la compatibilité de mod_jk, démarrez votre serveur HTTP. Un message d'erreur apparaît dans
la console si la version téléchargée de mod_jk est incompatible avec votre version de serveur HTTP.

Configuration d'Apache Tomcat

Pour configurer Apache Tomcat, procédez comme suit :

1. Configurez le serveur Apache HTTP.

a. Configurez httpd.conf (équilibreur de charge, chargement de l'application Web, surveillance, chemin
d'accès au fichier workers.properties).
b. Configurez le fichier workers.properties et enregistrez-le dans la bibliothèque Apache\Conf.

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 45
2. Configurez server.xml dans Tomcat (ajoutez des balises de mise en cluster).
a. Dans server.xml, l'attribut jvmRoute doit correspondre au nom que vous avez utilisé dans le fichier
workers.properties.
b. Si vous utilisez Tomcat 8 ou une version ultérieure, supprimez JvmRouteSessionIDBinderListener
(obsolète).

Business Intelligence Platform Administrator Guide

46 PUBLIC Architecture
 3. Ajoutez une balise distribuable au fichier web.xml (descripteur de déploiement) de l'application Web où la
mise en cluster doit être prise en charge.

Le distributeur personnalisé, qui appelle le distributeur par défaut pour chaque requête, est spécifié ci-
dessous.

4. Exportez le fichier jar pour le distributeur personnalisé (si des modifications sont requises) depuis le code.
5. Stockez ce fichier dans le dossier tomcat/lib pour chaque instance.
6. Redémarrez tous les serveurs.

Remarque
○ Il est recommandé de démarrer les serveurs l'un après l'autre et de patienter le temps qu'un serveur
ait complètement démarré avant d'en démarrer un autre.
○ N'utilisez pas localhost:6400 comme nom du système dans l'écran de connexion de la zone de
lancement. Indiquez le nom (ou l'IP) de l'ordinateur exécutant l'installation de BOE. Vérifiez que l'agent
SI est exécuté sur cette installation.
○ Explorez l'attribut channelSendOptions pour rechercher l'option la plus adéquate. Il permet de définir
les options de réponse synchrone, réponse asynchrone, etc.
○ Lors de l'exportation du fichier jar pour le distributeur personnalisé depuis le code, pensez à créer une
hiérarchie de packages adéquate pour le fichier jar et à l'inclure dans server.xml.

3.1.5.1.2 Installation de Websphere

Vous pouvez télécharger l'installation du cluster Websphere sur VCloud. Dans l'installation, le serveur HTTP
Websphere est déjà configuré avec l'équilibreur de charge, deux instances du serveur d'applications Websphere
et une installation complète de BOE. Vérifiez que tous les ordinateurs exécutent les commandes ping à l'aide de
leur IP interne. Le cas échéant, passez à la configuration.

Configuration de Websphere

Pour configurer Websphere, procédez comme suit :

1. Ajoutez une balise distribuable au fichier web.xml de l'application Web BOE pour les deux instances du
serveur d'applications Websphere.

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 47
2. Dans la console IBM, allez à Tous les serveurs membre1 Gestion de la session .
a. Vérifiez et activez les cookies.
b. Activez Autoriser l'accès en série et passez le délai d'expiration à 10 secondes.

3. Accédez à Paramètres de l'environnement de distribution Réplication de mémoire à mémoire .

a. Créez un domaine de réplication et sélectionnez-le.
b. Sélectionnez le mode de réplication : à la fois client et serveur.
4. Dans chaque instance sous Tous les serveurs, sélectionnez le même domaine de réplication que celui
sélectionné à l'étape précédente.

5. Accédez à Paramètres de l'environnement de distribution Paramètres d'ajustement personnalisés .

a. Pour le basculement, sélectionnez le niveau d'ajustement Faible.
6. Redémarrez tous les serveurs.

3.1.5.2 Serveur conteneur d'applications Web (WACS)

Un serveur d'applications Web est requis pour héberger les applications Web de la plateforme de BI.

Si vous êtes un administrateur expérimenté de serveurs d'applications Web Java avec des besoins avancés en
administration, utilisez un serveur d'applications Web Java pris en charge pour héberger les applications Web de
la plateforme de BI. Si vous utilisez un système d'exploitation Windows pris en charge pour héberger la plateforme
de BI et préférez un processus d'installation de serveur d'applications Web simple ou si vous ne disposez pas des
ressources pour gérer un serveur d'applications Web Java, vous pouvez installer le WACS (Web Application
Container Service) lors de l'installation de la plateforme de BI.

Le WACS est un serveur de la plateforme de BI qui permet aux applications Web de la plateforme de BI telles que
la CMC (Central Management Console), la zone de lancement BI et les services Web, de s'exécuter sans
installation préalable d'un serveur d'applications Web Java.

L'utilisation d'un serveur WACS présente plusieurs avantages :

● Les serveurs WACS sont extrêmement simples à installer, maintenir et configurer. Ils sont installés et
configurés par le programme d'installation de la plateforme de BI et ne requièrent aucune autre action pour
en commencer l'utilisation.
● Le serveur WACS ne requiert aucune compétence en administration et maintenance de serveurs
d'applications Java.
● Le serveur WACS fournit une interface d'administration compatible avec d'autres serveurs de la plateforme
de BI.
● Comme les autres serveurs de la plateforme de BI, le WACS peut être installé sur un hôte dédié.

Remarque
Il existe certaines limites à l'utilisation du serveur WACS à la place d'un serveur d'applications Web Java dédié :

● Les serveurs WACS sont uniquement disponibles sur les systèmes d'exploitation Windows pris en charge.
● Les applications Web personnalisées ne peuvent être déployées sur des WACS car ils ne prennent en
charge que les applications Web installées avec la plateforme de BI.
● Les WACS ne peuvent pas être utilisés avec un équilibreur de charge Apache.

Business Intelligence Platform Administrator Guide

48 PUBLIC Architecture
Il est possible d'utiliser un serveur d'applications Web dédié en plus du WACS. Cela permet à votre serveur
d'applications Web dédié d'héberger des applications Web personnalisées tandis que la CMC et les autres
applications Web de la plateforme de BI sont hébergées par le WACS.

3.1.6 Kits de développement logiciel

Le kit de développement logiciel (SDK) permet au développeur d'intégrer des aspects de la plateforme SAP
BusinessObjects Business Intelligence aux applications et systèmes d'une organisation.

La plateforme de BI offre des SDK pour le développement logiciel sur les plateformes Java et .NET.

Remarque
Les SDK .NET de la plateforme de BI ne sont pas installés par défaut. Ils doivent être téléchargés depuis SAP
Service Marketplace.

Les SDK ci-après sont pris en charge par la plateforme de BI :

● SDK Java et SDK .NET de la plateforme de Business Intelligence.

Les SDK de la plateforme de BI permettent aux applications d'exécuter des tâches telles que
l'authentification, la gestion des sessions, l'utilisation d'objets du référentiel, la planification et la publication
de rapports et la gestion des serveurs.

Remarque
Pour accéder à l'ensemble des fonctions de sécurité, gestion des serveurs et audit, utilisez le SDK Java.

● SDK de services Web RESTful de la plateforme de Business Intelligence

Le SDK de services Web RESTful de la plateforme de BI permet d'accéder à la plateforme de BI à l'aide du
protocole HTTP. Vous pouvez utiliser ce SDK pour vous connecter à la plateforme de BI, parcourir le
référentiel de la plateforme de BI, accéder à des ressources et réaliser une planification des ressources de
base. Vous pouvez accéder à ce SDK en écrivant des applications qui utilisent un langage de programmation
prenant en charge le protocole HTTP ou en utilisant un outil prenant en charge la création de requêtes HTTP.
● SDK Java Consumer et SDK .NET Consumer de la plateforme de Business Intelligence
Une implémentation de services Web SOAP permettant de gérer l'authentification et la sécurité des
utilisateurs, l'accès aux documents et aux rapports, la planification, la publication et la gestion des serveurs.
Les services Web de la plateforme de BI utilisent des normes telles que XML, SOAP, AXIS 2.0 et WSDL. La
plateforme suit la spécification de services Web WS-Interoperability Basic Profile 1.0.

Remarque
Les applications des services Web ne sont actuellement prises en charge qu'avec les configurations
d'équilibrage de charge suivantes :
1. Persistance de l'adresse IP source.
2. Persistance des ports de destination et des ports IP sources (disponible uniquement sur le modèle
Cisco Content Services Switch).
3. Persistance SSL.
4. Persistance de session basée sur des cookies

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 49
 Remarque
La persistance SSL peut entraîner des problèmes de sécurité et de fiabilité sur certains navigateurs Web.
Vérifiez auprès de votre administrateur réseau si la persistance SSL est adaptée à votre organisation.

● SDK Java de connexion et de pilote d'accès aux données

Ces SDK permettent de créer des pilotes de base de données pour le Connection Server et de gérer les
connexions à la base de données.
● SDK Java de couche sémantique
Le SDK Java de couche sémantique permet de développer une application Java assurant les tâches
d'administration et de sécurité sur les univers et connexions. Par exemple, vous pouvez implémenter des
services pour la publication d'un univers dans un référentiel ou l'extraction d'une connexion sécurisée d'un
référentiel à votre espace de travail. Cette application peut être intégrée à des solutions de la plateforme de BI
intégrant la plateforme de BI en tant qu'OEM.
● SDK Java et .NET de Report Application Server
Les SDK de Report Application Server permettent aux applications d'ouvrir, de créer et de modifier des
rapports Crystal existants, y compris de définir des valeurs de paramètres, de modifier des sources de
données et d'exporter les données vers d'autres formats tels que XML, PDF, Microsoft Word et Microsoft
Excel.
● Visualiseurs Java et .NET Crystal Reports
Les visualiseurs permettent aux applications d'afficher et d'exporter des rapports Crystal. Les visualiseurs
suivants sont disponibles :
○ Visualiseur de pages de rapport DHTML : présente les données et permet l'exploration, la navigation, le
zoom, les invites, la recherche, la mise en surbrillance, l'exportation et l'impression.
○ Visualiseur de parties de rapport : permet de visualiser des parties de rapport, notamment des
diagrammes, du texte et des champs.
● SDK Java et .NET du moteur de rapport
Les SDK du moteur de rapport permettent aux applications d'interagir avec des rapports créés avec SAP
BusinessObjects Web Intelligence.
Les SDK du moteur de rapport incluent des bibliothèques pouvant être utilisées pour générer un outil de
conception de rapports Web. Les applications générées avec ces SDK permettent de visualiser, créer ou
modifier différents documents Web Intelligence. Les utilisateurs peuvent modifier les documents en ajoutant,
supprimant ou modifiant des objets tels que des tableaux, des diagrammes, des conditions et des filtres.
● SDK de recherche de plateformes : le kit de développement de recherche de plateformes est l'interface entre
l'application client et le service de recherche de plateformes. La recherche de plateformes prend en charge le
SDK public intégré au SDK de recherche de plateformes.
Lorsqu'un paramètre de requête de recherche est envoyé via l'application client à la couche du SDK, cette
dernière convertit le paramètre de requête au format codé XML et le transmet au service de recherche de
plateformes.

Les SDK peuvent être utilisés ensemble pour offrir un vaste choix de fonctions BI pour vos applications. Pour en
savoir plus sur ces SDK, notamment les guides du développeur et références d'API, voir http://help.sap.com.

Business Intelligence Platform Administrator Guide

50 PUBLIC Architecture
3.1.7 Sources de données

3.1.7.1 Univers

L'univers est une couche sémantique qui simplifie les opérations sur les données en utilisant un langage pratique
plutôt qu'un langage de données pour permettre l'accès aux données, leur manipulation et leur organisation. Ce
langage pratique est stocké sous forme d'objets dans un fichier d'univers. Web Intelligence, Crystal Reports et
d'autres applications utilisent des univers pour simplifier le processus de création utilisateur requis pour les
requêtes et les analyses simples et complexes des utilisateurs finaux.

Les univers sont un composant central de la plateforme de BI. Tous les objets et connexions d'univers sont
stockés et sécurisés dans le référentiel central par le Connection Server. Les outils client de conception d'univers
doivent être connectés à la plateforme de BI pour accéder au système et créer des univers. L'accès aux univers et
la sécurité au niveau des lignes/colonnes peuvent également être gérés au niveau des groupes ou des utilisateurs
individuels depuis l'environnement de conception.

La couche sémantique permet à Web Intelligence de fournir des documents en utilisant plusieurs fournisseurs de
données synchronisées, y compris des sources de données OLAP (Online Analytical Processing) et CWM
(Common Warehousing Metamodel).

3.1.7.2 Vues d'entreprise

Les vues d'entreprise simplifient la création des rapports et l'interaction entre les rapports en simplifiant la
complexité des données pour les développeurs de rapports. Les vues d'entreprise permettent de séparer les
connexions de données, l'accès aux données, les éléments d'entreprise et le contrôle d'accès.

Les vues d'entreprise peuvent uniquement être utilisées par Crystal Reports et sont conçues pour simplifier la
sécurité au moment de la visualisation et l'accès aux données requis pour la création de rapports Crystal. Les
vues d'entreprise prennent en charge la combinaison de plusieurs sources de données dans une vue unique. Les
vues d'entreprise sont totalement prises en charge sur la plateforme de BI.

3.1.8 Authentification et connexion unique

La sécurité du système est gérée par le CMS (Central Management Server), des plug-ins de sécurité et des outils
d'authentification tiers tels que SiteMinder ou Kerberos. Ces composants authentifient les utilisateurs et
autorisent l'accès utilisateur à la plateforme de BI, à ses dossiers et à d'autres objets.

Les plug-ins de sécurité de connexion unique d'authentification utilisateur suivants sont disponibles :

● Enterprise (par défaut), y compris la prise en charge de l'authentification sécurisée à utiliser avec des
méthodes d'authentification comme SAML, X.509, la connexion unique SAP NW et autres méthodes prises en
charge par votre serveur d'applications.
● LDAP
● Windows AD (Active Directory)

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 51
Lors de l'utilisation d'un système ERP (Enterprise Resource Planning), la connexion unique est utilisée pour
authentifier l'accès utilisateur au système ERP de sorte que les rapports puissent être comparés aux données
ERP. Les systèmes de connexion unique d'authentification utilisateur pour ERP suivants sont pris en charge :

● SAP ERP et Business Warehouse (BW)

● Oracle E-Business Suite (EBS)
● Siebel Enterprise
● JD Edwards Enterprise One
● PeopleSoft Enterprise

3.1.8.1 Plug-ins de sécurité

Ils automatisent la création et la gestion des comptes en permettant de mapper des comptes et des groupes
d'utilisateurs de systèmes tiers vers la plateforme de BI. Vous pouvez mapper des comptes utilisateur tiers à des
comptes utilisateur Enterprise existants, ou créer des comptes utilisateur Enterprise qui correspondent à chaque
entrée mappée dans le système externe.

Les plug-ins de sécurité mettent dynamiquement à jour les listes d'utilisateurs et de groupes tiers. Ainsi, après
mappage d'un groupe LDAP (Lightweight Directory Access Protocol) ou Windows AD (Active Directory) à la
plateforme de BI, tous les utilisateurs appartenant à ce groupe peuvent se connecter à la plateforme de BI. Les
modifications apportées ultérieurement à l'appartenance à des groupes tiers sont automatiquement propagées.

La plateforme de BI prend en charge les plug-ins de sécurité suivants :

● Plug-in de sécurité Enterprise

Le CMS (Central Management Server) gère les informations de sécurité, telles que les comptes utilisateur,
l'appartenance aux groupes et les droits des objets qui définissent les droits des utilisateurs et des groupes.
On parle alors d'authentification Enterprise.
L'authentification Enterprise est toujours activée, elle ne peut pas être désactivée. Utilisez l'authentification
Enterprise système par défaut si vous préférez créer des comptes et des groupes distincts à utiliser avec la
plateforme de BI ou si vous n'avez pas encore configuré de hiérarchie d'utilisateurs et de groupes sur un
serveur LDAP ou Windows AD.
L'authentification sécurisée est un composant de l'authentification Enterprise s'intégrant aux solutions de
connexion unique tierces, y compris JAAS (Java Authentication and Authorization Service). Les applications
qui possèdent une sécurité établie avec le Central Management Server peuvent utiliser l'authentification
sécurisée pour permettre aux utilisateurs de se connecter sans entrer leurs mots de passe.
● Plug-in de sécurité LDAP
● Windows AD

Remarque
Bien qu'un utilisateur puisse configurer une authentification Windows AD pour la plateforme de BI et des
applications personnalisées via la CMC, la CMC et la zone de lancement BI ne prennent pas en charge
l'authentification Windows AD avec NTLM. Les seules méthodes d'authentification prises en charge par la
CMC et la zone de lancement BI sont Windows AD avec Kerberos, LDAP, Enterprise et l'authentification
sécurisée.

Business Intelligence Platform Administrator Guide

52 PUBLIC Architecture
3.1.8.2 Intégration de Enterprise Resource Planning (ERP)

Les applications ERP (Enterprise Resource Planning, Planification des ressources de l'entreprise) soutiennent les
fonctions essentielles des processus d'une entreprise en rassemblant des informations en temps réel relatives
aux opérations quotidiennes. La plateforme de BI prend en charge la connexion unique et le reporting depuis les
systèmes ERP suivants :

● SAP ERP et Business Warehouse (BW)

● Siebel Enterprise
● Oracle E-Business Suite
● JD Edwards EnterpriseOne
● PeopleSoft Enterprise

Remarque
● La prise en charge SAP ERP et BW est installée par défaut. Utilisez l'option d'installation Personnalisée/
Etendue pour désélectionner la prise en charge de l'intégration SAP si vous ne souhaitez pas la prise en
charge de SAP ERP ou BW.
● Les prises en charge de Siebel Enterprise, Oracle E-Business Suite, JD Edwards EnterpriseOne et
PeopleSoft ne sont pas installées par défaut. Utilisez l'option d'installation Personnalisée/Etendue pour
sélectionner et installer l'intégration des systèmes ERP non SAP.

Pour obtenir des informations détaillées sur les versions spécifiques prises en charge par la plateforme de BI,
consultez le document Plateformes prises en charge/PAR disponible à l'adresse : https://support.sap.com/
home.html .

Pour configurer l'intégration d'ERP, consultez le chapitre Configurations supplémentaires pour les environnements
Enterprise Resource Planning de ce guide.

3.1.9 Intégration SAP

La plateforme de BI s'intègre à votre infrastructure SAP existante avec les outils SAP suivants :

● Répertoire du paysage système (SLD)

Le répertoire du paysage système de SAP NetWeaver est la source centrale des informations de paysage
système pertinentes pour la gestion du cycle de vie du logiciel. Par le biais d'un répertoire contenant des
informations sur tous les logiciels SAP pouvant être installés et de données mises à jour automatiquement sur
les systèmes déjà installés dans un paysage, vous disposez d'un support outil pour planifier les tâches de
cycle de vie du logiciel dans votre paysage système.
Le programme d'installation de la plateforme de BI enregistre le fournisseur de contenus et les noms et
versions des produits auprès du SLD, ainsi que les noms, versions et l'emplacement des serveurs et des
composants front-end.
● SAP Solution Manager
SAP Solution Manager est une plateforme fournissant le contenu intégré, les outils et méthodologies pour
implémenter, prendre en charge, opérer et contrôler les solutions SAP et non SAP d'une entreprise.
Un logiciel non SAP avec une intégration certifiée SAP est entré dans le référentiel central et transféré
automatiquement à votre répertoire du paysage système SAP. Les clients SAP peuvent alors identifier
aisément quelle version d'intégration de produit tiers a été certifiée par SAP dans leur environnement

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 53
 système SAP. Ce service offre une connaissance supplémentaire des produits tiers outre nos catalogues en
ligne pour les produits tiers.
SAP Solution Manager est accessible aux clients SAP sans coûts additionnels et comprend l'accès direct au
support SAP et aux informations de répertoire de mise à niveau des produits SAP. Pour en savoir plus sur le
SLD, voir « Enregistrement de la plateforme de BI dans le paysage système »
● CTS+ (Change and Transport System)
Le CTS permet d'organiser des projets de développement dans ABAP Workbench et dans le Customizing,
puis de transporter les modifications entre les systèmes SAP dans votre paysage système. Tout comme les
objets ABAP, vous pouvez transporter des objets Java (J2EE, JEE) et des technologies non ABAP spécifiques
à SAP (comme Web Dynpro Java ou SAP NetWeaver Portal) dans votre paysage.
● Surveillance avec CA Wily Introscope
CA Wily Introscope est un produit de gestion d'applications Web qui permet de surveiller et de diagnostiquer
les problèmes de performance susceptibles de se produire dans les modules SAP Java en production, y
compris la visibilité dans les applications Java personnalisées et les connexions aux systèmes dorsaux. Il
permet d'isoler les goulets d'étranglement au niveau de la performance dans les modules NetWeaver, y
compris les servlets, JSP, EJB, JCO, les classes, méthodes, etc. Il offre une surveillance en temps réel avec un
temps système réduit, une visibilité des transactions de bout en bout, des données historiques pour l'analyse
ou la planification de la capacité, des tableaux de bord personnalisables, des alertes automatiques de
dépassement de seuil et une architecture ouverte pour étendre la surveillance au-delà des environnements
NetWeaver.

3.1.10 Contrôle de version intégrée

Les fichiers qui composent la plateforme de BI sur un serveur système gardés sous contrôle de version. Le
programme d'installation installera et configurera le système de contrôle de version Subversion ou vous pouvez
saisir les renseignements pour utiliser un système de contrôle de version Subversion ou ClearCase existant.

Un système de contrôle de version permet la conservation et la restauration de diverses révisions de

configuration et d'autres fichiers, ce qui signifie qu'il est toujours possible de faire reprendre le système à un état
connu d'un moment quelconque du passé.

3.1.11 Chemin de mise à niveau

Il est possible d'effectuer une mise à niveau à partir d'une version antérieure de SAP BusinessObjects Enterprise
(par exemple XI 3.x), mais vous devez d'abord installer la plateforme SAP BusinessObjects Business
Intelligence 4.x, puis migrer les paramètres et les données de votre système existant à l'aide de l'outil de gestion
de mise à niveau.

Pour en savoir plus sur la mise à niveau à partir d'une version antérieure, voir le Guide de mise à niveau de la
plateforme SAP BusinessObjects Business Intelligence.

Business Intelligence Platform Administrator Guide

54 PUBLIC Architecture
3.2 Serveurs, services, nœuds et hôtes

La plateforme de BI utilise les termes serveur et service pour désigner les deux types de logiciels s'exécutant sur
un ordinateur de la plateforme de BI.

Le terme « serveur » sert à décrire un processus au niveau du système d'exploitation (appelé démon sur certains
systèmes) qui héberge un ou plusieurs services. Par exemple, le Central Management Server (CMS) et le serveur
de traitement adaptatif sont des serveurs. Un serveur s'exécute sous un compte système spécifique et possède
son propre ID de processus (PID).

Un service est un sous-système de serveur qui exécute une fonction spécifique. Le service s'exécute dans
l'espace mémoire de son serveur sous l'ID de processus du conteneur parent (serveur). Par exemple, le service de
planification Web Intelligence est un sous-système qui s'exécute sur l'Adaptive Job Server.

Un nœud est un ensemble de serveurs de la plateforme de BI qui s'exécutent tous sur le même hôte et sont gérés
par le même SIA (Server Intelligence Agent). Un même hôte peut contenir un ou plusieurs nœuds.

La plateforme de BI peut être installée sur un seul ordinateur, répartie sur plusieurs ordinateurs d'un intranet ou
sur un réseau étendu (WAN).

Le diagramme suivant illustre une hypothèse d'installation de la plateforme de BI. Le nombre d'hôtes, nœuds,
serveurs et services, ainsi que le type des serveurs et services, varient en dans les installations réelles.

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 55
Deux hôtes forment le cluster nommé ProductionBISystem :

● L'hôte nommé HostAlpha comporte l'installation de la plateforme de BI et est configuré de sorte à contenir
deux nœuds :
○ NodeMercuy contient un Adaptive Job Server (NodeMercury.AJS) avec les services de planification et
publication de rapports, un Input File Repository Server (NodeMercury.IFRS) avec un service de
stockage des rapports d'entrée, ainsi qu'un Output File Repository Server (NodeMercury.OFRS) avec un
service de stockage des rapports de sortie.
○ NodeVenus contient un serveur de traitement adaptatif (NodeVenus.APS) avec des services fournissant
des fonctions de publication, de surveillance et de traduction, un serveur de traitement adaptatif
(NodeVenus.APS2) avec un service d'audit client, ainsi qu'un Central Management Server
(NodeVenus.CMS) avec un service fournissant les services du CMS.
● L'hôte nommé HostBeta comporte l'installation de la plateforme de BI et est configuré de sorte à contenir
trois nœuds :
○ NodeMars contient un Central Management Server (NodeMars.CMS) avec un service fournissant les
services du CMS. Le fait d'avoir le CMS sur deux ordinateurs permet d'avoir des fonctionnalités
d'équilibrage des charges, d'atténuation et de basculement.

Business Intelligence Platform Administrator Guide

56 PUBLIC Architecture
 ○ NodeJupiter contient un serveur de traitement Web Intelligence (NodeJupiter.Web Intelligence)
avec un service assurant le reporting Web Intelligence et un Event Server (NodeJupiter.EventServer)
assurant la surveillance des rapports des fichiers.
○ NodeSaturn contient un serveur de traitement adaptatif (NodeSaturn.APS) avec un service fournissant
l'audit client.

3.2.1 Modifications des serveurs depuis la version XI 3.1

Le tableau suivant décrit les principales modifications de serveurs de la plateforme de BI depuis la version XI 3.1.
Les types de modification comprennent :

● Les serveurs ayant changé de nom entre deux versions tout en offrant des fonctionnalités identiques ou
similaires.
● Les serveurs qui ne sont plus proposés par les nouvelles versions.
● Les services communs ou associés ayant été consolidés sur les serveurs Adaptive.
Par exemple, les services de planification fournis par des Job servers individuels dans la version XI 3.1 ont été
déplacés vers l'Adaptive Job Server depuis la version 4.0.
● Les nouveaux serveurs ayant été introduits.

Table 3 : Modifications de serveur

XI 3.1 4,0 4.0 Feature Pack 3 4,1 4,2

Serveur de conne­ Serveur de conne­ Serveur de conne­ Serveur de connexion Serveur de connexion
xion [1]
xion xion
Serveur de connexion 32 Serveur de connexion 32
Serveur de conne­ Serveur de conne­
xion 32 xion 32

Crystal Reports Job Adaptative Job Ser­ Adaptative Job Ser­ Adaptative Job Server Adaptative Job Server
Server ver ver

Serveur de traite­ Serveur de traite­ Serveur de traite­ Serveur de traitement Crys­ Serveur de traitement Crys­
ment Crystal Re­
ment Crystal Re­ ment Crystal Re­ tal Reports 2013 tal Reports 2016
ports
ports 2011 ports 2011
Serveur de traitement Crys­ Serveur de traitement Crys­
Serveur de traite­ Serveur de traite­ tal Reports (pour SAP Crys­ tal Reports (pour SAP Crys­
ment Crystal Re­ ment Crystal Re­ tal Reports, pour les rap­ tal Reports, pour les rap­
ports (pour SAP ports (pour SAP ports Enterprise) ports Enterprise)
Crystal Reports, Crystal Reports,
pour les rapports pour les rapports
Enterprise) Enterprise)

Dashboard Server Dashboard Server Non disponible de­ Non disponible dans la ver­ Non disponible dans la ver­
(Dashboard Builder) (espaces de travail puis la version sion 4.1 sion 4.2
[2] BI) 4.0 Feature Pack 3

Serveur d'analyses Serveur d'analyses Non disponible de­ Non disponible dans la ver­ Non disponible dans la ver­
de tableaux de bord de tableaux de bord puis la version sion 4.1 sion 4.2
(Dashboard Builder) (espaces de travail 4.0 Feature Pack 3
[2] BI)

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 57
XI 3.1 4,0 4.0 Feature Pack 3 4,1 4,2

Serveur de mise en Non disponible de­ Non disponible de­ Non disponible dans la ver­ Non disponible dans la ver­
cache Desktop Intel­ puis la version 4.0 puis la version 4.0 sion 4.1 [3] sion 4.2 [3]
ligence [3]

Desktop Intelligence Non disponible de­ Non disponible de­ Non disponible dans la ver­ Non disponible dans la ver­
Job Server [3] puis la version 4.0 puis la version 4.0 sion 4.1 [3] sion 4.2 [3]

Serveur de traite­ Non disponible de­ Non disponible de­ Non disponible dans la ver­ Non disponible dans la ver­
ment Desktop Intel­ puis la version 4.0 puis la version 4.0 sion 4.1 [3] sion 4.2 [3]
ligence [3]

Destination Job Ser­ Adaptative Job Ser­ Adaptative Job Ser­ Adaptative Job Server Adaptative Job Server
ver ver ver

Serveur Multi-Di­ Serveur de traite­ Serveur de traite­ Serveur de traitement Serveur de traitement
Ε—Ê˘½¼˚dû
8f7CàöªøB¸¼šð(�$c¸VÓHa ment adaptatif ment adaptatif adaptatif adaptatif
sis Services

Program Job Server Adaptative Job Ser­ Adaptative Job Ser­ Adaptative Job Server Adaptative Job Server
ver ver

Report Application Report Application Report Application Report Application Server Report Application Server
Server (RAS) Server (RAS) de Server (RAS) de (RAS) de Crystal Re­ (RAS) de Crystal Re­
Crystal Reports 2011 Crystal Reports 2011 ports 2013 ports 2016

Web Intelligence Job Adaptative Job Ser­ Adaptative Job Ser­ Adaptative Job Server Adaptative Job Server
Server ver ver

Serveur de mise en Serveur de mise en Serveur de mise en Serveur de mise en cache Serveur de mise en cache
cache Xcelsius [4] cache Dashboard cache Dashboards Dashboards (Xcelsius) Dashboards (Xcelsius)
Design (Xcelsius) (Xcelsius)
[5]

Serveur de traite­ Serveur de traite­ Serveur de traite­ Serveur de traitement Serveur de traitement
ment Xcelsius [4] ment Dashboard De­ ment Dashboards Dashboards (Xcelsius) Dashboards (Xcelsius)
sign (Xcelsius) [5] (Xcelsius)

● [1] Dans la version 4.0, Connection Server 32 est un serveur 32 bits qui exécute spécifiquement les
connexions aux sources de données qui ne prennent pas en charge le middleware 64 bits. Connection Server
est un serveur 64 bits qui exécute les connexions vers toutes les autres sources de données. Pour en savoir
plus, reportez-vous au Guide d'accès aux données.
● [2] Le serveur de tableaux de bord et le serveur d'analyses de tableaux de bord ont été supprimés dans la
version 4.0 Feature Pack 3. La configuration de serveur n'est plus requise pour la fonctionnalité des espaces
de travail BI (précédemment Dashboard Builder dans XI 3.1).
● [3] Desktop Intelligence n'était pas disponible dans la version 4.0 et les packages de maintenance 4.0.
L'application client Desktop Intelligence est disponible dans la version 4.1, mais les serveurs Desktop
Intelligence ne le sont pas. Les rapports Desktop Intelligence peuvent être convertis en documents Web
Intelligence à l'aide de l'outil de conversion de rapport.
● [4] Les services de mise en cache et de traitement Xcelsius ont été introduits à partir de la version XI 3.1
Service Pack 3 pour optimiser les requêtes Query as a Web Service sur les sources de données relationnelles
de Xcelsius. Des services de mise en cache et de traitement équivalents sont disponibles sur les serveurs de
mise en cache et de traitement Dashboards introduits dans la version 4.0 Feature Pack 3.
● [5] Les serveurs Dashboard Design de la version 4.0 ont été renommés « Dashboards » dans la version 4.0
Feature Pack 3 pour s'aligner avec le changement de nom du produit en SAP BusinessObjects Dashboards.

Business Intelligence Platform Administrator Guide

58 PUBLIC Architecture
3.2.2 Services

Lors de l'ajout de serveurs, vous devez inclure certains services sur l'Adaptive Job Server, le service de
planification de livraison vers la destination, par exemple.

Remarque
Il se peut que de nouveaux types de services ou de serveurs soient ajoutés lors de futures versions de
maintenance.

Table 4 :
Service Catégorie de service Type de serveur Description du service

Adaptive Connectivity Ser­ Services de connectivité Serveur de traitement adaptatif Fournit les services de con­
vice nectivité aux pilotes Java

Service de planification de Services principaux Adaptative Job Server Fournit la synchronisation

la mise à jour de l'authenti­ de mises à jour pour les
fication plug-ins de sécurité tiers

Service d'applications Web Analysis Services Serveur de traitement adaptatif Fournit l'intégration des ap­
BEx plications Web Business Ex­
plorer (BEx) de SAP Busi­
ness Warehouse (BW) à la
zone de lancement BI.

Service BI Mobile Services principaux Serveur de traitement adaptatif Permet la prise en charge
des notifications push dans
SAP BusinessObjects Mo­
bile.

Service de l'application Services principaux Serveur conteneur d'applications Fournit des applications
Web BOE Web Web pour le WACS, y com­
pris la CMC (Central Mana­
gement Console), la zone
de lancement BI et Open­
Document.

Business Process BI Servi­ Services principaux Serveur conteneur d'applications Fournit les Business Pro­
ces Web cess BI Web Services pour
le WACS, permettant l'in­
corporation de la technolo­
gie BI aux applications Web.
Business Process BI Ser­
vice est obsolète.

Service de gestion centrali­ Services principaux Central Management Server Fournit la gestion des ser­
sée veurs, des utilisateurs, des
sessions et de la sécurité
(droits d'accès et authenti­
fication) Au moins un ser­
vice de gestion centralisée
doit être disponible dans un
cluster pour que ce dernier
fonctionne.

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 59
Service Catégorie de service Type de serveur Description du service

Service proxy d'audit client Services principaux Serveur de traitement adaptatif Regroupe les événements
d'audit envoyés par les cli­
ents et les transfère au ser­
veur CMS.

Service de traitement Crys­ Services Crystal Reports Crystal Reports Processing Server Accepte et traite les rap­
tal Reports 2016 ports Crystal Reports 2016 ;
il peut partager des don­
nées entre les rapports
pour réduire le nombre
d'accès à la base de don­
nées.

Service de planification Services Crystal Reports Adaptative Job Server Exécute les travaux Crystal
Crystal Reports 2016 Reports antérieurs planifiés
et publie les résultats à un
emplacement de sortie.

Service de modification et Services Crystal Reports Report Application Server (RAS) Traite les demandes d'affi­
de visualisation Crystal Re­ chage et de modification
ports 2016 des rapports Crystal Re­
ports 2016.

Service de mémoire cache Services Crystal Reports Crystal Reports Cache Server Limite le nombre d'accès à
Crystal Reports la base de données générés
depuis les rapports Crystal
et accélère le reporting en
gérant un cache des rap­
ports.

Service de traitement Crys­ Services Crystal Reports Crystal Reports Processing Server Accepte et traite les rap­
tal Reports ports Crystal ; il peut parta­
ger des données entre les
rapports pour réduire le
nombre d'accès à la base
de données.

Service de planification Services Crystal Reports Adaptative Job Server Exécute les nouveaux tra­
Crystal Reports vaux Crystal Reports plani­
fiés et publie les résultats à
un emplacement de sortie.

Business Intelligence Platform Administrator Guide

60 PUBLIC Architecture
 Service Catégorie de service Type de serveur Description du service

Service d'accès aux don­ Services Web Intelligence Serveur de traitement adaptatif Fournit des connexions dy­
nées personnalisé namiques aux sources de
données qui ne nécessitent
pas un Connection Server.
Ce service permet d'accé­
der aux rapports créés à
l'aide de certains fournis­
seurs de données person­
nels comme les fichiers
CSV et de les actualiser.
Voir le Guide de l'utilisateur
SAP BusinessObjects Web
Intelligence Rich Client pour
en savoir plus sur l'élabora­
tion d'une requête ou l'ac­
tualisation d'un document
basé sur un fichier texte.

Service de mémoire cache Services Dashboards Dashboards Cache Server Limite le nombre d'accès à
des tableaux de bord la base de données générés
à partir des contenus Dash­
boards et accélère le re­
porting en gérant un cache
des rapports

Service de traitement Services Dashboards Serveur de traitement Dashboards Accepte et traite les conte­
Dashboards nus Dashboards ; il peut
partager des données entre
les rapports pour réduire le
nombre d'accès à la base
de données

Service de fédération de Services de fédération de Serveur de traitement adaptatif Interroge et traite les sour­
données données ces de données sous-jacen­
tes d'un univers à plusieurs
sources

Service de planification de Services principaux Adaptative Job Server Exécute les travaux plani­
livraison vers la destination fiés et publie les résultats à
un emplacement de sortie
comme un système de fi­
chiers, un serveur FTP ou
SFTP, le courrier électroni­
que ou la boîte de réception
d'un utilisateur.

Remarque
Lors de l'ajout de ser­
veurs, vous devez in­
clure certains services
d'Adaptive Job Server, y
compris ce service.

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 61
Service Catégorie de service Type de serveur Description du service

Service de récupération de Services Web Intelligence Serveur de traitement adaptatif Enregistrement automati­
documents que et récupération de do­
cuments Web Intelligence

Service DSL Bridge Services Web Intelligence Serveur de traitement adaptatif Prise en charge des ses­
sions DSL (Dimensional Se­
mantic Layer, couche sé­
mantique dimensionnelle)

Service d'événement Services principaux Event Server Surveille les événements de

fichier d'un File Repository
Server (FRS) et déclenche
les rapports pour qu'ils
s'exécutent lorsque c'est
nécessaire

Service d'accès aux don­ Services Web Intelligence Serveur de traitement adaptatif Prend en charge les fichiers
nées Excel Excel téléchargés sur la pla­
teforme de BI en tant que
sources de données. Voir le
Guide de l'utilisateur SAP
BusinessObjects Web Intel­
ligence Rich Client pour en
savoir plus sur l'élaboration
d'une requête ou l'actuali­
sation d'un document basé
sur un fichier Excel.

Service du moteur d'infor­ Services Web Intelligence Web Intelligence Processing Server Service requis pour le trai­
mations tement des documents
Web Intelligence

Service de stockage des fi­ Services principaux Input File Repository Server Gère les objets rapport pu­
chiers d'entrée blié et les objets pro­
gramme pouvant être utili­
sés pour la génération de
nouveaux rapports lors de
la réception d'un fichier
d'entrée.

Service Insight to Action Services principaux Serveur de traitement adaptatif Permet l'appel d'actions et
fournit une prise en charge
du RRI.

Service ClearCase de la Services de gestion des Serveur de traitement adaptatif Fournit une prise en charge
gestion des promotions promotions ClearCase pour LCM

Service de planification de Services de gestion des Adaptative Job Server Exécute les travaux de ges­
la gestion des promotions promotions tion des promotions plani­
fiés

Services de gestion des Services de gestion des Serveur de traitement adaptatif Service principal de gestion
promotions promotions des promotions

Service de surveillance Services principaux Serveur de traitement adaptatif Fournit les fonctions de sur­
veillance

Business Intelligence Platform Administrator Guide

62 PUBLIC Architecture
 Service Catégorie de service Type de serveur Description du service

Service d'analyse multidi­ Analysis Services Serveur de traitement adaptatif Fournit un accès aux don­
mensionnelle nées OLAP (Online Analyti­
cal Processing) multidimen­
sionnelles, convertit au for­
mat XML les données bru­
tes, qui peuvent être affi­
chées dans des tableaux
croisés et des diagrammes
Excel, PDF ou Analysis (an­
ciennement Voyager)

Service de connectivité na­ Services de connectivité Serveur de connexion Fournit des services de con­
tif nectivité pour l'architecture
64 bits

Service de connectivité na­ Services de connectivité Serveur de connexion Fournit des services de con­
tif (32 bits) nectivité pour l'architecture
32 bits

Service de stockage des fi­ Services principaux Output File Repository Server Gère une collection de do­
chiers de sortie cuments terminés

Service de planification de Services principaux Adaptative Job Server Exécute des recherches
recherche de plateforme planifiées pour indexer l'en­
semble du contenu du réfé­
rentiel du CMS (Central Ma­
nagement Server)

Service de recherche de Services principaux Serveur de traitement adaptatif Fournit la fonctionnalité de

plateformes recherche pour la plate­
forme de BI

Service de planification de Services principaux Adaptative Job Server Fournit les travaux de mé­
la métrique trique planifiés et publie les
résultats à un emplacement
de sortie.

Service de planification du Services principaux Adaptative Job Server Exécute les programmes
programme qui ont été planifiés pour
s'exécuter à un moment
donné

Service de planification de Services principaux Adaptative Job Server Exécute les travaux de pu­
la publication blication planifiés et publie
les résultats à un emplace­
ment de sortie.

Service de post-traitement Services principaux Serveur de traitement adaptatif Réalise des actions sur les
de la publication rapports lorsqu'ils sont ter­
minés, comme l'envoi d'un
rapport à un emplacement
de sortie

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 63
Service Catégorie de service Type de serveur Description du service

Service de publication Services principaux Serveur de traitement adaptatif Se coordonne avec le ser­
vice de post-traitement de
la publication et le service
de travaux de destination
pour publier les rapports à
un emplacement de sortie
comme un système de fi­
chiers, un serveur FTP ou
SFTP, le courrier électroni­
que ou la boîte de réception
d'un utilisateur.

Service Rebean Services Web Intelligence Serveur de traitement adaptatif SDK utilisé par Web Intelli­
gence et Explorer

Service de réplication Services principaux Adaptative Job Server Exécute des travaux de fé­
dération planifiés pour ré­
pliquer le contenu entre des
sites fédérés

Service Web RESTful Services principaux Serveur conteneur d'applications Fournit la gestion des ses­
Web (WACS) sions pour les demandes de
service Web RESTful.

Service de planification des Services principaux Adaptative Job Server Exécute les travaux de re­
requêtes de sécurité quêtes de sécurité planifiés

Service de jetons de sécu­ Services principaux Serveur de traitement adaptatif Prise en charge de la con­
rité nexion unique SAP

Service de traduction Services principaux Serveur de traitement adaptatif Traduit les InfoObjects à
l'aide d'informations du cli­
ent Gestionnaire de traduc­
tion

Service de planification Services principaux Adaptative Job Server Permet la planification des
d'importation d'utilisateurs importations de fichiers
et de groupes principaux

Service de planification de Services de gestion des Adaptative Job Server Exécute les travaux de re­
la différence visuelle promotions quête de différence visuelle
(Gestion des promotions)
et publie les résultats à un
emplacement de sortie

Service de différence vi­ Services de gestion des Serveur de traitement adaptatif Détermine si les documents
suelle promotions sont visuellement identi­
ques pour la promotion de
documents et la gestion des
promotions

Service de visualisation Services Web Intelligence Serveur de traitement adaptatif Service commun de visuali­
sation des modèles d'objet,
utilisé par Web Intelligence

Service commun Web Intel­ Services Web Intelligence Web Intelligence Processing Server Prend en charge le traite­
ligence ment des documents Web
Intelligence

Business Intelligence Platform Administrator Guide

64 PUBLIC Architecture
 Service Catégorie de service Type de serveur Description du service

Service principal Web Intel­ Services Web Intelligence Web Intelligence Processing Server Prend en charge le traite­
ligence ment des documents Web
Intelligence

Service de traitement Web Services Web Intelligence Web Intelligence Processing Server Accepte et traite les docu­
Intelligence ments Web Intelligence

Service de planification Services Web Intelligence Adaptative Job Server Permet la prise en charge
Web Intelligence des travaux Web Intelli­
gence planifiés

Services Web SDK et Services principaux Serveur conteneur d'applications Services Web sur le WACS
QaaWs Web

3.2.3 Service categories

Note
New services or server types may be added in future maintenance releases.

Table 5:
Service category Service Server type

Analysis Services BEx Web Application Service Adaptive Processing Server

Analysis Services Multi Dimensional Analysis Service Adaptive Processing Server

Connectivity Services Adaptive Connectivity Service Adaptive Processing Server

Connectivity Services Native Connectivity Service Connection Server

Connectivity Services Native Connectivity Service (32-bit) Connection Server

Core Services Authentication Update Scheduling Ser­ Adaptive Job Server

vice

Core Services Central Management Service Central Management Server

Core Services Client Auditing Proxy Service Adaptive Processing Server

Core Services Dashboard Service Dashboard Server

Core Services Destination Configuration Service* Adaptive Job Server

Core Services Destination Delivery Scheduling Service Adaptive Job Server

Core Services Event Service Event Server

Core Services Insight to Action Service Adaptive Processing Server

Core Services Input Filestore Service Input File Repository Server

Core Services Monitoring Service Adaptive Processing Server

Core Services Output Filestore Service Output File Repository Server

Core Services Platform Search Scheduling Service Adaptive Job Server

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 65
Service category Service Server type

Core Services Platform Search Service Adaptive Processing Server

Core Services Probe Scheduling Service Adaptive Job Server

Core Services Program Scheduling Service Adaptive Job Server

Core Services Publication Scheduling Service Adaptive Job Server

Core Services Publishing Post Processing Service Adaptive Processing Server

Core Services Publishing Service Adaptive Processing Server

Core Services Replication Service Adaptive Job Server

Core Services RESTful Web Service Web Application Container Server

Core Services Security Query Scheduling Service Adaptive Job Server

Core Services Security Token Service Adaptive Processing Server

Core Services Single Sign-on Service* Central Management Server, Connec­

tion Server, Crystal Reports Processing
Server, RAS, Dashboards Processing
Server, and Web Intelligence Processing
Server

Core Services TraceLog Service* Any server

Core Services Translation Service Adaptive Processing Server

Core Services Users and Groups Import Scheduling Adaptive Job Server
Service*

Core Services Web Application Container Service* Web Application Container Server

Crystal Reports Services Crystal Reports 2016 Processing Service Crystal Reports Processing Server

Crystal Reports Services Crystal Reports 2016 Scheduling Service Adaptive Job Server

Crystal Reports Services Crystal Reports 2016 Viewing and Modi­ Report Application Server (RAS)
fication Service

Crystal Reports Services Crystal Reports Cache Service Crystal Reports Cache Server

Crystal Reports Services Crystal Reports Processing Service Crystal Reports Processing Server

Crystal Reports Services Crystal Reports Scheduling Service Adaptive Job Server

Dashboards Services Dashboards Cache Service Dashboards Cache Server

Dashboards Services Dashboards Processing Service Dashboards Processing Server

Data Federation Services Data Federation Service Adaptive Processing Server

Lifecycle Management Services LifeCycle Management ClearCase Ser­ Adaptive Processing Server
vice

Lifecycle Management Services Lifecycle Management Scheduling Ser­ Adaptive Job Server
vice

Lifecycle Management Services Lifecycle Management Service Adaptive Processing Server

Lifecycle Management Services Visual Difference Scheduling Service Adaptive Job Server

Lifecycle Management Services Visual Difference Service Adaptive Processing Server

Business Intelligence Platform Administrator Guide

66 PUBLIC Architecture
 Service category Service Server type

Web Intelligence Services Custom Data Access Service Adaptive Processing Server

Web Intelligence Services Document Recovery Service Adaptive Processing Server

Web Intelligence Services DSL Bridge Service Adaptive Processing Server

Web Intelligence Services Excel Data Access Service Adaptive Processing Server

Web Intelligence Services Information Engine Service Web Intelligence Processing Server

Web Intelligence Services Rebean Service Adaptive Processing Server

Web Intelligence Services Visualization Service Adaptive Processing Server

Web Intelligence Services Web Intelligence Common Service Web Intelligence Processing Server

Web Intelligence Services Web Intelligence Core Service Web Intelligence Processing Server

Web Intelligence Services Web Intelligence Monitoring Service* Adaptive Processing Server

Web Intelligence Services Web Intelligence Processing Service Web Intelligence Processing Server

Web Intelligence Services Web Intelligence Scheduling Service Adaptive Job Server

3.2.4 Types de serveurs

Un astérisque en regard d'un nom de service indique qu'il s'agit d'un service secondaire. Certains services
secondaires sont créés automatiquement, mais vous pouvez choisir d'inclure d'autres services secondaires après
sélection du service principal dont ils dépendent.

Remarque
Il se peut que de nouveaux types de services ou de serveurs soient ajoutés lors de futures versions de
maintenance.

Table 6 :
Type de serveur Service Catégorie de service

N'importe quel serveur Service de journal de suivi Services principaux

Adaptative Job Server Service de planification de la mise à jour Services principaux

de l'authentification

Adaptative Job Server Service de planification Crystal Re­ Services Crystal Reports
ports 2016

Adaptative Job Server Service de planification Crystal Reports Services Crystal Reports

Adaptative Job Server Service de configuration de destination* Services principaux

Adaptative Job Server Service de planification de livraison vers Services principaux

la destination

Adaptative Job Server Service de planification de la gestion des Services de gestion des promotions
promotions

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 67
Type de serveur Service Catégorie de service

Adaptative Job Server Service de planification de recherche de Services principaux

plateforme

Adaptative Job Server Service de planification de la métrique Services principaux

Adaptative Job Server Service de planification du programme Services principaux

Adaptative Job Server Service de planification de la publication Services principaux

Adaptative Job Server Service de réplication Services principaux

Adaptative Job Server Service de planification des requêtes de Services principaux

sécurité

Adaptative Job Server Service de planification d'importation Services principaux

d'utilisateurs et groupes*

Adaptative Job Server Service de planification de la différence Services de gestion des promotions
visuelle

Adaptative Job Server Service de planification Web Intelligence Services Web Intelligence

Serveur de traitement adaptatif Adaptive Connectivity Service Services de connectivité

Serveur de traitement adaptatif Service d'applications Web BEx Analysis Services

Serveur de traitement adaptatif Service proxy d'audit client Services principaux

Serveur de traitement adaptatif Service d'accès aux données personna­ Services Web Intelligence
lisé

Serveur de traitement adaptatif Service de fédération de données Services de fédération de données

Serveur de traitement adaptatif Service de récupération de documents Services Web Intelligence

Serveur de traitement adaptatif Service DSL Bridge Services Web Intelligence

Serveur de traitement adaptatif Service d'accès aux données Excel Services Web Intelligence

Serveur de traitement adaptatif Service Insight to Action Services principaux

Serveur de traitement adaptatif Service ClearCase de la gestion des pro­ Services de gestion des promotions
motions

Serveur de traitement adaptatif Services de gestion des promotions Services de gestion des promotions

Serveur de traitement adaptatif Service de surveillance Services principaux

Serveur de traitement adaptatif Service d'analyse multidimensionnelle Analysis Services

Serveur de traitement adaptatif Service de recherche de plateformes Services principaux

Serveur de traitement adaptatif Service de post-traitement de la publica­ Services principaux

tion

Serveur de traitement adaptatif Service de publication Services principaux

Serveur de traitement adaptatif Service Rebean Services Web Intelligence

Serveur de traitement adaptatif Service de jetons de sécurité Services principaux

Serveur de traitement adaptatif Service de traduction Services principaux

Serveur de traitement adaptatif Service de différence visuelle Services de gestion des promotions

Serveur de traitement adaptatif Service de visualisation Services Web Intelligence

Business Intelligence Platform Administrator Guide

68 PUBLIC Architecture
 Type de serveur Service Catégorie de service

Serveur de traitement adaptatif Service de surveillance Web Intelli­ Services Web Intelligence
gence*

Central Management Server Service de gestion centralisée Services principaux

Central Management Server Service de connexion unique* Services principaux

Serveur de connexion Service de connectivité natif Services de connectivité

Serveur de connexion Service de connectivité natif (32 bits) Services de connectivité

Serveur de connexion Service de connexion unique* Services principaux

Crystal Reports Cache Server Service de mémoire cache Crystal Re­ Services Crystal Reports
ports

Crystal Reports Processing Server Service de traitement Crystal Re­ Services Crystal Reports
ports 2016

Crystal Reports Processing Server Service de traitement Crystal Reports Services Crystal Reports

Crystal Reports Processing Server Service de connexion unique* Services principaux

Dashboards Cache Server Service de mémoire cache des tableaux Services Dashboards
de bord

Serveur de traitement Dashboards Service de traitement Dashboards Services Dashboards

Serveur de traitement Dashboards Service de connexion unique* Services principaux

Dashboard Server Service de tableau de bord Services principaux

Event Server Service d'événement Services principaux

Input File Repository Server Service de stockage des fichiers d'entrée Services principaux

Output File Repository Server Service de stockage des fichiers de sor­ Services principaux
tie

Report Application Server (RAS) Service de modification et de visualisa­ Services Crystal Reports
tion Crystal Reports 2016

RAS Service de connexion unique* Services principaux

Serveur conteneur d'applications Web Service Web RESTful Services principaux

Serveur conteneur d'applications Web Service conteneur d'applications Web* Services principaux

Web Intelligence Processing Server Service du moteur d'informations Services Web Intelligence

Web Intelligence Processing Server Service de connexion unique* Services principaux

Web Intelligence Processing Server Service commun Web Intelligence Services Web Intelligence

Web Intelligence Processing Server Service principal Web Intelligence Services Web Intelligence

Web Intelligence Processing Server Service de traitement Web Intelligence Services Web Intelligence

Table 7 :
Type de serveur Service Catégorie de service

Adaptative Job Server Service de planification de la mise à jour Services principaux

de l'authentification

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 69
Type de serveur Service Catégorie de service

Adaptative Job Server Service de planification Crystal Re­ Services Crystal Reports
ports 2016

Adaptative Job Server Service de planification Crystal Reports Services Crystal Reports

Adaptative Job Server Service de planification de livraison vers Services principaux

la destination

Adaptative Job Server Service de planification de la gestion des Services de gestion des promotions
promotions

Adaptative Job Server Service de planification de recherche de Services principaux

plateforme

Adaptative Job Server Service de planification de la métrique Services principaux

Adaptative Job Server Service de planification du programme Services principaux

Adaptative Job Server Service de planification de la publication Services principaux

Adaptative Job Server Service de réplication Services principaux

Adaptative Job Server Service de planification des requêtes de Services principaux

sécurité

Adaptative Job Server Service de planification de la différence Services de gestion des promotions
visuelle

Adaptative Job Server Service de planification Web Intelligence Services Web Intelligence

Serveur de traitement adaptatif Adaptive Connectivity Service Services de connectivité

Serveur de traitement adaptatif Service d'applications Web BEx Analysis Services

Serveur de traitement adaptatif Service proxy d'audit client Services principaux

Serveur de traitement adaptatif Service d'accès aux données personna­ Services Web Intelligence
lisé

Serveur de traitement adaptatif Service de fédération de données Services de fédération de données

Serveur de traitement adaptatif Service de récupération de documents Services Web Intelligence

Serveur de traitement adaptatif Service DSL Bridge Services Web Intelligence

Serveur de traitement adaptatif Service d'accès aux données Excel Services Web Intelligence

Serveur de traitement adaptatif Service Insight to Action Services principaux

Serveur de traitement adaptatif Service ClearCase de la gestion des pro­ Services de gestion des promotions
motions

Serveur de traitement adaptatif Services de gestion des promotions Services de gestion des promotions

Serveur de traitement adaptatif Service de surveillance Services principaux

Serveur de traitement adaptatif Service d'analyse multidimensionnelle Analysis Services

Serveur de traitement adaptatif Service de recherche de plateformes Services principaux

Serveur de traitement adaptatif Service de post-traitement de la publica­ Services principaux

tion

Serveur de traitement adaptatif Service de publication Services principaux

Serveur de traitement adaptatif Service Rebean Services Web Intelligence

Business Intelligence Platform Administrator Guide

70 PUBLIC Architecture
 Type de serveur Service Catégorie de service

Serveur de traitement adaptatif Service de jetons de sécurité Services principaux

Serveur de traitement adaptatif Service de traduction Services principaux

Serveur de traitement adaptatif Service de différence visuelle Services de gestion des promotions

Serveur de traitement adaptatif Service de visualisation Services Web Intelligence

Central Management Server Service de gestion centralisée Services principaux

Serveur de connexion Service de connectivité natif Services de connectivité

Serveur de connexion Service de connectivité natif (32 bits) Services de connectivité

Crystal Reports Cache Server Service de mémoire cache Crystal Re­ Services Crystal Reports
ports

Crystal Reports Processing Server Service de traitement Crystal Re­ Services Crystal Reports
ports 2016

Crystal Reports Processing Server Service de traitement Crystal Reports Services Crystal Reports

Dashboards Cache Server Service de mémoire cache des tableaux Services Dashboards
de bord

Serveur de traitement Dashboards Service de traitement Dashboards Services Dashboards

Dashboard Server Service de tableau de bord Services principaux

Event Server Service d'événement Services principaux

Input File Repository Server Service de stockage des fichiers d'entrée Services principaux

Output File Repository Server Service de stockage des fichiers de sor­ Services principaux
tie

Report Application Server (RAS) Service de modification et de visualisa­ Services Crystal Reports
tion Crystal Reports 2016

Serveur conteneur d'applications Web Service Web RESTful Services principaux

Web Intelligence Processing Server Service du moteur d'informations Services Web Intelligence

Web Intelligence Processing Server Service commun Web Intelligence Services Web Intelligence

Web Intelligence Processing Server Service principal Web Intelligence Services Web Intelligence

Web Intelligence Processing Server Service de traitement Web Intelligence Services Web Intelligence

3.2.5 Serveurs

Les serveurs sont un regroupement de services exécutés sous un SIA (Server Intelligence Agent) sur un hôte. Le
type de serveur est signalé par les services qui y sont exécutés. Les serveurs peuvent être créés dans la CMC
(Central Management Console). Le tableau suivant répertorie les différents types de serveurs pouvant être créés
dans la CMC.

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 71
Serveur Description

Adaptative Job Server Serveur générique traitant les travaux planifiés. Lorsque vous
ajoutez un Job Server au système de la plateforme de BI,
vous pouvez configurer le Job Server pour traiter les
rapports, documents, programmes ou publications et
envoyer les résultats vers différentes destinations.

Serveur de traitement adaptatif Serveur générique qui héberge les services responsables du
traitement des demandes provenant de diverses sources.

Le programme d'installation installe un serveur de traitement

adaptatif (APS) par système hôte. Selon les fonctionnalités
que vous avez installées, cet APS peut héberger un grand
nombre de services, tels que le service de surveillance, le
service de gestion du cycle de vie, le service d'analyse
multidimensionnelle (MDAS), le service de publication et
d'autres.

Pour les systèmes de production ou de test, la meilleure

méthode consiste à créer des APS supplémentaires, puis de
les configurer pour répondre à vos exigences de gestion.
Pour en savoir plus, voir Introduction à l'Assistant de
configuration du système [page 96] et Configuration des
serveurs de traitement adaptif (APS, Adaptive Processing
Servers) pour les systèmes de production [page 424].

Central Management Server (CMS) Gère une base de données d'informations concernant votre
système de la plateforme de BI (dans la base de données
système du CMS) et les actions utilisateur auditées (dans le
magasin de données d'audit). Tous les services de
plateforme sont gérés par le CMS. Le CMS contrôle
également l'accès aux fichiers système où sont stockés les
documents, les informations relatives aux utilisateurs,
groupes d'utilisateurs, niveaux de sécurité (y compris
l'authentification et l'autorisation) et le contenu.

Serveur de connexion Permet l'accès de la base de données aux données source.

Les bases de données relationnelles sont prises en charge,
de même que OLAP et autres formats. Le Connection Server
gère les connexions et l'interaction avec les diverses sources
de données et fournit un ensemble de fonctions communes
aux clients.

Crystal Reports Cache Server Intercepte les demandes de rapport envoyées par les clients
au Page Server. Si le Cache Server ne peut pas répondre à la
demande avec une page de rapport mise en cache, il
transmet la demande au serveur de traitement Crystal
Reports, qui exécute le rapport et renvoie les résultats. Le
Cache Server met alors la page de rapport en mémoire cache
en vue d'une potentielle utilisation ultérieure.

Crystal Reports Processing Server Répond aux demandes de page en traitant les rapports et en
générant des pages au format de page encapsulée (EPF).
L'avantage clé du format EPF est qu'il prend en charge
l'accès aux pages à la demande, si bien que seule la page

Business Intelligence Platform Administrator Guide

72 PUBLIC Architecture
 Serveur Description

demandée est renvoyée et non le rapport complet. Cela

améliore les performances système et réduit le trafic réseau
inutile dans le cas de grands rapports.

Dashboards Cache Server Intercepte les demandes de rapport envoyées par les clients
au Dashboard Server. Si le Cache Server ne peut pas
répondre à la demande avec une page de rapport mise en
cache, il transmet la demande au Dashboard Server, qui
exécute le rapport et renvoie les résultats. Le Cache Server
met alors la page de rapport en mémoire cache en vue d'une
potentielle utilisation ultérieure.

Serveur de traitement Dashboards Répond aux demandes de Dashboards en traitant les

rapports et en générant des pages au format de page
encapsulée (EPF). L'avantage clé du format EPF est qu'il
prend en charge l'accès aux pages à la demande, si bien que
seule la page demandée est renvoyée et non le rapport
complet. Cela améliore les performances système et réduit le
trafic réseau inutile dans le cas de grands rapports.

Event Server Surveille les événements du système qui peuvent déclencher

l'exécution d'un rapport. Lorsque vous configurez un
déclenchement d'événement, l'Event Server surveille la
condition et notifie au CMS l'exécution d'un événement. Le
CMS peut ensuite démarrer tous les travaux configurés pour
s'exécuter lors de l'événement. L'Event Server gère les
événements basés sur des fichiers qui se produisent dans le
niveau de stockage.

File Repository Server En charge de la création des objets système de fichiers, tels
que les rapports exportés, et des fichiers importés dans des
formats non natifs. Un Input FRS stocke les objets de rapport
et de programme qui ont été publiés sur le système par les
administrateurs et les utilisateurs finaux. Un Output FRS
stocke toutes les instances de rapport générées par le Job
Server.

Web Intelligence Processing Server Traite les documents SAP BusinessObjects Web Intelligence.

Report Application Server Fournit des fonctionnalités de reporting ad hoc permettant

aux utilisateurs de créer et de modifier des rapports Crystal
via le SDK (Software Development Kit) de SAP Crystal
Reports Server Embedded.

3.3 Applications client

Vous pouvez interagir avec la plateforme de BI en utilisant deux types principaux d'applications client :

● Applications de bureau
Ces applications doivent être installées sur un système d'exploitation Microsoft Windows pris en charge. Elles
peuvent traiter des données et créer des rapports localement.

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 73
 Remarque
Le programme d'installation de la plateforme de BI n'installe plus les applications de bureau. Pour installer
des applications de bureau sur un serveur, utilisez le programme d'installation autonome des outils client
de la plateforme SAP BusinessObjects Business Intelligence.

Les applications client de bureau permettent de décharger une partie du traitement des rapports BI sur des
ordinateurs client individuels. La plupart des applications de bureau accèdent directement aux données de
votre organisation via des pilotes installés sur le bureau et communiquent avec votre déploiement de la
plateforme de BI via CORBA ou CORBA SSL crypté.
Crystal Reports et Live Office sont des exemples de ce type d'application.

Remarque
Bien que Live Office soit une application à fonctionnalité riche, elle forme une interface avec les services
Web de la plateforme de BI via HTTP.

● Applications Web
Ces applications sont hébergées par un serveur d'applications Web et sont accessibles via un navigateur Web
pris en charge sur les systèmes d'exploitation Windows, Macintosh, Unix et Linux.
Cela permet de fournir un accès Business Intelligence (BI) à de grands groupes d'utilisateurs, sans avoir à
déployer de logiciels de bureau. La communication est assurée via HTTP avec ou sans cryptage SSL (HTTPS).
La zone de lancement BI, SAP BusinessObjects Web Intelligence, la CMC (Central Management Console) et
les visualiseurs de rapport sont des exemples de ce type d'application.

3.3.1 Installées avec les outils client de la plateforme SAP

BusinessObjects Business Intelligence

3.3.1.1 Web Intelligence Rich Client

Web Intelligence Rich Client est un outil d'analyse et de reporting ad-hoc conçu pour les utilisateurs
professionnels avec ou sans accès à la plateforme de BI.

Il permet aux utilisateurs d'accéder aux données via des univers (.unv et .unx), des requêtes ou d'autres sources,
en utilisant des termes de gestions familiers dans une interface avec fonctionnalité glisser-déposer. Les workflows
permettent d'analyser les questions très larges ou très ciblées et de poser d'autres questions au cours du
workflow d'analyse.

Les utilisateurs de Web Intelligence Rich Client peuvent continuer à utiliser des fichiers de document Web
Intelligence (.wid), même s'ils ne peuvent pas se connecter à un CMS (Central Management Server).

3.3.1.2 Gestionnaire de vues d'entreprise

Le Gestionnaire de vues d'entreprise permet aux utilisateurs de créer des objets de couche sémantique qui
simplifient la complexité des bases de données sous-jacentes.

Business Intelligence Platform Administrator Guide

74 PUBLIC Architecture
Le Gestionnaire de vues d'entreprise permet de créer des connexions de données, des connexions de données
dynamiques, des fondations de données, des éléments d'entreprise, des vues d'entreprise et des vues
relationnelles. Il permet aussi de définir une sécurité détaillée au niveau des colonnes et des lignes pour les objets
d'un rapport.

Les concepteurs peuvent créer des connexions à plusieurs sources de données, joindre des tables, créer des alias
pour des noms de champs, des champs calculés, puis utiliser cette structure simplifiée sous forme de vue
d'entreprise. Les concepteurs et les utilisateurs de rapports peuvent ensuite utiliser la vue d'entreprise comme
base de leurs rapports, plutôt qu'accéder directement aux données et créer leurs propres requêtes.

3.3.1.3 Outil de conversion de rapport

L'outil de conversion de rapport convertit les rapports au format Web Intelligence et les publie sur un CMS
(Central Management Server).

Les rapports peuvent être extraits des dossiers Publics, Favoris ou Boîte de réception du CMS. Une fois
les rapports convertis, vous pouvez les publier dans le même dossier que le rapport Web Intelligence d'origine ou
dans un autre dossier. L'outil ne convertit pas tous les rapports et toutes les fonctionnalités de Web Intelligence.
Le niveau de conversion dépend des fonctions présentes dans le rapport d'origine. Certaines d'entre elles
empêchent la conversion du rapport. D'autres sont modifiées, implémentées de nouveau ou supprimées par l'outil
pendant la conversion.

L'outil de conversion de rapport vous permet également de réaliser l'audit de vos rapports convertis. Vous pouvez
ainsi identifier les rapports qui ne peuvent pas être totalement convertis par l'outil de conversion de rapport et en
expliquer la raison.

3.3.1.4 Outil de conception d'univers

L'Outil de conception d'univers (anciennement Universe Designer) permet aux concepteurs de données de
combiner les données de plusieurs sources dans une couche sémantique qui masque la complexité des bases de
données aux utilisateurs finaux. Il simplifie la complexité des données en utilisant un langage métier plutôt qu'un
langage technique pour les parcourir, les manipuler et les organiser.

L'outil de conception d'univers fournit une interface graphique pour sélectionner et visualiser les tables d'une
base de données. Les tables de bases de données sont représentées par des symboles de tables dans un
diagramme de schéma. Les concepteurs peuvent utiliser cette interface pour manipuler des tables, créer des
jointures entre les tables, des tables d'alias et des contextes et résoudre des boucles dans un schéma.

Vous pouvez également créer des univers à partir de sources de métadonnées. L'outil de conception d'univers est
utilisé pour générer des univers à la fin du processus de création.

3.3.1.5 Query as a Web Service

Query as a Web Service est une application de type assistant qui permet d'adresser des requêtes à un service
Web et de les intégrer à des applications Web. Les requêtes peuvent être enregistrées pour créer un catalogue de

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 75
requêtes standard que les composants de génération d'applications peuvent sélectionner en fonction des
besoins.

Le contenu Business Intelligence est généralement lié à une interface utilisateur spécifique composée d'outils de
Business Intelligence. Avec Query as a Web Service, le contenu BI est livré dans toute interface utilisateur capable
de traiter des services Web.

Query as a Web Service est conçu pour être exécuté avec une application Microsoft Windows quelconque, comme
tout autre service Web. Query as a Web Service est basé sur les spécifications W3C de service Web SOAP, SDL et
XML. Il comprend deux principaux composants :

● Composant serveur
Le composant serveur (intégré à la plateforme de BI) stocke le catalogue Query as a Web Service et héberge
les services Web publiés.
● Outil client
C'est l'outil avec lequel les utilisateurs créent et publient leurs requêtes Query as a Web Service. Vous pouvez
installer l'outil client sur plusieurs ordinateurs pouvant accéder au même catalogue stocké sur le serveur et
partager. L'outil client communique avec les composants serveur via les services Web.

Query as a Web Service permet d'utiliser les requêtes Web dans toute une gamme de solutions côté client, y
compris :

● Microsoft Office, Excel et InfoPath

● Plateforme technologique SAP NetWeaver
● OpenOffice
● Applications de gestion de processus et de règles de gestion
● Plateformes Enterprise Service Bus

3.3.1.6 Outil de conception d'information

L'outil de conception d'information (anciennement Information Designer) est un environnement de conception de

métadonnées qui permet au concepteur d'extraire, de définir et de manipuler les métadonnées de sources
relationnelles et OLAP pour créer et déployer des univers SAP BusinessObjects.

3.3.1.7 Outil de gestion de la traduction

La plateforme de BI prend en charge les documents et univers multilingues. Un document multilingue contient
des versions localisées des métadonnées d'univers et des invites de document. Par exemple, un utilisateur peut
créer des rapports à partir du même univers dans les langues de son choix.

L'outil de gestion de la traduction (anciennement Gestionnaire de traduction) définit les univers multilingues et
gère la traduction des univers, ainsi que d'autres ressources de rapport et d'analyse du référentiel du CMS.

Outil de gestion de la traduction :

● Traduit l'univers ou les documents pour un public multilingue.

● Définit les parties métadonnées du document et la traduction appropriée. Génère un format XLIFF externe et
importe les fichiers XLIFF pour obtenir des informations traduites.

Business Intelligence Platform Administrator Guide

76 PUBLIC Architecture
 ● Indique la structure de l'univers ou des documents à traduire.
● Permet de traduire les métadonnées via l'interface utilisateur ou par le biais d'un outil de traduction externe
en important et en exportant des fichiers XLIFF.
● Crée des documents multilingues.

3.3.1.8 Outil d'administration de fédération de données

L'Outil d'administration de fédération de données (anciennement Data Federator) est une application Rich Client
qui offre des fonctionnalités faciles à utiliser pour gérer votre service de fédération de données.

Etroitement intégré à la plateforme de BI, le service de fédération de données active les univers à plusieurs
sources en diffusant les requêtes dans plusieurs sources de données et vous permet ainsi de fédérer les données
par le biais d'une fondation de données unique.

L'outil d'administration de fédération de données vous permet d'optimiser les requêtes de fédération de données
et d'ajuster le moteur de recherche de fédération de données en vue d'obtenir les meilleures performances
possibles.

Il permet d'effectuer les opérations suivantes :

● Tester les requêtes SQL.

● Visualiser les plans d'optimisation qui détaillent la façon dont les requêtes sont transmises à chaque source.
● Calculer des statistiques et définir des paramètres système pour ajuster les services de fédération de
données et obtenir les meilleures performances possibles.
● Gérer les propriétés afin de contrôler la façon dont les requêtes sont exécutées dans chaque source de
données au niveau du connecteur.
● Surveiller les requêtes SQL en cours.
● Parcourir l'historique des requêtes exécutées.

3.3.1.9 Indicateurs de la plateforme de BI

Les indicateurs sont des mini-applications permettant d'accéder rapidement et facilement aux fonctions souvent
utilisées et fournissant des informations visuelles à partir de votre bureau. Les indicateurs de la plateforme de BI
(anciennement BI Widgets) permettent à votre entreprise d'offrir un accès au contenu Business Intelligence (BI)
existant de la plateforme de BI, ou vous pouvez ajouter des applications Web Dynpro enregistrées sous forme
d'indicateurs XBCML (Extensible Business Client Markup Language) sur les composants de SAP NetWeaver
Application Server en tant qu'indicateurs de bureau.

Pour afficher des indicateurs XBCML sur le bureau de l'utilisateur, on utilise le client SAP Web Dynpro Flex. Le
client SAP Web Dynpro Flex est un moteur d'affichage basé sur Adobe Flex, qui est utilisé pour afficher des
indicateurs. Pour en savoir plus sur la configuration des applications Web Dynpro, voir la rubrique Pour activer les
indicateurs sur les composants du serveur d'applications SAP NetWeaver du Guide de l'utilisateur d'indicateurs
pour SAP BusinessObjects.

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 77
 Remarque
La prise en charge des indicateurs XBCML par le client SAP Web Dynpro Flex commence avec la version 7.0
EhP2 SP3. La prise en charge d'attente du client Flex est réservée aux problème du client Flex rencontrés dans
les indicateurs XBCML dans ces versions spécifiées.

Grâce aux indicateurs, vous recherchez ou parcourez le contenu existant, comme les documents Web
Intelligence, les modèles Dashboards et les applications Web Dynpro, puis collez les informations sur votre
bureau afin qu'elles soient accessibles en cas de besoin.

En tant qu'indicateur, le contenu bénéficie des fonctionnalités suivantes du cadre d'application des indicateurs :

● Taille et positionnement contrôlés par l'utilisateur

● Actualisation automatique
● Paramètre facultatif, tel que la fenêtre d'application supérieure
● Sécurité totale de la plateforme de BI (parties de rapport Web Intelligence et modèles Dashboards
uniquement)
● Affichage enregistré
● Etat de contexte des données enregistrées (parties de rapport Web Intelligence uniquement)
● Liens OpenDocument Web Intelligence vers des rapports détaillés (documents Web Intelligence uniquement)
● Vues avec onglets (modèles Dashboards uniquement)

3.3.2 Installées avec la plateforme SAP BusinessObjects

Business Intelligence

3.3.2.1 Central Configuration Manager (CCM)

Le CCM (Central Configuration Manager) est un outil de gestion de nœuds et de dépannage de serveurs proposé
sous deux formes. Dans un environnement Microsoft Windows, le CCM permet de gérer des serveurs locaux et
distants via son interface utilisateur graphique ou depuis une ligne de commande. Dans un environnement Unix, le
script shell du CCM (ccm.sh) permet de gérer les serveurs à partir de la ligne de commande.

Le CCM vous permet de créer et de configurer des nœuds et de démarrer ou arrêter votre serveur d'applications
Web, s'il s'agit du serveur d'applications Web Tomcat fourni par défaut. Sous Windows, il permet également de
configurer des paramètres réseau, tels que le cryptage SSL (Secure Socket Layer). Ces paramètres s'appliquent à
tous les serveurs d'un même nœud.

Remarque
La plupart des tâches de gestion des serveurs sont à présent gérées via la CMC, et non via le CCM. Désormais,
le CCM est utilisé pour le dépannage et la configuration des nœuds.

3.3.2.2 Outil de gestion de mise à niveau

L'outil de gestion de mise à niveau (anciennement une fonctionde l'Assistant d'importation) est installé dans le
cadre de la plateforme de BI et guide les administrateurs tout au long du processus d'importation des utilisateurs,

Business Intelligence Platform Administrator Guide

78 PUBLIC Architecture
groupes et dossiers depuis les versions précédentes de la plateforme de BI. Il permet également l'importation et
la mise à niveau des événements, groupes de serveurs, objets de référentiel et calendriers.

Pour en savoir plus sur la mise à niveau à partir d'une version antérieure de la plateforme de BI, voir le Guide de
mise à niveau de la plateforme de Business Intelligence.

3.3.2.3 Outil de diagnostic de référentiel

L'outil de diagnostic de référentiel permet d'analyser, de diagnostiquer et de réparer les incohérences qui peuvent
se produire entre la base de données système du CMS ( Central Management Server) et le stockage des fichiers
FRS (File Repository Servers).

Il permet également de créer un rapport sur le statut de réparation et les actions exécutées. Pour déterminer la
synchronisation entre le système de fichiers et la base de données, le RDT doit être utilisé après la première
exécution d'une sauvegarde à chaud par l'utilisateur. Il peut également être utilisé après une restauration et avant
le démarrage des services de la plateforme de BI. L'utilisateur peut définir une limite pour le nombre d'erreurs
trouvées et réparées par le RDT avant l'arrêt.

3.3.3 Disponibles séparément

3.3.3.1 SAP BusinessObjects Analysis, édition pour

Microsoft Office

SAP BusinessObjects Advanced Analysis, édition pour Microsoft Office constitue une alternative de premier choix
à Business Explorer (BEx) en permettant aux analystes professionnels d'explorer des données OLAP (Online
Analytical Processing) multidimensionnelles.

Les analystes peuvent ainsi répondre rapidement aux questions de gestion et partager avec d'autres utilisateurs
leurs analyses et leur espace de travail sous forme d'analyses.

SAP BusinessObjects Analysis, édition pour Microsoft Office, fournit aux analystes la possibilité :

● D'identifier les tendances, les extrêmes et les détails stockés dans les systèmes financiers sans l'aide d'un
administrateur de base de données.
● D'obtenir des réponses à leurs questions de gestion efficacement en consultant des jeux de données
multidimensionnels de petite ou grande taille.
● D'accéder à l'ensemble des sources de données OLAP disponibles au sein de l'entreprise et de partager les
résultats à l'aide d'une interface intuitive simple.
● D'accéder aux différentes sources de données OLAP des mêmes analyses pour obtenir un aperçu complet de
l'activité et de l'impact croisé des tendances.
● D'interroger, d'analyser, de comparer et de prévoir les facteurs d'activité.
● D'utiliser une gamme complète de calculs de gestion et temporels.

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 79
3.3.3.2 SAP Crystal Reports

Le logiciel SAP Crystal Reports permet aux utilisateurs de concevoir des rapports interactifs à partir d'une source
de données.

3.3.3.3 SAP BusinessObjects Dashboards

SAP BusinessObjects Dashboards (anciennement Xcelsius) désigne un outil conçu pour visualiser les données et
créer des tableaux de bord dynamiques et interactifs. Les données et les formules sont importées ou directement
saisies dans une feuille de calcul Excel incorporée. Une interface flash fournit une zone de dessin permettant
d'afficher différents tableaux de bord et analyses.

Les données peuvent être mises à jour dynamiquement depuis la plateforme de BI et exportées vers différents
formats qui peuvent être affichés par les utilisateurs de données dans des formats standard tels que PowerPoint,
PDF ou Flash.

3.3.3.4 SAP BusinessObjects Explorer

SAP BusinessObjects Explorer est une application de détection des données qui utilise une puissante
fonctionnalité de recherche afin d'extraire des réponses aux questions professionnelles à partir de données, d'une
façon directe et rapide.

Lorsque vous installez SAP BusinessObjects Explorer, les serveurs suivants sont ajoutés au CCM (Central
Configuration Manager) et à la CMC (Central Management Console) de la plateforme de BI :

● Serveur de base Explorer : gère tous les serveurs Explorer.

● Serveur d'indexation Explorer : assure et gère l'indexation des données et des métadonnées de l'espace
d'informations.
● Serveur de recherche Explorer : traite les requêtes de recherche et renvoie les résultats.
● Serveur d'exploration Explorer : assure et gère les fonctionnalités d'exploration et d'analyse de l'espace
d'informations, notamment la recherche sur les données, le filtrage et l'agrégation.

3.3.3.5 SAP Lumira

L'application SAP Lumira aide à visualiser les données et à créer des récits portant sur celles-ci. SAP Lumira
permet de manipuler, modifier, mettre en forme et affiner vos données, créer des visualisations pour représenter
les données sous forme de graphique et partager vos visualisations à l'aide de récits.

SAP Lumira est à présent répertorié comme une application de la CMC, ce qui permet de gérer les droits relatifs à
la fonctionnalité d'acquisition de données et de partage de contenu de SAP Lumira pour chaque utilisateur ou
groupe d'utilisateurs.

Business Intelligence Platform Administrator Guide

80 PUBLIC Architecture
 Remarque
Tous les événements associés à l'application SAP Lumira sont enregistrés sans ID client dans la base de
données d'audit.

3.3.4 Clients d'applications Web

Les clients d'applications Web résident sur un serveur d'applications Web et sont accessibles sur un navigateur
Web client. Les applications Web sont déployées automatiquement lors de l'installation de la plateforme de BI.

Les applications Web sont facilement accessibles depuis un navigateur Web et la communication peut être
sécurisée par cryptage SSL si vous planifiez d'autoriser un accès utilisateur externe au réseau de votre
organisation.

De plus, les applications Web Java peuvent être reconfigurées ou déployées après l'installation initiale en utilisant
l'outil de ligne de commande WDeploy fourni, qui permet de déployer des applications Web sur un serveur
d'applications Web comme suit :

1. Mode autonome
Toutes les ressources d'applications Web sont déployées sur un serveur d'applications Web qui sert à la fois
le contenu statique et dynamique. Ce mode est adapté aux petites installations.
2. Mode divisé
Le contenu statique de l'application Web (HTML, images, CSS) est déployé sur un serveur Web dédié alors
que le contenu dynamique (JSP) est déployé sur un serveur d'applications Web. Ce mode est adapté aux
installations plus importantes qui bénéficient du fait que le serveur d'applications Web n'a pas à servir le
contenu Web statique.

Pour en savoir plus sur WDeploy, voir le Guide de déploiement d'applications Web de la plateforme SAP
BusinessObjects Business Intelligence.

3.3.4.1 Central Management Console (CMC)

La CMC (Central Management Console) est un outil Web à utiliser pour effectuer les tâches administratives (dont
la gestion des utilisateurs, du contenu et des serveurs) et pour configurer les paramètres de sécurité. La CMC
étant une application Web, vous pouvez effectuer toutes les tâches d'administration dans un navigateur Web, sur
tout ordinateur pouvant se connecter au serveur d'applications Web.

Seuls les membres du groupe Administrateurs peuvent modifier les paramètres de gestion, à moins que les droits
pour le faire ne soient explicitement accordés à un utilisateur. Des rôles peuvent être affectés dans la CMC afin
d'accorder des droits d'utilisateurs pour effectuer des tâches administratives mineures comme la gestion des
utilisateurs d'un groupe ou des rapports dans les dossiers appartenant à une équipe.

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 81
3.3.4.2 Zone de lancement BI

La zone de lancement BI (précédemment connue sous le nom d'InfoView) est une interface Web à laquelle les
utilisateurs finaux accèdent pour afficher, planifier et suivre les rapports Business Intelligence (BI) publiés. La
zone de lancement BI permet d'accéder à n'importe quel type de document de Business Intelligence, dont les
rapports, les analyses et les tableaux de bord, et aussi d'interagir avec eux et de les exporter.

La zone de lancement BI permet aux utilisateurs de gérer :

● la navigation et la recherche dans le contenu BI,

● l'accès au contenu BI (création, édition et visualisation),
● la planification et la publication du contenu BI.

3.3.4.3 Espaces de travail BI

Les espaces de travail BI (précédemment connus sous le nom Dashboard Builder) aident à suivre les activités
commerciales et les performances à l'aide de modules (modèles de données) et des espaces de travail Business
Intelligence (BI) (visualisation de données dans un ou plusieurs modules). Les modules et les espaces de travail BI
fournissent les informations nécessaires à l'ajustement des règles de gestion lorsque les conditions changent.
Cela vous aide à suivre et à analyser les données de gestion clés via les modules et les espaces de travail BI de
gestion. L'analyse et la prise de décision en groupe sont également prises en charge via les fonctionnalités de
collaboration et de workflow intégrées. Les espaces de travail BI offrent les fonctions suivantes :

● La navigation par onglet

● Création de pages : gestion des espaces de travail BI et des modules
● Un générateur d'application interactif
● La liaison de contenu entre modules pour une analyse approfondie des données

Remarque
La liaison de contenu n'est pas prise en charge pour les documents Design Studio.

Remarque
Les espaces de travail BI font partie intégrante de l'application de zone de lancement BI. Dès lors, pour utiliser
les fonctionnalités des espaces de travail BI, vous devez acheter une licence de plateforme SAP
BusinessObjects Business Intelligence dont le contrait inclut la zone de lancement BI.

3.3.4.4 Visualiseurs de rapports

Chaque visualiseur de rapports prend en charge une plateforme et un navigateur différents. Les préférences
peuvent être définies dans la zone de lancement BI et la CMC (Central Management Console). Il existe deux
catégories de visualiseurs :

● Visualiseurs de rapports zéro client (visualiseur DHTML)

Business Intelligence Platform Administrator Guide

82 PUBLIC Architecture
 Les visualiseurs de rapports zéro client résident sur le serveur d'applications Web. Lorsqu'un utilisateur
demande un rapport, le serveur d'applications Web récupère les pages du rapport sur la plateforme de BI et
crée des pages DHTML qui s'affichent dans le navigateur Web. Pour choisir le visualiseur de rapports zéro
client (DHTML), sélectionnez Préférences Crystal Reports Web (aucun téléchargement requis) .
● Visualiseurs de rapports côté client (visualiseur Active X, visualiseur Java)
Les visualiseurs de rapports côté client sont téléchargés et installés dans le navigateur de l'utilisateur.
Lorsqu'un utilisateur demande un rapport, le serveur d'applications traite la requête, puis récupère les pages
de rapport sur la plateforme de BI. Le serveur d'applications Web transmet ensuite les pages du rapport au
visualiseur côté client qui les traite et les affiche dans le navigateur Web. Pour choisir un visualiseur de
rapports côté client, sélectionnez Préférences Crystal Reports Web ActiveX (ActiveX requis) ou Web
Java (Java requis).

Tous les visualiseurs de rapports traitent les requêtes de rapport et présentent les pages du rapport qui
s'affichent dans le navigateur Web.

Remarque
Pour accéder en ligne aux rapports Crystal par le biais de la CMC (Central Management Console), il est
recommandé d'utiliser le visualiseur Web DHTML par défaut. Evitez d'utiliser le visualiseur Java hérité, il ne
fournit pas les mêmes fonctionnalités que le visualiseur DHTML.

Pour en savoir plus sur les fonctionnalités spécifiques ou les plateformes prises en charge par chaque visualiseur
de rapport, voir le Guide de l'utilisateur de la zone de lancement BI, le Report Application Server .NET SDK
Developer Guide ou le Guide du développeur pour Viewers Java SDK.

3.3.4.5 SAP BusinessObjects Web Intelligence

SAP BusinessObjects Web Intelligence désigne un outil Web qui fournit des fonctionnalités de requête, de
reporting et d'analyse pour les sources de données relationnelles dans un produit Web unique.

Il permet aux utilisateurs de créer des rapports, d'effectuer des requêtes ad hoc, d'analyser des données et de
mettre en forme des rapports dans une interface autorisant le glisser-déposer. Web Intelligence masque la
complexité des sources de données sous-jacentes.

Les rapports peuvent être publiés sur un portail Web pris en charge ou dans des applications Microsoft Office à
l'aide de SAP BusinessObjects Live Office.

3.3.4.6 SAP BusinessObjects Analysis, édition pour OLAP

SAP BusinessObjects Analysis, édition pour OLAP (anciennement Voyager) désigne un outil OLAP (Online
Analytical Processing) figurant sur le portail de la zone de lancement BI, qui permet d'utiliser des données
multidimensionnelles. Il permet aussi de combiner des informations issues de différentes sources de données
OLAP dans un espace de travail unique. Les fournisseurs OLAP pris en charge incluent SAP BW et Microsoft
Analysis Services.

L'ensemble de fonctions d'Analysis, édition pour OLAP combine les éléments de SAP Crystal Reports (accès
direct aux données des cubes OLAP à des fins de reporting de production) et de la solution SAP BusinessObjects

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 83
Web Intelligence (reporting analytique ad hoc avec les univers des sources de données OLAP). Il offre une gamme
de calculs d'activité et de temps et inclut des fonctions telles que les curseurs de temps pour rendre l'analyse des
données OLAP aussi simple que possible.

Remarque
L'application Web Analysis, édition pour OLAP est uniquement disponible sous forme d'application Web Java. Il
n'existe pas d'application correspondante pour .NET.

3.3.4.7 SAP BusinessObjects Mobile

SAP BusinessObjects Mobile permet aux utilisateurs d'accéder à distance aux mêmes rapports, métriques et
données en temps réel Business Intelligence (BI) disponibles dans les applications client de bureau depuis un
appareil sans fil. Le contenu est optimisé pour les périphériques mobiles de sorte que les utilisateurs peuvent
facilement accéder aux rapports courants, naviguer dans ces rapports et les analyser sans aucune formation
supplémentaire.

Avec SAP BusinessObjects Mobile, les responsables et les techniciens de l'information disposent en permanence
de données à jour sur la base desquelles ils peuvent prendre des décisions avisées. Les équipes de vente et
service après-vente peuvent fournir à tout moment des informations pertinentes relatives au client, au produit et
à l'ordre de travail.

SAP BusinessObjects Mobile prend en charge une large gamme de périphériques mobiles, y compris BlackBerry,
Windows Mobile et Symbian.

Pour en savoir plus sur l'installation, la configuration et le déploiement Mobile, reportez-vous au Guide
d'installation et de déploiement de SAP BusinessObjects Mobile. Pour en savoir plus sur l'utilisation de SAP
BusinessObjects Mobile, reportez-vous au guide Utilisation de SAP BusinessObjects Mobile.

3.4 Workflows de traitement

Lors de l'exécution de tâches telles que la connexion, la planification ou la visualisation d'un rapport, des flux
d'informations qui transitent sur le système et les serveurs communiquent entre eux. La section suivante décrit
certains des flux de traitement tels qu'ils se produisent dans la plateforme de BI.

Pour visualiser d'autres workflows de processus avec des supports visuels voir les tutoriels produit officiels de la
plateforme SAP BusinessObjects Business Intelligence 4.x à l'adresse : http://scn.sap.com/docs/DOC-8292

Business Intelligence Platform Administrator Guide

84 PUBLIC Architecture
3.4.1 Démarrage et authentification

3.4.1.1 Connexion à la plateforme de BI

Ce workflow décrit une connexion utilisateur à une application Web de la plateforme de BI partir d'un navigateur
Web. Ce workflow s'applique aux applications Web telles que la zone de lancement BI et la CMC (Central
Management Console).

1. Le navigateur (client Web) envoie la demande de connexion via le serveur Web au serveur d'applications Web
où s'exécute l'application Web.
2. Le serveur d'applications Web détermine qu'il s'agit d'une requête de connexion. Le serveur d'applications
Web envoie le nom d'utilisateur, le mot de passe et le type d'authentification au CMS pour authentification.
3. Le CMS valide le nom d'utilisateur et le mot de passe par rapport à la base de données appropriée. Dans ce
cas, l'authentification Enterprise est utilisée et les références de l'utilisateur sont authentifiées par rapport à la
base de données système du CMS.
4. Une fois la validation réussie, le CMS crée une session pour l'utilisateur dans la mémoire.
5. Le CMS envoie une réponse au serveur d'applications Web pour l'aviser que la validation a réussi.
6. Le serveur d'applications Web génère un jeton de connexion pour la session utilisateur dans la mémoire.
Durant la reste de la session, le serveur d'applications Web utilise le jeton de connexion pour valider
l'utilisateur auprès du CMS. Le serveur d'applications Web génère la page Web suivante pour l'envoyer au
client Web.
7. Le serveur d'applications Web envoie la page Web suivante au serveur Web.
8. Le serveur Web envoie la page Web au client Web, où elle s'affiche dans le navigateur de l'utilisateur.

3.4.1.2 Démarrage du SIA

Un SIA (Server Intelligence Agent) peut être configuré pour démarrer automatiquement avec le système
d'exploitation hôte ou manuellement avec le CCM (Central Configuration Manager).

Un SIA extrait des informations sur les serveurs qu'il gère depuis un CMS (Central Management Server). Si le SIA
utilise un CMS local et que celui-ci n'est pas en cours d'exécution, le SIA le démarre. Si un SIA utilise un CMS
distant, il tente de s'y connecter.

Une fois le SIA lancé, la séquence d'événements ci-après est exécutée.

1. Le SIA recherche un SMS dans son cache.

a. Si le SIA est configuré pour démarrer un CMS local et que le CMS n'est pas en cours d'exécution, le SIA le
démarre et se connecte.
b. Si le SIA est configuré pour utiliser un CMS en cours d'exécution (local ou distant), il tente de se
connecter au premier CMS dans son cache. Si ce CMS n'est pas disponible, il tente de se connecter au
CMS suivant dans son cache. Si aucun des CMS mis en cache n'est disponible, le SIA attend qu'un CMS
soit disponible.
2. Le CMS confirme l'identité du SIA pour s'assurer qu'il est valide.
3. Une fois le SIA connecté à un CMS, il demande une liste de serveurs à gérer.

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 85
 Remarque
Le SIA ne stocke pas d'informations sur les serveurs qu'il gère. Les informations de configuration qui
déterminent quel serveur est géré par un SIA sont stockées dans la base de données système du CMS et
sont extraites du CMS par le SIA à son démarrage.

4. Le CMS demande à la base de données système du CMS la liste des serveurs gérés par le SIA. La
configuration de chaque serveur est également extraite.
5. Le CMS renvoie au SIA la liste des serveurs et leur configuration.
6. Le SIA lance chaque serveur configuré pour démarrer automatiquement avec la configuration
correspondante et surveille son statut. Chaque serveur lancé par le SIA est configuré pour utiliser le même
CMS que le SIA.
Les serveurs non configurés pour démarrer automatiquement avec le SIA ne sont pas lancés.

3.4.1.3 Fermeture du SIA

Le SIA (Server Intelligence Agent) s'arrête automatiquement quand vous arrêtez le système d'exploitation de
l'hôte. Sinon, vous pouvez arrêter manuellement le SIA dans le CCM (Central Configuration Manager).

A la fermeture du SIA, les étapes suivantes sont exécutées :

Le SIA informe le CMS qu'il est en cours de fermeture.

a. Si le SIA est en cours d'arrêt car le système d'exploitation hôte se referme, il demande à ses serveurs de
s'arrêter. Les serveurs qui ne s'arrêtent pas au bout de 25 secondes sont forcés de s'arrêter.
b. Si le SIA est arrêté manuellement, il attend que le serveur géré ait terminé de traiter les travaux existants.
Dans ce cas, les serveurs gérés n'acceptent pas de nouveaux travaux. Une fois les travaux terminés, les
serveurs s'arrêtent. Lorsque tous les serveurs sont arrêtés, le SIA s'arrête également.

Lors d'un arrêt forcé, le SIA ordonne à tous les serveurs gérés de s'arrêter immédiatement.

3.4.2 Objets de programme

3.4.2.1 Définition de la planification d'un objet programme

Ce workflow décrit la manière dont un utilisateur planifie l'exécution d'un objet programme à une heure future à
partir d'une application Web comme la CMC (Central Management Console) ou la zone de lancement BI.

1. L'utilisateur envoie la demande de planification au serveur d'applications Web à partir du client Web, via le
serveur Web.
2. Le serveur d'applications Web interprète la demande et détermine qu'il s'agit d'une demande de planification.
Le serveur d'applications Web envoie l'heure de planification, les valeurs de connexion à la base de données,
les valeurs des paramètres, la destination et le format au CMS (Central Management Server) spécifié.
3. Le CMS vérifie si l'utilisateur dispose des droits appropriés pour planifier l'objet. Si l'utilisateur dispose de
droits suffisants, le CMS ajoute un nouvel enregistrement à la base de données système du CMS et ajoute
l'instance à sa liste de planifications en attente.

Business Intelligence Platform Administrator Guide

86 PUBLIC Architecture
 4. Le CMS envoie une réponse confirmant la réussite de l'opération de planification au serveur d'applications
Web.
5. Le serveur d'applications Web génère la page HTML suivante et l'envoie au client Web via le serveur Web.

3.4.2.2 Exécution d'un objet programme planifié

Ce workflow décrit le processus d'un objet programme planifié s'exécutant à une heure planifiée. L'Adaptive Job
Server et l'Input File Repository Server doivent également être en cours d'exécution.

Remarque
Ce workflow requiert que le CMS, l'Adaptive Job Server et l'Input File Repository Server soient en cours
d'exécution.

1. Le CMS (Central Management Server) vérifie la base de données système du CMS pour déterminer si une
planification de rapport SAP Crystal doit être exécutée à ce moment.
2. A l'heure du travail planifié, le CMS recherche un service de planification du programme en cours d'exécution
sur un Adaptive Job Server. Le CMS envoie les informations sur le travail au service de planification du
programme.
3. Le service de planification du programme communique avec l'Input File Repository Server (FRS) pour obtenir
l'objet programme.

Remarque
Cette étape requiert également la communication avec le CMS pour rechercher le serveur et les objets
requis.

4. Le service de planification du programme lance le programme.

5. Le service de planification du programme met régulièrement à jour le statut des travaux sur le CMS. Le statut
actuel est Traitement en cours.
6. Le service de planification du programme envoie un fichier journal à l'Output File Repository Server. L'Output
File Repository Server notifie le service de planification du programme que l'objet a été planifié en lui envoyant
un fichier journal de l'objet.

Remarque
Cette étape requiert également la communication avec le CMS pour rechercher le serveur et les objets
requis.

7. Le service de planification du programme met à jour le statut des travaux sur le CMS. Le statut actuel est
Réussite.
8. Le CMS met à jour le statut des travaux dans sa mémoire, puis il écrit les informations sur l'instance dans la
base de données système du CMS.

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 87
3.4.3 Crystal Reports

3.4.3.1 Visualisation d'une page de rapport SAP Crystal mise

en cache

Ce workflow décrit le processus d'un utilisateur demandant une page d'un rapport SAP Crystal (par exemple
depuis le visualiseur de rapport de la zone de lancement BI), lorsque la page du rapport existe déjà sur un serveur
de mise en cache. Ce workflow s'applique à SAP Crystal Reports 2016 et SAP Crystal Reports pour Enterprise.

Remarque
Ce workflow requiert que le CMS et le Crystal Reports Cache Server soient en cours d'exécution.

1. Le client Web envoie une demande de visualisation dans une URL au serveur d'applications Web, via le
serveur Web.
2. Le serveur d'applications Web interprète la demande et détermine qu'il s'agit d'une demande de visualisation
d'une page de rapport sélectionnée. Le serveur d'applications Web envoie une demande au CMS (Central
Management Server) pour vérifier que l'utilisateur a les droits appropriés pour visualiser le rapport.
3. Le CMS contrôle la base de données système du CMS pour vérifier que l'utilisateur dispose des droits
suffisants pour visualiser le rapport.
4. Le CMS envoie une réponse au serveur d'applications Web pour confirmer que l'utilisateur a les droits
suffisants pour visualiser le rapport.
5. Le serveur d'applications Web envoie une requête au serveur de mise en cache Crystal Reports pour lui
demander la page du rapport (fichier .epf).
6. Le serveur de mise en cache Crystal Reports détermine si le fichier .epf demandé existe dans le répertoire
de la mémoire cache. Dans cet exemple, le fichier .epf s'y trouve.
7. Le serveur de mise en cache Crystal Reports renvoie la page demandée au serveur d'applications Web.
8. Le serveur d'applications Web envoie via le serveur Web la page au client Web, où elle s'affiche.

3.4.3.2 Visualisation d'une page SAP Crystal Reports 2016

non mise en cache

Ce workflow décrit le processus d'un utilisateur demandant une page d'un rapport SAP Crystal Reports 2016 (par
exemple depuis le visualiseur de rapport de la zone de lancement BI), lorsque la page du rapport n'existe pas
encore sur un Cache Server.

Remarque
Ce workflow requiert que le CMS, le Crystal Reports Cache Server, le serveur de traitement Crystal
Reports 2016 et l'Output File Repository Server soient en cours d'exécution.

1. L'utilisateur envoie la requête de visualisation au serveur d'applications Web, via le serveur Web.
2. Le serveur d'applications Web interprète la demande, détermine si c'est une demande de visualisation d'une
page de rapport sélectionnée et envoie une demande au CMS (Central Management Server ) pour vérifier que
l'utilisateur dispose des droits suffisants pour visualiser le rapport.

Business Intelligence Platform Administrator Guide

88 PUBLIC Architecture
 3. Le CMS contrôle la base de données système du CMS pour vérifier que l'utilisateur dispose des droits
suffisants pour visualiser le rapport.
4. Le CMS envoie une réponse au serveur d'applications Web pour confirmer que l'utilisateur a les droits
suffisants pour visualiser le rapport.
5. Le serveur d'applications Web envoie une requête au serveur de mise en cache Crystal Reports pour lui
demander la page du rapport (fichier .epf).
6. Le Crystal Reports Cache Server détermine si le fichier demandé existe dans le répertoire cache.
Dans cet exemple, le fichier .epf demandé ne se trouve pas dans le répertoire de la mémoire cache.
7. Le serveur de mise en cache Crystal Reports envoie la requête au serveur de traitement Crystal Reports 2016.
8. Le serveur de traitement Crystal Reports 2016 interroge l'Output File Repository Server (FRS) au sujet de
l'instance de rapport demandée et l'Output FRS envoie celle-ci au serveur de traitement Crystal Reports 2016.

Remarque
Cette étape nécessite également une communication avec le CMS pour localiser le serveur et les objets
requis.

9. Le serveur de traitement Crystal Reports 2016 ouvre l'instance de rapport et vérifie si le rapport contient des
données.
Le serveur de traitement Crystal Reports 2016 détermine que le rapport contient des données, puis il crée le
fichier .epf pour la page de rapport demandée sans se connecter à la base de données de production.
10. Le serveur de traitement Crystal Reports 2016 envoie le fichier .epf au serveur de mise en cache Crystal
Reports.
11. Le serveur de traitement Crystal Reports 2011 écrit le fichier .epf dans le répertoire de la mémoire cache.
12. Le Crystal Reports Cache Server envoie la page demandée au serveur d'applications Web.
13. Le serveur d'applications Web envoie via le serveur Web la page au client Web, où elle s'affiche.

3.4.3.3 Visualisation d'un rapport SAP Crystal Reports 2016

à la demande

Ce workflow décrit le processus d'un utilisateur demandant une page de rapport SAP Crystal Reports 2016 à la
demande pour voir les dernières données, par exemple depuis le visualiseur de rapport de la zone de lancement
BI.

Remarque
Ce workflow requiert que le CMS, le Crystal Reports Cache Server, le serveur de traitement Crystal
Reports 2016 et l'Input File Repository Server soient en cours d'exécution.

1. L'utilisateur envoie la requête de visualisation au serveur d'applications Web, via le serveur Web.
2. Le serveur d'applications Web interprète la demande et détermine qu'il s'agit d'une demande de visualisation
d'une page de rapport sélectionnée. Le serveur d'applications Web envoie une demande au CMS (Central
Management Server) pour vérifier que l'utilisateur a les droits appropriés pour visualiser le rapport.
3. Le CMS contrôle la base de données système du CMS pour vérifier que l'utilisateur dispose des droits
suffisants pour visualiser le rapport.

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 89
4. Le CMS envoie une réponse au serveur d'applications Web pour confirmer que l'utilisateur a les droits
suffisants pour visualiser le rapport.
5. Le serveur d'applications Web envoie une requête au serveur de mise en cache Crystal Reports pour lui
demander la page du rapport (fichier .epf).
6. Le Crystal Reports Cache Server vérifie si la page existe déjà. Sauf si le rapport répond aux exigences du
partage de rapport à la demande (dans un délai défini par rapport à une autre requête à la demande,
connexion à la base de données, paramètres), le serveur de mise en cache Crystal Reports envoie une
requête au serveur de traitement Crystal Reports 2016 pour générer la page.
7. Le serveur de traitement Crystal Reports 2016 demande l'objet rapport à l'Input File Repository Server (FRS).
L'Input FRS transmet une copie de l'objet au serveur de traitement Crystal Reports 2016.

Remarque
Cette étape nécessite également une communication avec le CMS pour localiser le serveur et les objets
requis.

8. Le serveur de traitement Crystal Reports 2016 ouvre le rapport dans sa mémoire et vérifie s'il contient des
données. Dans cet exemple, il n'y a pas de données dans l'objet de rapport, le serveur de traitement Crystal
Reports 2016 se connecte donc à la source de données pour récupérer les données et générer le rapport.
9. Le serveur de traitement Crystal Reports 2016 envoie la page (fichier .epf) au serveur de mise en cache
Crystal Reports. Le serveur de mise en cache Crystal Reports stocke une copie du fichier .epf dans son
répertoire de mémoire cache dans l'attente de nouvelles demandes de visualisation.
10. Le Crystal Reports Cache Server envoie la page au serveur d'applications Web.
11. Le serveur d'applications Web envoie via le serveur Web la page au client Web, où elle s'affiche.

3.4.3.4 Définition de la planification d'un rapport SAP

Crystal

Ce workflow décrit le processus d'un utilisateur planifiant l'exécution d'un rapport SAP Crystal à une heure future
à partir d'une application Web comme la CMC (Central Management Console) ou la zone de lancement BI. Ce
workflow s'applique à SAP Crystal Reports 2016 et SAP Crystal Reports pour Enterprise.

1. Le client Web envoie une demande de planification dans une URL au serveur d'applications Web, via le serveur
Web.
2. Le serveur d'applications Web interprète la requête URL et détermine qu'il s'agit d'une requête de
planification. Le serveur d'applications Web envoie l'heure de planification, les valeurs de connexion à la base
de données, les valeurs des paramètres, la destination et le format au CMS (Central Management Server)
spécifié.
3. Le CMS vérifie si l'utilisateur dispose des droits appropriés pour planifier l'objet. Si tel est le cas, le CMS ajoute
un nouvel enregistrement à la base de données système du CMS. Le CMS ajoute également l'instance à sa
liste de planifications en attente.
4. Le CMS envoie une réponse au serveur d'applications Web pour l'aviser que l'opération de planification a
réussi.
5. Le serveur d'applications Web génère la page HTML suivante et l'envoie au client Web via le serveur Web.

Business Intelligence Platform Administrator Guide

90 PUBLIC Architecture
3.4.3.5 Un rapport SAP Crystal Reports 2016 s'exécute

Ce workflow décrit le processus d'un rapport SAP Crystal Reports 2016 planifié exécuté à une heure planifiée.

1. Le CMS (Central Management Server) vérifie la base de données système du CMS pour déterminer si une
planification de rapport SAP Crystal doit être exécutée à ce moment.
2. A l'heure du travail planifié, le CMS recherche un service de planification Crystal Reports 2016 disponible
s'exécutant sur un Adaptive Job Server (en fonction de la valeur Nombre maximal de travaux autorisés
configurée sur chaque Adaptive Job Server). Le CMS envoie les informations sur le travail (ID rapport, format,
destination, informations de connexion, paramètres et formules de sélection) au service de planification
Crystal Reports 2016.
3. Le service de planification Crystal Reports 2016 communique avec l'Input File Repository Server (FRS) pour
obtenir un exemple de rapport conforme à l'ID du rapport demandé.

Remarque
Cette étape requiert également la communication avec le CMS pour rechercher le serveur et les objets
requis.

4. Le service de planification Crystal Reports 2016 lance le processus JobChildserver.

5. Le processus enfant (JobChildserver) lance ProcReport.dll lorsqu'il reçoit le modèle de l'Input File
Repository Server. ProcReport.dll contient tous les paramètres que le CMS a transmis au service de
planification Crystal Reports 2016.
6. ProcReport.dll démarre crpe32.dll, qui traite le rapport d'après les paramètres transmis.
7. Pendant que crpe32.dll continue à traiter le rapport, des enregistrements sont récupérés dans la source
de données selon les définitions du rapport.
8. Le service de planification Crystal Reports 2016 met périodiquement à jour le statut des travaux sur le CMS.
Le statut actuel est Traitement en cours.
9. Une fois que le rapport est compilé dans la mémoire du service de planification Crystal Reports 2016, il peut
être exporté dans un autre format, par exemple PDF (Portable Document Format). crxfpdf.dll est utilisé
lors de l'exportation en PDF.
10. Le rapport contenant les données enregistrées est envoyé à l'emplacement planifié (courrier électronique par
exemple), puis à l'Output FRS.

Remarque
Cette étape nécessite également une communication avec le CMS pour localiser le serveur et les objets
requis.

11. Le service de planification Crystal Reports 2016 met à jour le statut du travail sur le CMS. Le statut actuel est
Réussite.
12. Le CMS met à jour le statut des travaux dans sa mémoire, puis il écrit les informations sur l'instance dans la
base de données système du CMS.

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 91
3.4.4 Web Intelligence

3.4.4.1 Visualisation d'un document SAP BusinessObjects

Web Intelligence sur demande

Ce workflow décrit le processus d'un utilisateur visualisant une page de document SAP BusinessObjects Web
Intelligence à la demande pour voir les dernières données, par exemple depuis le visualiseur Web Intelligence de la
zone de lancement BI.

1. Un navigateur Web envoie la demande de visualisation au serveur d'applications Web, via le serveur Web.
2. Le serveur d'applications Web interprète la demande et détermine qu'il s'agit d'une demande de visualisation
d'un document Web Intelligence. Le serveur d'applications Web envoie une demande au CMS (Central
Management Server) pour vérifier que l'utilisateur a les droits appropriés pour visualiser le document.
3. Le CMS contrôle la base de données système du CMS pour vérifier que l'utilisateur dispose des droits
suffisants pour visualiser le document.
4. Le CMS envoie une réponse au serveur d'applications Web pour confirmer que l'utilisateur a les droits
suffisants pour visualiser le document.
5. Le serveur d'applications Web envoie une requête au Web Intelligence Processing Server pour obtenir le
document.
6. Le Web Intelligence Processing Server demande à l'Input File Repository Server le document, ainsi que le
fichier d'univers sur lequel le document demandé est basé. Le fichier d'univers contient des informations sur
la métacouche, notamment les droits au niveau des lignes et des colonnes.
7. L'Input File Repository Server transmet au serveur de traitement de Web Intelligence une copie du document,
ainsi que le fichier d'univers sur lequel le document demandé est basé.

Remarque
Cette étape nécessite également une communication avec le CMS pour localiser le serveur et les objets
requis.

8. Le moteur de rapport Web Intelligence (sur le serveur de traitement Web Intelligence) ouvre le document en
mémoire et lance QT.dll ainsi qu'un serveur de connexion en cours de traitement.
9. QT.dll génère, valide et régénère le code SQL, puis se connecte à la base de données pour exécuter la
requête. Le serveur de connexion utilise le code SQL pour extraire les données de la base de données et les
envoyer au moteur de rapport, où a lieu le traitement du document.
10. Le Web Intelligence Processing Server envoie la page de document à visualiser demandée au serveur
d'applications Web.
11. Le serveur d'applications Web envoie via le serveur Web la page de document au client Web, où elle s'affiche.

3.4.4.2 Définition de la planification d'un document SAP

BusinessObjects Web Intelligence

Ce workflow décrit le processus d'un utilisateur planifiant l'exécution d'un document SAP BusinessObjects Web
Intelligence à une heure future à partir d'une application Web comme la CMC (Central Management Console) ou
la zone de lancement BI.

Business Intelligence Platform Administrator Guide

92 PUBLIC Architecture
 1. Le client Web envoie une demande de planification dans une URL au serveur d'applications Web, via le serveur
Web.
2. Le serveur d'applications Web interprète la requête URL et détermine qu'il s'agit d'une requête de
planification. Le serveur d'applications Web envoie l'heure de planification, les valeurs de connexion à la base
de données, les valeurs des paramètres, la destination et le format au CMS (Central Management Server)
spécifié.
3. Le CMS vérifie si l'utilisateur dispose des droits appropriés pour planifier l'objet. Si tel est le cas, le CMS ajoute
un nouvel enregistrement à la base de données système du CMS. Le CMS ajoute également l'instance à sa
liste de planifications en attente.
4. Le CMS envoie une réponse au serveur d'applications Web pour l'aviser que l'opération de planification a
réussi.
5. Le serveur d'applications Web génère la page HTML suivante et l'envoie au client Web via le serveur Web.

3.4.4.3 Un document SAP BusinessObjects Web Intelligence

planifié s'exécute

Ce workflow décrit le processus d'un document SAP BusinessObjects Web Intelligence planifié exécuté à une
heure planifiée.

1. Le CMS (Central Management Server) contrôle la base de données système du CMS pour déterminer si
l'exécution d'un document Web Intelligence est planifiée.
2. A l'heure planifiée, le CMS recherche un service de planification Web Intelligence s'exécutant sur un
Adaptative Job Server. Le CMS envoie la demande de planification et toutes les informations la concernant au
service de planification Web Intelligence.
3. Le service de planification Web Intelligence recherche un serveur de traitement Web Intelligence disponible
d'après la valeur Nombre maximal de connexions configurée sur chaque serveur de traitement Web
Intelligence
4. Le serveur de traitement Web Intelligence détermine l'emplacement de l'Input File Repository Server (FRS)
qui héberge le document et le fichier métacouche d'univers sur lequel ce document est basé. Le serveur de
traitement Web Intelligence demande ensuite le document à l'Input File Repository Server. L'Input File
Repository Server recherche le document Web Intelligence ainsi que le fichier d'univers sur lequel ce
document est basé, et les transmet au serveur de traitement Web Intelligence.

Remarque
Cette étape nécessite également une communication avec le CMS pour localiser le serveur et les objets
requis.

5. Le document Web Intelligence est stocké dans un répertoire temporaire sur le Web Intelligence Processing
Server. Le serveur de traitement Web Intelligence ouvre le document dans la mémoire et QT.dll génère le
SQL depuis l'univers sur lequel est basé le document. Les bibliothèques du serveur de connexion incluses
dans le serveur de traitement Web Intelligence se connectent à la source de données. Les données de la
requête retournent via QT.dll au moteur de rapport du serveur de traitement Web Intelligence, où le
document est traité. Une nouvelle instance réussie est créée.
6. Le serveur de traitement Web Intelligence charge l'instance du document sur l'Output File Repository Server.

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 93
 Remarque
Cette étape nécessite également une communication avec le CMS pour localiser le serveur et les objets
requis.

7. Le serveur de traitement Web Intelligence notifie au service de planification Web Intelligence (sur l'Adaptive
Job Server) que la création du document est terminée. Si le document est planifié pour une destination
spécifique (système de fichiers, FTP, SFTP, SMTP ou boîte de réception), l'Adaptive Job Server extrait le
document traité de l'Output File Repository Server et l'envoie à chaque destination spécifiée. Cela n'est pas le
cas dans cet exemple.
8. Le service de planification Web Intelligence met à jour le statut du travail sur le CMS.
9. Le CMS met à jour le statut des travaux dans sa mémoire, puis il écrit les informations sur l'instance dans la
base de données système du CMS.

3.4.5 Analysis

3.4.5.1 Visualisation d'un espace de travail SAP

BusinessObjects Analysis, édition pour OLAP
Ce workflow décrit le processus d'un utilisateur demandant à visualiser depuis la zone de lancement BI un espace
de travail SAP BusinessObjects Analysis, édition pour OLAP.

Remarque
Ce workflow requiert que le CMS, le serveur de traitement adaptatif (contenant MDAS (Multi-Dimensional
Analysis Service)) et l'Input File Repository Server soient en cours d'exécution.

1. Le client Web envoie une requête de visualisation d'un nouvel espace de travail au serveur d'applications Web,
via le serveur Web. Le client Web communique avec le serveur d'applications Web en utilisant la technologie
DHTML AJAX (Asynchronous JavaScript and XML). La technologie AJAX permet la mise à jour partielle d'une
page, ce qui évite l'affichage d'une nouvelle page à chaque nouvelle requête.
2. Le serveur d'applications Web traduit la requête et l'envoie ensuite au CMS (Central Management Server)
pour déterminer si un utilisateur a les droits requis pour visualiser ou créer un espace de travail.
3. Le CMS extrait les références de connexion de l'utilisateur de la base de données système du CMS.
4. Si l'utilisateur est autorisé à visualiser ou créer un espace de travail, le CMS le confirme au serveur
d'applications Web. En même temps, il envoie aussi une liste de tous les MDAS (Multi-Dimensional Analysis
Services) disponibles.
5. Le serveur d'applications Web choisit un MDAS dans la liste des services disponibles, puis envoie à ce service
une requête CORBA pour trouver le(s) serveur(s) OLAP approprié(s) pour créer un espace de travail ou
actualiser un espace de travail existant.
6. Le MDAS doit communiquer avec l'Input File Repository Server (FRS) pour extraire le document de l'espace
de travail approprié qui contient les informations relatives à la base de données OLAP sous-jacente, ainsi
qu'une requête OLAP initiale ayant été enregistrée avec lui. L'Input File Repository Server extrait l'espace de
travail Analysis approprié du répertoire sous-jacent et le transmet au MDAS.
7. Le MDAS ouvre l'espace de travail, formule une requête et envoie cette requête au serveur de base de
données OLAP. Le MDAS doit utiliser un client de base de données OLAP approprié et configuré pour la

Business Intelligence Platform Administrator Guide

94 PUBLIC Architecture
 source de données OLAP. La requête du client Web doit être traduite en requête OLAP appropriée. Le serveur
de base de données OLAP renvoie le résultat de la requête au MDAS.
8. Le MDAS, en fonction du type de la requête (requête de création, de visualisation, d'impression ou
d'exportation), affiche un aperçu du résultat afin de permettre au serveur Java WAS de terminer l'affichage
plus rapidement. Le MDAS renvoie les packages XML du résultat affiché au serveur d'applications Web.
9. Le serveur d'applications Web affiche l'espace de travail et envoie la page mise en forme ou une partie de
celle-ci au client Web, via le serveur Web. Le client Web affiche la page mise à jour ou la nouvelle page
demandée. Cette solution sans client ne nécessite aucun téléchargement de composants Java ou ActiveX.

3.5 Intégration à la barre de lancement SAP Fiori sur le SAP

Enterprise Portal

Présentation

L'intégration de SAP BusinessObjects BI aux plateformes de la barre de lancement SAP Fiori permet aux
utilisateurs finaux du SAP Enterprise Portal d'afficher les rapports de BI sur le CMS SAP BusinessObjects. Sur
l'onglet Menu utilisateur, les utilisateurs finaux ont accès aux rapports de BI, dont la hiérarchie de dossiers
correspond à celle du CMS SAP BusinessObjects.

Conditions préalables

● Business Intelligence 4.2 SP4

● Web Dispatcher 7.49 pour la connectivité
● NetWeaver 7.5 SP7
● Authentification Active Directory et configuration de connexion unique basée sur Kerberos, comme indiqué
dans la note SAP 1631734

Procédure

L'administrateur de contenu de la barre de lancement SAP Fiori et l'administrateur du SAP Enterprise Portal
peuvent intégrer SAP BusinessObjects Enterprise à la barre de lancement SAP Fiori.

Pour obtenir les informations de configuration complète, voir Intégration de SAP BusinessObjects Enterprise dans
la documentation du portail SAP NetWeaver 7.5.

Business Intelligence Platform Administrator Guide

Architecture PUBLIC 95
4 System Configuration Wizard

4.1 Introduction à l'Assistant de configuration du système

Après avoir installé la plateforme SAP BusinessObjects Business Intelligence, il est probable que vous souhaitiez
effectuer la configuration essentielle post-installation , comme choisir le modèle de déploiement ou sélectionner
les produits SAP BusinessObjects utilisés par votre entreprise. Pour réaliser cette configuration et faire
fonctionner la plateforme de BI le plus rapidement possible, exécutez l'Assistant de configuration du système.

Avantages importants de l'assistant :

● L'assistant vous explique et vous guide dans les étapes de configurations que vous devez effectuer.
● L'utilisation de l'assistant réduit la probabilité d'une mauvaise configuration du système.
● L'Assistant configure les paramètres à votre place, ce qui accélère la configuration du système.

Par défaut, l'assistant est configuré pour s'exécuter automatiquement lorsque vous vous connectez à la Central
Management Console (CMC), mais vous pouvez également lancer l'assistant dans la zone Gérer de la CMC. Vous
pouvez réexécuter l'assistant à tout moment pour ajuster votre configuration, et vous pouvez utiliser la page de
gestion Serveurs dans la CMC pour ajuster tous les paramètres, y compris ceux effectués à l'aide de l'assistant.

Remarque
Pour plus de sécurité, seuls les membres du groupe Administrateurs peuvent accéder à l'assistant.

Remarque
Pour empêcher l'exécution automatique de l'Assistant, l'utilisateur « Administrateur » peut cocher la case Ne
plus afficher cet assistant lorsque la CMC est démarrée sur la première page de l'Assistant.

Remarque
Si vous prévoyez d'installer des modules complémentaires ou d'ajouter des nœuds au déploiement de votre
plateforme de BI, il est conseillé de suivre cette procédure avant d'exécuter l'Assistant de configuration du
système.

4.2 Indication des produits utilisés

Vous pouvez simplifier la configuration des serveurs de la plateforme de BI en indiquant les produits utilisés par
votre entreprise. Vous pouvez également optimiser la distribution des ressources en interrompant les serveurs
pour les produits non utilisés par votre entreprise. Pour ce faire, sélectionnez les produits sur la page Produits.
Lorsque vous indiquez les produits utilisés par votre entreprise, l'assistant lance tous les serveurs et les
dépendances requis pour que ces produits s'exécutent, et configure ces serveurs et dépendances pour qu'ils

Business Intelligence Platform Administrator Guide

96 PUBLIC System Configuration Wizard
démarrent automatiquement lorsque la plateforme de BI démarre. De plus, en décochant les produits non utilisés,
vous pouvez améliorer la durée de démarrage et l'utilisation des ressources de la plateforme de BI.

Par exemple, si vous sélectionnez le produit Crystal Reports, la plateforme de BI démarre automatiquement tous
les serveurs Crystal Reports et les dépendances appropriées.

Pour afficher une liste des serveurs automatiquement lancés pour un produit, cliquez sur l'icône ? à côté du nom
du produit.

L'assistant configure les serveurs de produit de la manière suivante :

● La sélection d'un produit déclenche le démarrage de tous les serveurs qui relèvent de ce produit, ainsi que
tous les autres serveurs requis pour que ce produit fonctionne (dépendances), dès la fin de l'assistant. La
sélection d'un produit configure également le démarrage automatique avec la plateforme de BI des serveurs
du produit. Si un serveur héberge des services de plusieurs produits, le serveur est lancé si l'un de ces
produits est sélectionné. Notez que certains services des produits qui ne sont pas sélectionnés peuvent
s'exécuter s'ils sont hébergés par un serveur qui héberge également des services de produits sélectionnés.
● Le fait de désélectionner un produit déclenche l'arrêt des serveurs utilisés par ce produit, à condition que ces
serveurs n'hébergent pas en plus des services d'un produit toujours sélectionné, ou des services appartenant
à la catégorie Services principaux. Les serveurs de produits arrêtés sont configurés pour ne pas démarrer
automatiquement avec la plateforme de BI. Si un serveur héberge des services de produits sélectionnés et
non sélectionnés, le serveur continue à s'exécuter.
● Le fait de désélectionner un produit peut également provoquer l'arrêt des serveurs qui n'appartiennent pas au
produit désélectionné, s'ils contiennent des services dépendants utilisés uniquement par le produit
désélectionné. Cet arrêt libère des ressources puisque ces serveurs dépendants ne sont plus nécessaires.
● Lorsqu'un produit est sélectionné ou désélectionné, tous les serveurs qui hébergent les services appartenant
à la catégorie Services principaux sur la plateforme de BI (sauf les services hébergés par WACS) sont
automatiquement lancés. Le WACS reste dans son état actuel.
● Le fait de désélectionner des produits ne désinstalle ni ne supprime les fichiers de ces produits.

Lorsque vous ouvrez la page Produits, les états des produits représentent l'état actuel du système.

Si tous les serveurs pour un produit sont en cours d'exécution, alors la case pour ce produit est cochée. Si tous les
serveurs pour un produit sont arrêtés, alors la case est décochée. Si seulement certains serveurs pour un produit
sont en cours d'exécution, et que d'autres serveurs se trouvent dans d'autres états, par exemple arrêtés, alors la
page Produits affiche la case à cocher Conserver la configuration existante pour indiquer que le système a été
configuré en dehors de l'assistant. Vous pouvez décocher la case si vous souhaitez utiliser l'assistant pour
modifier votre configuration.

Remarque
La page Produits affiche tous les produits installés sur le cluster. Par exemple, si les produits P1 et P2 sont
installés sur la machine A, et que les produits P2 et P3 sont installés sur la machine B, alors la page Produits
affiche les produits P1, P2 et P3. Les produits qui ne sont pas installés n'apparaissent pas sur la page Produits.

Remarque
Pour simplifier le déploiement, la configuration de cette page n'a pas besoin d'être répétée pour chaque nœud ;
elle s'applique à l'ensemble du cluster.

Business Intelligence Platform Administrator Guide

System Configuration Wizard PUBLIC 97
 Remarque
Si un paramètre a été précédemment modifié dans la CMC, l'assistant affiche un message indiquant que les
paramètres ont été modifiés en dehors de l'assistant. Vous pouvez choisir de conserver la configuration
existante ou de remplacer les paramètres actuels.

Remarque
Les modifications que vous apportez dans l'assistant s'appliquent dès lors que vous cliquez sur Appliquer sur la
page Réviser.

Lorsque vous avez fini d'apporter des modifications, cliquez sur Suivant pour accéder à la page suivante de
l'assistant. Vous pouvez également utiliser le panneau de navigation à gauche pour passer directement aux pages
que vous avez déjà consultées.

4.3 Sélection d'un modèle de déploiement

L'installation par défaut de la plateforme de BI configure un petit déploiement adapté à un environnement de
démonstration sur un matériel système limité. Pour mieux correspondre à votre matériel et vos cas d'utilisation
(par exemple, préparation d'un système de test ou un système de production), sélectionnez l'un des modèles de
déploiement prédéfinis dans la page Capacité. Le but de ces modèles est de vous aider à faire fonctionner
rapidement votre système de plateforme de BI et diminuer votre durée de déploiement initiale.

Bien que la sélection d'un modèle de déploiement approprié vous aide dans la configuration initiale et offre un bon
point de départ, elle ne remplace pas le dimensionnement et à l'ajustement du système qui doivent quand même
être effectués. Pour obtenir les meilleures performances, vous devez dimensionner le système en faisant
référence à un guide de dimensionnement : http://www.sap.com/bisizing .

La sélection d'un modèle de déploiement approprié est importante pour plusieurs raisons :

● La capacité de gestion des requêtes de votre système dépend du modèle de déploiement que vous
sélectionnez. Un grand déploiement offre une plus grande capacité pour gérer plus de requêtes, ou des
requêtes plus complexes. Cependant, un grand déploiement nécessite plus de ressources système.
● La sélection d'un grand déploiement ne garantit pas de meilleures performances, notamment si vous ne
disposez pas d'assez de ressources matérielles disponibles.
● Le modèle de déploiement que vous sélectionnez doit correspondre aux besoins de votre entreprise et à vos
ressources matérielles. Il est possible que les capacités et performances du système soient réduites si vous
sélectionnez un modèle de déploiement trop petit pour vos besoins d'entreprise, ou trop grand pour les
ressources matérielles disponibles.
● Les grands modèles de déploiement fournissent un meilleur cloisonnement : les erreurs d'un produit sont
moins susceptibles de toucher les autres produits. Sélectionnez un modèle qui équilibre les performances et
l'utilisation des ressources (RAM). Par exemple, si une grande quantité de mémoire RAM est disponible,
sélectionnez le plus grand modèle de déploiement autorisé par votre mémoire RAM ; cela vous permet
d'obtenir un meilleur cloisonnement du système.

Vous pouvez utiliser le curseur pour sélectionner un modèle de déploiement, ou sélectionner une quantité de
mémoire RAM dans la liste déroulante. Lorsque vous modifiez le paramètre, notez que l'indicateur Nombre de
serveurs de traitement adaptatif change pour vous montrer la manière dont le système sera configuré si vous
sélectionnez ce paramètre.

Business Intelligence Platform Administrator Guide

98 PUBLIC System Configuration Wizard
 Remarque
Le modèle de déploiement que vous sélectionnez affecte également les serveurs de traitement adaptatif (APS).
Les autres serveurs, comme le CMS ou Adaptive Job Server, ne sont pas affectés.

Remarque
La Mémoire RAM requise correspond à la quantité minimale de mémoire RAM requise pour les serveurs de la
plateforme de BI. Par exemple, sur une machine qui dispose de 16 Go de mémoire RAM, dont 1 Go est utilisé
par le système d'exploitation, un autre par le serveur de base de données et 10 Go par les serveurs de la
plateforme de BI, la mémoire RAM requise est égale à 10 Go, et non pas 12 ou 16. Le nombre indiqué dans
Mémoire RAM requise représente uniquement une valeur générale ; votre système peut avoir besoin de plus de
mémoire RAM lors d'un chargement important. Pour des performances système optimales, vous devez
toujours effectuer un dimensionnement du système.

Remarque
Lorsque vous ouvrez la page Capacité, le modèle de déploiement affiché représente l'état du système actuel, si
l'état du système actuel correspond à l'un des modèles de déploiement prédéfinis. Par exemple, si vous avez
créé manuellement un serveur de traitement adaptatif supplémentaire à l'aide de la CMC, l'état actuel de votre
système ne correspond pas aux modèles de déploiement. Par conséquent, la page Capacité affiche la case à
cocher Conserver la configuration existante pour indiquer que le système a été configuré sans l'assistant. Dans
un déploiement à plusieurs nœuds, la case à cocherConserver la configuration existante est également affichée
si le nombre d'APS d'un nœud ne correspond pas à un modèle de déploiement, ou que le nombre d'APS est
différent sur plusieurs nœuds. Vous pouvez décocher la case si vous souhaitez utiliser l'assistant pour modifier
votre configuration.

Remarque
Pour simplifier le déploiement, la configuration de l'APS que vous sélectionnez s'applique à chaque nœud (à
condition que ces nœuds comportent un APS installé) ; plus vous avez de nœuds, plus votre cluster aura des
capacités.

Remarque
Les modules complémentaires (par exemple, SAP BusinessObjects Data Services ou AADS (Service de
conception d'application d'analyse)) ne sont pas gérés par l'assistant. Les services créés par les modules
complémentaires ne seront pas déplacés vers des APS différents par l'assistant.

Exemples :

● Si l'AADS est hébergé par un APS qui héberge d'autres services à partir de l'installation principale de la
plateforme de BI, puis si vous exécutez l'assistant et que vous remplacez la taille du modèle de
déploiement XS par M, l'assistant crée sept nouveaux APS, puis y déplace tous les services, à l'exception
du service AADS qui demeure dans l'APS initial.
● Les modules complémentaires SAP BusinessObjects Data Services créent un APS dédié. L'assistant
n'altère pas cet APS dédié et ne le prend pas en compte lorsqu'il indique le nombre d'APS dans le système.

Business Intelligence Platform Administrator Guide

System Configuration Wizard PUBLIC 99
Fichier DeploymentTemplates.pdf

Pour une description détaillée des paramétrages réalisés par l'assistant pour chaque modèle de déploiement
disponible, cliquez sur le lien Modèle de déploiement dans la page Capacité pour ouvrir le fichier
DeploymentTemplates.pdf.

Le fichier DeploymentTemplates.pdf décrit en détail les modèles de déploiement. Notez que les modèles
n'indiquent pas le nombre d'utilisateurs qui peuvent être pris en charge, car cela dépend du chargement. Vous
devez réaliser un dimensionnement du système pour déterminer le nombre d'utilisateurs que vous devez prendre
en charge; et par conséquent la quantité de mémoire RAM requise, les besoins en unités centrales, etc.

4.4 Indication des emplacements des dossiers de données

Utilisez la page Dossiers pour indiquer l'emplacement où vous souhaitez que la plateforme de BI enregistre ses
fichiers journaux et de données. Vous pouvez indiquer des emplacements de dossier, ou accepter les
emplacements actuels.

Si votre déploiement de la plateforme de BI comporte plusieurs nœuds, vous disposez de deux options pour
définir les emplacements de dossier :

● Si vous souhaitez configurer les mêmes emplacements de dossier pour tous les nœuds, sélectionnez l'option
Tous les nœuds ont les mêmes emplacements de dossier.
● Si les serveurs de votre cluster ne sont pas configurés de la même façon, les chemins d'installation ou les
structures des répertoires de fichiers peuvent être différents. Vous pouvez sélectionner l'option Les nœuds
ont des emplacements de dossier différents pour configurer des emplacements de dossier spécifiques pour
chaque nœud.

Lorsque l'assistant ouvre la page Dossiers, il affiche les noms de dossier de la manière suivante :

● Si tous les nœuds ont des dossiers avec les mêmes valeurs (c'est-à-dire que les dossiers Journal sur tous les
serveurs du cluster sont identiques, ainsi que les dossiers Données, etc.), l'option Tous les nœuds ont les
mêmes emplacements de dossier est sélectionnée et les noms de dossier actuels sont affichés.
● Si tous les dossiers d'un type particulier (Journal, Données, Audit, Stockage du fichier d'entrée ou Stockage
du fichier de sortie) sont identiques dans chaque nœud, mais différents selon les nœuds, alors l'option Les
nœuds ont des emplacements de dossier différents est sélectionnée et les noms de dossier actuels sont
affichés.
● Si tous les dossiers d'un type particulier ne sont pas identiques dans chaque nœud et différents selon les
nœuds, alors l'option Les nœuds ont des emplacements de dossier différents est sélectionnée, mais les noms
de dossier sont vides.

Si vous modifiez les emplacements des dossiers, l'assistant configure le système afin qu'il utilise les nouveaux
dossiers. L'assistant ne copie ni ne déplace les contenus des dossiers d'origine vers les nouveaux dossiers, à
l'exception du dossier des données d'audit. Si les nouveaux dossiers ne contiennent pas le bon contenu, ou si vous
souhaitez migrer des données des dossiers d'origine, vous devez déplacer ou copier ces données vers les
nouveaux dossiers.

Pour les dossiers Stockage du fichier d'entrée, Stockage du fichier de sortie et Données, si l'emplacement du
nouveau dossier est vide, vous devez copier manuellement les fichiers à partir de l'ancien emplacement de
dossier, ou restaurer les fichiers à partir d'une sauvegarde. Pour le dossier Journal, copiez les fichiers de l'ancien

Business Intelligence Platform Administrator Guide

100 PUBLIC System Configuration Wizard
dossier uniquement si vous souhaitez que le nouveau dossier contienne les fichiers journaux de l'ancien
emplacement de dossier.

Conseil
Si vous prévoyez de copier ou de restaurer des fichiers dans les nouveaux dossiers, faites-le avant de relancer
les nœuds.

Exemple de scénarios :

● Si vous modifiez un emplacement de dossier et que le dossier d'origine contient des rapports, ces derniers ne
seront pas disponibles dans la plateforme de BI tant que vous ne les copiez pas dans le nouveau dossier et
que vous relanciez les nœuds.
● Si votre dossier d'origine contenait des rapports corrompus ou modifiés et que vous souhaitez revenir à une
sauvegarde saine, vous devez extraire les rapports de la sauvegarde et les placer dans le nouveau dossier, au
lieu de copier les contenus du dossier d'origine.
● Si vos fichiers de données se trouvaient à l'origine sur un disque ayant la lettre de lecteur X, et que vous
modifiez la lettre de lecteur par Y dans le système d'exploitation, vous n'avez pas besoin de copier ou de
déplacer les fichiers de données ; il vous suffit de modifier l'emplacement de dossier dans la plateforme de BI.

Si vous avez modifié manuellement certains emplacements de dossier de telle sorte que certains serveurs sur un
nœud utilisent un ensemble de dossiers tandis que d'autres serveurs sur le même nœud utilisent des dossiers
différents, la page Dossiers affiche la case à cocher Conserver la configuration existante pour indiquer que le
système a été configuré en dehors de l'assistant. Par exemple, il est possible que deux File Repository Servers du
même nœud soient configurés pour utiliser des chemins du dossier Journal différents. Vous pouvez décocher la
case si vous souhaitez utiliser l'assistant pour modifier la configuration actuelle.

Pour plus d'informations sur les types de fichiers stockés dans chaque dossier, cliquez sur les icônes ?.

Remarque
Si vous modifiez l'un des emplacements de dossier suivants, vous devrez relancer manuellement tous les
nœuds à la fin de l'assistant pour que les changements prennent effet :

● Stockage du fichier d'entrée

● Stockage du fichier de sortie
● Dossier de journaux
● Dossier de données

4.5 Révision des modifications

Une fois que vous avez sélectionné vos paramètres de configuration, ils s'affichent sur la page Réviser pour que
vous les révisiez avant que les modifications s'appliquent à votre système de la plateforme de BI. Pour chaque
catégorie de paramètres, vous pouvez cliquer sur Détails pour voir une description détaillée ou une liste de tous
les paramètres et de toutes les modifications qui vont s'appliquer.

Si vous souhaitez modifier un paramètre, vous pouvez accéder aux pages individuelles directement à partir du
menu de navigation dans la partie gauche de l'assistant.

Vos sélections sont enregistrées dans un fichier journal que vous pouvez télécharger à partir de la page Terminé.

Business Intelligence Platform Administrator Guide

System Configuration Wizard PUBLIC 101
Un fichier de réponse est également généré et enregistré. Le fichier de réponse vous aide à automatiser la
configuration du système. Vous pouvez cliquer sur le bouton Télécharger pour visualiser le fichier de réponse ou le
télécharger vers le disque local.

Lorsque vous cliquez sur Appliquer, vos paramètres de configuration s'appliquent à votre déploiement de la
plateforme de BI. Lorsque l'assistant se termine, une page Terminé s'affiche, indiquant les étapes suivantes que
vous devez effectuer manuellement.

Informations associées

Fichiers journaux et fichiers de réponse [page 102]

4.6 Fichiers journaux et fichiers de réponse

La page Terminé vous indique le statut des modifications, et vous permet de télécharger et d'afficher les fichiers
journaux et de réponse pour votre session.

Les fichiers journaux et de réponse sont automatiquement enregistrés dans le dossier Assistant de configuration
du système accessible à partir de la CMC. Les noms de fichier sont horodatés dans le format suivant :
année_mois_jour_heure_minute_seconde. Les fichiers journaux utilisent l'extension .log tandis que les
fichiers de réponse utilisent l'extension .ini.

Vous pouvez également cliquer sur le bouton Télécharger pour afficher les fichiers journaux et de réponse, ou les
télécharger vers un disque local.

Le fichier journal contient les éléments suivants :

● Un enregistrement de toutes les modifications apportées dans cette session de configuration.

● L'emplacement de l'enregistrement du fichier de réponse.
● Une liste décrivant les étapes suivantes à suivre.

Informations associées

Utilisation d'un fichier de réponse [page 102]

4.6.1 Utilisation d'un fichier de réponse

A chaque fois que l'assistant se termine, il enregistre un fichier de réponse qui contient vos sélections ou les
réponses à toutes vos questions sur les pages de l'assistant. Le fichier de réponse peut être utilisé pour configurer
les autres clusters lors du déploiement de la plateforme de BI sans devoir passer par l'assistant. Il peut également
être utilisé ultérieurement si vous souhaitez définir le système sur le même état de configuration. Le fichier de
réponse vous permet d'automatiser votre déploiement et d'éviter des erreurs d'opérateur.

Business Intelligence Platform Administrator Guide

102 PUBLIC System Configuration Wizard
Pour utiliser un fichier de réponse, vous devez exécuter un script qui utilise le fichier de réponse comme
paramètre. Premièrement, cherchez le fichier de réponse que vous souhaitez utiliser et enregistrez-le sur le
disque. Les fichiers de réponse sont automatiquement enregistrés dans le dossier Assistant de configuration du
système, auquel les administrateurs peuvent accéder depuis la CMC. Les noms de fichier sont horodatés dans le
format suivant :année_mois_jour_heure_minute_seconde et ont l'extension .ini. Depuis la CMC, vous
pouvez visualiser le fichier de réponse et l'enregistrer sur le disque, ou utiliser les commandes de menu
Organiser Envoyer Emplacement de dossier .

Vous pouvez également télécharger le fichier de réponse pour la session d'assistant en cours depuis la page
Réviser ou Terminé, et l'enregistrer sur le disque.

Si vous le souhaitez, vous pouvez modifier les paramètres du fichier de réponse avant de l'utiliser dans un éditeur
de texte. Observez les exemples de fichier de réponse ci-dessous pour plus de détails.

Exécution du script

Une fois que vous avez le fichier de réponse approprié, utilisez le fichier comme un paramètre de ligne de
commande pour les scripts qui exécutent l'assistant :

● Sous Windows, exécutez le fichier batch SCW.bat

● Sous Unix, exécutez le fichier script scw.sh.

Les fichiers batch et script se trouvent dans le même dossier que les scripts de gestion de serveur :

● Sous Windows : <installdir>\SAP BusinessObjects Enterprise XI 4.0\win64_x64\scripts.

● Sous Unix : <installdir>/sap_bobj/enterprise_xi40/linux_x64/scripts.

Les fichiers batch et script utilisent ces paramètres de ligne de commande :

● -help : affiche l'aide pour la ligne de commande.

● -r : indique le chemin et le nom du fichier de réponse.
● -cms : indique le Central Management Server (CMS) auquel vous souhaitez vous connecter. Si ce paramètre
est omis, le CMS sera par défaut la machine locale et le port par défaut (6400). Exemple : nom_machine:
6500
● -username : indique un compte qui octroie des droits administratifs à la plateforme de BI. Si ce paramètre
est omis, le compte Administrateur par défaut est utilisé.
● -password : indique le mot de passe pour le compte. Si aucun mot de passe n'est spécifié, un mot de passe
vide est utilisé. Pour utiliser le paramètre -password, vous devez également utiliser le paramètre -
username.

Exemples

Sous Windows :SCW.bat –r c:\dossier\nomfichier.ini –cms nomcms:6400 –username

"administrateur" –password exemplemotdepasse

Sous Unix :/scw.sh –r /accueil/dossier/nomfichier.ini –cms nomcms:6400 –username

"administrateur" –password exemplemotdepasse

Business Intelligence Platform Administrator Guide

System Configuration Wizard PUBLIC 103
Exemple de fichier de réponse

# ********************************************
# ***************** Products *****************
# ********************************************
# Keep the existing configuration for products.
# Valid values = true or false.
# "true": the existing product configuration will be preserved.
# "false": the product configuration will be modified according to the “Products.”
settings below.
Products.KeepExistingConfiguration = true
# The “Products.” settings below will be ignored if
Products.KeepExistingConfiguration = true.
# Auto-start the servers for these products.
# Valid values = true or false.
# "true": the product's servers and their dependencies are auto-started with BI
platform.
# "false": the product's servers are not auto-started with BI platform.
# Crystal Reports
Products.crystalreports = true
# Analysis edition for OLAP
Products.olap = true
# Web Intelligence
Products.webintelligence = false
# Dashboards (Xcelsius)
Products.dashboards = false
# Data Federator
Products.datafederator = true
# Lifecycle Manager
Products.LCM = true
# *******************************************************
# ***************** Deployment Template *****************
# *******************************************************
# Keep the existing configuration for the deployment template.
# Valid values = true or false.
# "true": the existing deployment template configuration will be preserved and the
Capacity.DeploymentTemplate setting below will be ignored.
# "false": the deployment template configuration will be modified according to the
Capacity.DeploymentTemplate setting below.
Capacity.KeepExistingConfiguration = true
# Specify the deployment template for all nodes.
# Valid values = xs, s, m, l, xl.
Capacity.DeploymentTemplate = xs
# *******************************************
# ***************** Folders *****************
# *******************************************
# Keep the existing configuration for folder locations.
# Valid values = true or false.
# "true": the existing folder configuration will be preserved.
# "false": the folder configuration will be modified according to the "Folders."
settings below.
Folders.KeepExistingConfiguration = true
# The “Folders.” settings below will be ignored if
Folders.KeepExistingConfiguration = true.
# ------ All nodes use the same folders ------
# Use this section when you have one node, or when all nodes have the same folder
locations. Otherwise, comment it out.
Folders.InputFileStore = <Path>
Folders.OutputFileStore = <Path>
Folders.Log = <Path>
Folders.Data = <Path>
Folders.Auditing = <Path>
# ------ Nodes use different folders ------
# Use this section when nodes have different folder locations. Otherwise, comment
it out.
# ------ NodeOne ------

Business Intelligence Platform Administrator Guide

104 PUBLIC System Configuration Wizard
 # Folders.NodeOne.InputFileStore = <Path>
# Folders.NodeOne.OutputFileStore = <Path>
# Folders.NodeOne.Log = <Path>
# Folders.NodeOne.Data = <Path>
# Folders.NodeOne.Auditing = <Path>
# ------ NodeTwo ------
# Folders.NodeTwo.InputFileStore = <Path>
# Folders.NodeTwo.OutputFileStore = <Path>
# Folders.NodeTwo.Log = <Path>
# Folders.NodeTwo.Data = <Path>
# Folders.NodeTwo.Auditing = <Path>

Tous les paramètres du fichier de réponse doivent être indiqués, et aucun paramètre ne doit être vide, à
l'exception des cas suivants :

● Si vous avez un déploiement à plusieurs nœuds, vous pouvez choisir d'omettre les paramètres de dossier
pour un ou plusieurs nœuds, ce qui laissera les dossiers de ces nœuds inchangés. Toutefois, pour les nœuds
que vous spécifiez dans le fichier de réponse, tous les emplacements de dossier doivent être spécifiés.
● Si le paramètreKeepExistingConfiguration est défini sur vrai, vous pouvez omettre les paramètres
restants pour cette page. Par exemple, si Products.KeepExistingConfiguration = true, vous pouvez
omettre les paramètres Products restants du fichier de réponse.

Dans certains cas, le fichier de réponse inclut des produits différents de ceux installés sur votre cluster cible. Dans
ces cas, les comportements suivants s'appliquent :

● Si le fichier de réponse ne contient pas de définition pour les produits qui sont installés sur le cluster cible,
l'opération échoue.
● Si le fichier de réponse contient des définitions pour des produits qui ne sont pas présents sur le cluster cible,
un message d'avertissement s'ajoute au fichier journal, et les produits restants sont correctement configurés.

Remarque
Après avoir utilisé un fichier de réponse pour configurer un cluster, vous devez effectuer manuellement les
étapes supplémentaires décrites dans la section « Etapes suivantes » du fichier journal.

Remarque
Pour plus de sécurité, seule la prise en charge de l'authentification Enterprise est requise (et non Windows AD,
LDAP ni SAP).

Remarque
Si vous préférez repousser le redémarrage de l'un des nœuds au prochain redémarrage prévu, exécutez le
script juste avant un temps d'arrêt planifié du système.

Business Intelligence Platform Administrator Guide

System Configuration Wizard PUBLIC 105
5 Managing Licenses

5.1 Gestion des clés de licence

Cette section explique comment gérer les clés de licence pour votre déploiement de la plateforme de BI.

Informations associées

Pour afficher les informations de licence [page 106]

Pour ajouter une clé de licence [page 106]
Pour visualiser l'activité du compte actuel [page 107]

5.1.1 Pour afficher les informations de licence

La zone de gestion Clés de licence de la CMC identifie le nombre de licences d'accès simultanés, d'utilisateurs
nommés et de processeurs associées à chaque clé.

1. Accédez à la zone de gestion Clés de licence de la CMC.

2. Sélectionnez une clé de licence.

Les détails associés à la clé figurent dans la zone Informations sur la clé de licence. Pour acquérir des clés de
licence supplémentaires, contactez votre représentant commercial SAP.

Informations associées

Pour ajouter une clé de licence [page 106]

Pour visualiser l'activité du compte actuel [page 107]

5.1.2 Pour ajouter une clé de licence

Si vous effectuez une mise à niveau à partir d'une version d'essai du produit, vérifiez que vous supprimez la clé
Evaluation avant de procéder à l'ajout de nouvelles clés de licence ou de codes clé d'activation de produit. Après
avoir ajouté les nouvelles clés de licence, vous devrez réactiver tous vos serveurs.

Business Intelligence Platform Administrator Guide

106 PUBLIC Managing Licenses
 Remarque
Si vous avez reçu de nouvelles clés de licence suite à une modification de la manière dont votre entreprise
implémente les licences de la plateforme de BI, vous devez supprimer toutes les clés de licence précédentes du
système pour rester en conformité.

Remarque
Lorsque vous mettez à jour vers la plateforme SAP BusinessObjects Business Intelligence 4.2 Support
Package 2 ou version ultérieure depuis les versions antérieures, les licences existantes se comportent comme
si elles avaient expiré. Vous devez générer et utiliser une nouvelle clé de licence pour la plateforme SAP
BusinessObjects Business Intelligence 4.2.

1. Accédez à la zone de gestion Clés de licence de la CMC.

2. Saisissez la clé dans le champ Ajouter une clé.
3. Cliquez sur Ajouter.

La clé est ajoutée à la liste.

Informations associées

Pour afficher les informations de licence [page 106]

Pour visualiser l'activité du compte actuel [page 107]

5.1.3 Pour visualiser l'activité du compte actuel

1. Accédez à la zone de gestion Paramètres de la CMC.

2. Cliquez sur Afficher les métriques système globales.

Cette section affiche l'utilisation de la licence actuelle ainsi que des performances supplémentaires.

Informations associées

Pour ajouter une clé de licence [page 106]

Pour afficher les informations de licence [page 106]

Business Intelligence Platform Administrator Guide

Managing Licenses PUBLIC 107
6 Managing Users and Groups

6.1 Présentation de la gestion des comptes

La gestion des comptes concerne toutes les tâches relatives à la création, au mappage, à la modification et à
l'organisation des informations concernant les utilisateurs et les groupes. La zone de gestion Utilisateurs et
groupes de la CMC (Central Management Console) fournit un emplacement central pour exécuter ces tâches.

Une fois les comptes d'utilisateur et les groupes créés, vous pouvez ajouter des objets et définir les droits
correspondants. Lorsque les utilisateurs se connectent, ils peuvent visualiser les objets à l'aide de la zone de
lancement BI ou de leur application Web personnalisée.

6.1.1 Gestion des utilisateurs

Dans la zone de gestion Utilisateurs et groupes, vous pouvez saisir toutes les informations requises pour accéder
à la plateforme de BI. Vous pouvez également visualiser les deux comptes d'utilisateur par défaut résumés dans le
tableau « Comptes d'utilisateur par défaut ».

Table 8 : Comptes d'utilisateur par défaut

Nom du compte Description

Administrateur Cet utilisateur appartient aux groupes Administrateurs et Tout

le monde. Un administrateur peut exécuter toutes les tâches
dans toutes les applications de la plateforme de BI (telles que
la CMC, le CCM, l'Assistant de publication et la Zone de
lancement BI).

Guest Cet utilisateur appartient au groupe Tout le monde. Ce

compte est activé par défaut et aucun mot de passe ne lui est
affecté par le système. Si vous lui en affectez un, la connexion
unique à la zone de lancement BI est rompue.

SMAdmin Il s'agit d'un compte en lecture seule utilisé par SAP Solution
Manager pour accéder aux composants de la plateforme de
BI.

Remarque
Les migrations d'objet sont mieux exécutées par des membres du groupe d'administrateurs, en particulier du
groupe d'utilisateurs Administrateur. Pour migrer un objet, il se peut qu'un grand nombre d'objets liés doivent
également être migrés. Dans le cas d'un compte administrateur délégué, il ne sera peut-être pas possible
d'obtenir les droits de sécurité requis pour l'ensemble des objets.

Business Intelligence Platform Administrator Guide

108 PUBLIC Managing Users and Groups
6.1.2 Gestion des groupes

Les groupes sont des rassemblements d'utilisateurs qui partagent les mêmes droits de compte. Vous pouvez par
conséquent créer des groupes par service, rôle ou emplacement. Les groupes vous permettent de modifier les
droits des utilisateurs dans un seul endroit (un groupe), au lieu de modifier individuellement les droits de chaque
compte d'utilisateur. Vous pouvez également affecter des droits d'accès aux objets à un ou plusieurs groupes.

Dans la zone Utilisateurs et groupes, vous pouvez créer des groupes donnant à plusieurs personnes le droit
d'accéder au rapport ou au dossier approprié. Cela vous permet ainsi de modifier un seul compte d'utilisateur au
lieu de la totalité. Vous pouvez également visualiser les divers comptes de groupe par défaut résumés dans le
tableau « Comptes de groupe par défaut ».

Pour visualiser les groupes disponibles dans la CMC, cliquez sur Liste des groupes dans le panneau Arborescence.
Vous pouvez également cliquer sur Hiérarchie de groupe pour afficher une liste hiérarchique de tous les groupes
disponibles.

Table 9 : Comptes de groupe par défaut

Nom du compte Description

Administrateurs Les membres de ce groupe peuvent effectuer toutes les tâ­

ches dans toutes les applications de la plateforme de BI
(CMC, CCM, Assistant de publication et Zone de lancement
BI). Par défaut, le groupe Administrateurs contient unique­
ment l'utilisateur Administrator.

Tout le monde Chaque utilisateur appartient au groupe Tout le monde.

Concepteur de groupe QaaWS Les membres de ce groupe ont accès à Query as a Web
Service.

Utilisateurs de l'outil de conversion de rapports Les membres de ce groupe ont accès à l'application Outil de
conversion de rapports.

Traducteurs Les membres de ce groupe ont accès à l'application Gestion­

naire de traduction.

Utilisateurs de Universe Designer Les utilisateurs qui appartiennent à ce groupe disposent des
droits d'accès aux dossiers Universe Designer et Connexions.
Ils peuvent contrôler les droits d'accès à l'application Desi­
gner. Vous devez ajouter des utilisateurs à ce groupe selon
vos besoins. Aucun utilisateur n'appartient à ce groupe par
défaut.

Informations associées

Fonctionnement des droits sur la plateforme de BI [page 132]

Octroi d'un droit d'accès à des utilisateurs et à des groupes [page 120]

Business Intelligence Platform Administrator Guide

Managing Users and Groups PUBLIC 109
6.1.3 Types d'authentification disponibles

Avant de configurer des comptes et des groupes d'utilisateurs sur la plateforme de BI, choisissez le type
d'authentification que vous souhaitez utiliser. Le tableau « Types d'authentification » résume les options
d'authentification qui peuvent être disponibles, en fonction des outils de sécurité utilisés par votre organisation.

Table 10 : Types d'authentification

Type d'authentification Description

Enterprise Utilisez l'authentification système par défaut Enterprise si

vous préférez créer des comptes et des groupes distincts à
utiliser sur la plateforme de BI ou si vous n'avez pas encore
défini de hiérarchie d'utilisateurs et de groupes sur un serveur
de répertoires LDAP ou un serveur Windows AD.

LDAP Si vous configurez un serveur de répertoires LDAP, vous pou­

vez utiliser les comptes d'utilisateur et les groupes LDAP exi­
stants sur la plateforme de BI. En mappant les comptes LDAP
à la plateforme de BI, les utilisateurs peuvent accéder aux ap­
plications de la plateforme de BI avec leur nom d'utilisateur et
leur mot de passe LDAP. Ainsi, il est inutile de recréer des
comptes d'utilisateur et des groupes individuels sur la plate­
forme de BI.

Windows AD Vous pouvez utiliser des comptes et des groupes d'utilisa­

teurs Windows AD existants sur la plateforme de BI. Le map­
page de comptes AD à la plateforme de BI permet aux utilisa­
teurs de se connecter aux applications de la plateforme de BI
au moyen de leur nom d'utilisateur et de leur mot de
passe AD. Ainsi, il est inutile de recréer des comptes d'utilisa­
teur et des groupes individuels sur la plateforme de BI.

SAP Vous pouvez mapper des rôles SAP existants dans les comp­
tes de la plateforme de BI. Le mappage de rôles SAP permet
aux utilisateurs de se connecter aux applications de la plate­
forme de BI avec leurs références SAP. Ainsi, il est inutile de
recréer des comptes d'utilisateur et des groupes individuels
sur la plateforme de BI.

Oracle EBS Vous pouvez mapper des rôles Oracle EBS existants dans les
comptes de la plateforme de BI. Le mappage de rôles Oracle
EBS permet aux utilisateurs de se connecter aux applications
de la plateforme de BI avec leurs références Oracle EBS. Ainsi,
il est inutile de recréer des comptes d'utilisateur et des grou­
pes individuels sur la plateforme de BI.

Siebel Vous pouvez mapper des rôles Siebel existants dans les
comptes de la plateforme de BI. Le mappage de rôles Siebel
permet aux utilisateurs de se connecter aux applications de la
plateforme de BI avec leurs références Siebel. Ainsi, il est inu­
tile de recréer des comptes d'utilisateur et des groupes indivi­
duels sur la plateforme de BI.

Business Intelligence Platform Administrator Guide

110 PUBLIC Managing Users and Groups
 Type d'authentification Description

PeopleSoft Enterprise Vous pouvez mapper des rôles PeopleSoft existants dans les
comptes de la plateforme de BI. Le mappage de rôles People­
Soft permet aux utilisateurs de se connecter aux applications
de la plateforme de BI avec leurs références PeopleSoft. Ainsi,
il est inutile de recréer des comptes d'utilisateur et des grou­
pes individuels sur la plateforme de BI.

JD Edwards EnterpriseOne Vous pouvez mapper des rôles JD Edwards existants dans les
comptes de la plateforme de BI. Le mappage de rôles JD Ed­
wards permet aux utilisateurs de se connecter aux applica­
tions de la plateforme de BI avec leurs références JD Edwards.
Ainsi, il est inutile de recréer des comptes d'utilisateur et des
groupes individuels sur la plateforme de BI.

6.2 Gestion des comptes Enterprise et des comptes

généraux

L'authentification Enterprise étant l'authentification par défaut pour la plateforme de BI, elle est automatiquement
activée lorsque vous installez le système pour la première fois. Lorsque vous ajoutez et gérez des utilisateurs et
des groupes, la plateforme de BI conserve des informations relatives à l'utilisateur et au groupe au sein de sa base
de données.

Remarque
Lorsqu'un utilisateur se déconnecte d'une session Web dans la plateforme de BI en naviguant vers une page
hors plateforme ou en fermant le navigateur Web, la session Enterprise n'est pas déconnectée et l'utilisateur
possède toujours une licence. La session Enterprise expirera au bout de 24 heures environ. Pour terminer la
session Enterprise de l'utilisateur et libérer la licence pour d'autres utilisateurs, l'utilisateur doit se déconnecter
de la plateforme.

6.2.1 Pour créer un compte d'utilisateur

Lorsque vous créez un nouvel utilisateur, spécifiez ses propriétés et sélectionnez le ou les groupes auxquels il doit
appartenir.

1. Accédez à la zone de gestion Utilisateurs et groupes de la CMC.

2. Cliquez sur Gérer Nouveau Nouvel utilisateur .

La boîte de dialogue Nouvel utilisateur s'affiche.
3. Pour créer un utilisateur Enteprise :
a. Dans la liste Type d'authentification, sélectionnez Enterprise.
b. Saisissez le nom de compte, le nom complet, l'adresse électronique et une description.

Business Intelligence Platform Administrator Guide

Managing Users and Groups PUBLIC 111
 Conseil
Utilisez la zone de description pour inclure des informations supplémentaires sur l'utilisateur ou le
compte.

c. Définissez les informations concernant le mot de passe et les paramètres

4. Pour créer un utilisateur qui se connectera à l'aide d'un autre type d'authentification, sélectionnez l'option
appropriée dans la liste Type d'authentification et entrez le nom du compte.
5. Effectuez l'une des actions suivantes pour désigner le compte utilisateur (en fonction de votre contrat de
licence de la plateforme de BI) :

○ Sélectionnez l'option Utilisateur simultané si cet utilisateur relève d'un contrat de licence qui indique le
nombre d'utilisateurs autorisés à se connecter en même temps.
○ Sélectionnez l'option Utilisateur nommé si cet utilisateur relève d'un contrat de licence qui associe un
utilisateur spécifique à une licence. Les licences Utilisateur nommé sont utiles pour les personnes qui
doivent accéder à la plateforme de BI, quel que soit le nombre d'utilisateurs connectés.

Remarque
Le nombre de sessions ouvertes simultanément est limité à 10 pour un utilisateur nommé créé à l'aide
d'une licence Utilisateur nommé. Si un tel utilisateur nommé essaie de se connecter à une 11ème
session simultanée, le système affiche un message d'erreur correspondant. Vous devez libérer une des
sessions existantes pour pouvoir vous connecter.

Cependant, le nombre de sessions ouvertes simultanément n'est pas limité pour un utilisateur créé à
l'aide d'une licence Processeur et d'une licence Document public.

6. Cliquez sur Créer et fermer.

L'utilisateur est ajouté au système, ainsi qu'au groupe Tout le monde automatiquement. Une boîte de
réception est automatiquement créée pour l'utilisateur, avec un alias Enterprise.

Vous pouvez maintenant ajouter l'utilisateur à un groupe ou spécifier les droits de cet utilisateur.

6.2.2 Pour modifier un compte d'utilisateur

Suivez cette procédure pour modifier les propriétés ou l'appartenance d'un utilisateur à un groupe.

Remarque
L'utilisateur sera affecté s'il est connecté lorsque vous apportez la modification.

1. Accédez à la zone de gestion Utilisateurs et groupes de la CMC.

2. Sélectionnez l'utilisateur dont vous souhaitez modifier les propriétés.

3. Cliquez sur Gérer Propriétés .

La boîte de dialogue Propriétés correspondant à cet utilisateur s'affiche.
4. Modifiez les propriétés de l'utilisateur.

Outre les options disponibles au moment de la création du compte, vous pouvez maintenant désactiver le
compte en cochant la case Le compte est désactivé.

Business Intelligence Platform Administrator Guide

112 PUBLIC Managing Users and Groups
 Remarque
Les modifications apportées au compte d'utilisateur n'apparaissent qu'à la prochaine connexion de
l'utilisateur.

5. Cliquez sur Enregistrer et fermer.

Informations associées

Pour créer un alias pour un utilisateur existant [page 129]

6.2.3 Pour supprimer un compte d'utilisateur

Suivez cette procédure pour supprimer un compte d'utilisateur. L'utilisateur peut recevoir un message d'erreur
s'il est connecté lors de la suppression de son compte. Lorsque vous supprimez un compte d'utilisateur, le dossier
Favoris, les catégories personnelles et la boîte de réception de cet utilisateur sont également supprimés.

Si vous pensez que l'utilisateur peut avoir besoin d'accéder à son compte ultérieurement, cochez la case Le
compte est désactivé dans la page Propriétés de l'utilisateur sélectionné, plutôt que de supprimer le compte.

Remarque
La suppression d'un compte utilisateur n'empêche pas nécessairement l'utilisateur de se reconnecter à la
plateforme de BI. Si le compte utilisateur existe également sur un système tiers et si le compte appartient à un
groupe tiers mappé à la plateforme de BI, il se peut que l'utilisateur puisse encore se connecter.

1. Accédez à la zone de gestion Utilisateurs et groupes de la CMC.

2. Sélectionnez l'utilisateur à supprimer.

3. Cliquez sur Gérer Supprimer .

La boîte de dialogue de confirmation de la suppression apparaît.

4. Cliquez sur OK.
Le compte d'utilisateur est supprimé.

Informations associées

Pour modifier un compte d'utilisateur [page 112]

Pour désactiver un alias [page 130]

Business Intelligence Platform Administrator Guide

Managing Users and Groups PUBLIC 113
6.2.4 Pour créer un groupe

1. Accédez à la zone de gestion Utilisateurs et groupes de la CMC.

2. Cliquez sur Gérer Nouveau Nouveau groupe .

La boîte de dialogue Créer un groupe d'utilisateurs s'affiche.
3. Saisissez le nom et la description du groupe.
4. Cliquez sur OK.

Après avoir créé un nouveau groupe, vous pouvez ajouter des utilisateurs, des sous-groupes ou spécifier une
appartenance à un groupe de sorte que le nouveau groupe soit réellement un sous-groupe. Etant donné qu'ils
apportent des niveaux d'organisation supplémentaires, les sous-groupes sont utiles lorsque vous définissez des
droits d'accès aux objets en vue de contrôler l'accès des utilisateurs au contenu de la plateforme de BI.

6.2.5 Pour modifier les propriétés d'un groupe

Vous pouvez modifier les propriétés d'un groupe en changeant des paramètres.

Remarque
Les utilisateurs appartenant à ce groupe seront affectés par la modification à leur prochaine connexion.

1. Dans la zone de gestion Utilisateurs et groupes de la CMC, sélectionnez le groupe.

2. Cliquez sur Gérer Propriétés .

La boîte de dialogue Propriétés s'affiche.
3. Modifiez les propriétés du groupe.
Cliquez sur les liens dans la liste de navigation pour accéder à différentes boîtes de dialogue et modifier les
propriétés correspondantes.

○ Si vous souhaitez modifier le titre ou la description du groupe, cliquez sur Propriétés.

○ Si vous souhaitez modifier les droits que les utilisateurs ou groupes principaux possèdent sur le groupe,
cliquez sur Sécurité de l'utilisateur.
○ Si vous souhaitez modifier les valeurs de profil des membres de groupes, cliquez sur Valeurs du profil.
○ Si vous souhaitez ajouter le groupe en tant que sous-groupe à un autre groupe, cliquez sur Membre de.
4. Cliquez sur Enregistrer.

6.2.6 Pour afficher les membres d'un groupe

Suivez cette procédure si vous voulez afficher les utilisateurs qui appartiennent à un groupe spécifique.

1. Accédez à la zone de gestion Utilisateurs et groupes de la CMC.

2. Développez Hiérarchie de groupe dans le panneau Arborescence.
3. Sélectionnez le groupe dans le panneau Arborescence.

Business Intelligence Platform Administrator Guide

114 PUBLIC Managing Users and Groups
 Remarque
L'affichage de la liste peut prendre quelques minutes si le groupe contient un grand nombre d'utilisateurs
ou s'il est mappé à un répertoire tiers.

La liste des utilisateurs appartenant au groupe s'affiche.

6.2.7 Pour ajouter des sous-groupes

Vous pouvez ajouter un groupe à un autre groupe. Dans ce cas, le groupe ajouté devient un sous-groupe.

Remarque
L'ajout d'un sous-groupe est similaire à la spécification d'une appartenance à un groupe.

1. Dans la zone de gestion Utilisateurs et groupes de la CMC, sélectionnez le groupe à ajouter en tant que sous-
groupe à un autre groupe.

2. Cliquez sur Actions Joindre au groupe .

La boîte de dialogue Joindre au groupe apparaît.
3. Déplacez le groupe auquel vous souhaitez ajouter le premier groupe de la liste Groupes disponibles vers la
liste Groupe(s) de destination.
4. Cliquez sur OK.

Informations associées

Pour définir l'appartenance à un groupe [page 115]

6.2.8 Pour définir l'appartenance à un groupe

Un groupe peut devenir membre d'un autre groupe. Le groupe qui devient membre est appelé sous-groupe. Le
groupe auquel vous ajoutez le sous-groupe est le groupe parent. Les sous-groupes héritent des droits du groupe
parent.

1. Dans la zone de gestion Utilisateurs et groupes de la CMC, cliquez sur le groupe à ajouter à un autre groupe.

2. Cliquez sur Actions Membre de .

La boîte de dialogue Membre de s'affiche.
3. Cliquez sur Joindre au groupe.
La boîte de dialogue Joindre au groupe apparaît.
4. Déplacez le groupe auquel vous souhaitez ajouter le premier groupe de la liste Groupes disponibles vers la
liste Groupe(s) de destination.

Tout droit associé au groupe parent sera hérité par le nouveau groupe que vous avez créé.

Business Intelligence Platform Administrator Guide

Managing Users and Groups PUBLIC 115
5. Cliquez sur OK.
Vous revenez à la boîte de dialogue Membre de et le groupe parent apparaît dans la liste des groupes parent.

6.2.9 Pour supprimer un groupe

Vous pouvez supprimer un groupe lorsque celui-ci ne vous est plus nécessaire. Vous ne pouvez pas supprimer les
groupes par défaut Administrateurs et Tout le monde.

Remarque
Les utilisateurs appartenant au groupe supprimé seront affectés par la modification à leur prochaine
connexion.

Remarque
Ils perdront tous les droits qu'ils ont hérités de ce groupe.

Pour supprimer un groupe d'authentification tiers, tel que le groupe Utilisateurs Windows AD, utilisez la zone de
gestion Authentification de la CMC.

1. Accédez à la zone de gestion Utilisateurs et groupes de la CMC.

2. Sélectionnez le groupe à supprimer.

3. Cliquez sur Gérer Supprimer .

La boîte de dialogue de confirmation de la suppression apparaît.
4. Cliquez sur OK.
Le groupe est supprimé.

6.2.10 Pour ajouter des utilisateurs ou groupes d'utilisateurs

en bloc

Vous pouvez utiliser un fichier CSV pour ajouter en bloc des utilisateurs ou des groupes d'utilisateurs à la CMC.
Dans un fichier CSV correctement mis en forme, les virgules séparent les données sur une ligne, comme le
montre l'exemple ci-dessous :

Add,MyGroup,MyUser1,MyFullName,Password1,[email protected],ProfileName,ProfileValue

Les conditions suivantes s'appliquent au processus d'addition en bloc :

● Toute ligne du fichier CSV contenant une erreur sera ignorée par le processus d'importation.
● Les comptes utilisateur sont initialement désactivés après avoir été importés.
● Vous pouvez utiliser des mots de passe vierges lors de la création d'utilisateurs. Toutefois, vous devez utiliser
un mot de passe d'authentification Enterprise valide pour toute mise à jour ultérieure vers des utilisateurs
existants.
● Lorsqu'une référence de BD est ajoutée à un compte, les références de base de données sont activées dans le
profil de l'utilisateur.

Business Intelligence Platform Administrator Guide

116 PUBLIC Managing Users and Groups
 Remarque
Seuls les utilisateurs appartenant au groupe Administrateurs par défaut peuvent ajouter des utilisateurs en
bloc. Cette fonctionnalité n'est pas prise en charge pour les administrateurs délégués.

1. Dans la zone de gestion Utilisateurs et groupes de la CMC, sélectionnez Gérer Importer Utilisateur/
Groupe/Référence de BD .
La boîte de dialogue Importer un(e) Utilisateur/Groupe/Référence de BD s'affiche.
2. Cliquez sur Parcourir, sélectionnez un fichier CSV et cliquez sur Vérifier.

Le fichier est traité. Si les données sont correctement mises en forme dans le fichier, le bouton Importer
devient actif. Si les données ne sont pas correctement mises en forme, des informations concernant l'erreur
apparaissent, et vous devez résoudre l'erreur avant que la CMC puisse vérifier le fichier à importer.
3. Cliquez sur Importer.

Les utilisateurs ou les groupes d'utilisateurs sont importés dans la CMC.

Pour vérifier les utilisateurs ou les groupes d'utilisateurs que vous avez ajoutés, sélectionnez Gérer Importer
Historique dans la zone de gestion Utilisateurs et groupes.

6.2.11 Pour activer le compte Guest

Le compte Guest est désactivé par défaut pour garantir que personne ne puisse se connecter à la plateforme de
BI à l'aide de ce compte. Ce paramètre par défaut désactive également la fonction de connexion unique anonyme
de la plateforme de BI, ce qui empêche les utilisateurs d'accéder à la zone de lancement BI sans fournir un nom
d'utilisateur et un mot de passe valides.

Effectuez cette tâche si vous voulez activer le compte Guest afin que les utilisateurs n'aient pas besoin de leur
propre compte pour accéder à la zone de lancement BI.

1. Accédez à la zone de gestion Utilisateurs et groupes de la CMC.

2. Cliquez sur Liste des utilisateurs dans le panneau de navigation.
3. Sélectionnez Guest.

4. Cliquez sur Gérer Propriétés .

La boîte de dialogue Propriétés s'affiche.
5. Désactivez la case Le compte est désactivé.
6. Cliquez sur Enregistrer & Fermer.

6.2.12 Ajout d'utilisateurs à des groupes

Les groupes d'utilisateurs permettent aux administrateurs d'effectuer des tâches sur la zone de lancement BI
pour des lots d'utilisateurs (par exemple, vous pouvez personnaliser les préférences ou la planification des
publications pour des groupes d'utilisateurs spécifiques).

Vous pouvez ajouter des utilisateurs à des groupes de la façon suivante :

Business Intelligence Platform Administrator Guide

Managing Users and Groups PUBLIC 117
● Sélectionnez le groupe, puis cliquez sur Actions Ajouter des membres au groupe .
● Sélectionnez l'utilisateur, puis cliquez sur Actions Membre de .
● Sélectionnez l'utilisateur, puis cliquez sur Actions Joindre au groupe .

Il est possible d'ajouter un utilisateur à plusieurs groupes. Toutefois, si un utilisateur appartient à deux ou
plusieurs groupes d'utilisateurs, la zone de lancement de BI affiche les préférences pour un seul groupe.

Informations associées

Pour définir l'appartenance à un groupe [page 115]

6.2.12.1 Ajout d'un utilisateur à un ou plusieurs groupes

d'utilisateurs

Il est possible d'ajouter un utilisateur à plusieurs groupes. La zone de lancement BI affichera cependant les
préférences pour un seul groupe.

1. Dans la zone de gestion Utilisateurs et groupes de la CMC, sélectionnez l'utilisateur à ajouter au groupe.

2. Cliquez sur Actions Joindre au groupe .

Remarque
Tous les utilisateurs de la plateforme de BI qui figurent dans le système appartiennent au groupe Tout le
monde.

3. Dans la boîte de dialogue Joindre au groupe, déplacez le groupe auquel ajouter l'utilisateur de la liste Groupes
disponibles à la liste Groupe(s) de destination.

Conseil
Utilisez la combinaison de touches MAJ + clic ou CTRL + clic pour sélectionner plusieurs groupes.

4. Cliquez sur OK.

6.2.12.2 Ajout d'un ou plusieurs utilisateurs à un groupe

d'utilisateurs

Il est possible d'ajouter plusieurs utilisateurs à un groupe d'utilisateurs.

Les préférences définies pour un groupe s'appliquent à tous les utilisateurs du groupe. La zone de lancement BI
affiiche les préférences pour un groupe d'utilisateurs à la fois.

Business Intelligence Platform Administrator Guide

118 PUBLIC Managing Users and Groups
 1. Dans la zone de gestion Utilisateurs et groupes de la CMC, sélectionnez le groupe d'utilisateurs.

2. Cliquez sur Actions Ajouter des membres au groupe .

3. Dans la boîte de dialogue Ajouter, cliquez sur Liste des utilisateurs.
La liste Utilisateurs/Groupes disponibles est actualisée et affiche tous les comptes utilisateur du système.
4. Déplacez un ou plusieurs utilisateurs du groupe de la liste Utilisateurs/Groupes disponibles vers la liste
Utilisateurs/Groupes sélectionnés.

Conseil
Utilisez la combinaison de touches MAJ + clic ou CTRL + clic pour sélectionner plusieurs utilisateurs.
Pour rechercher un utilisateur spécifique, entrez le nom d'utilisateur dans la zone de recherche.

Conseil
Si votre système contient de nombreux utilisateurs, cliquez sur les boutons Précédent et Suivant pour
parcourir la liste des utilisateurs.

5. Cliquez sur OK.

6.2.13 Modification des paramètres de mot de passe

Dans la CMC, vous pouvez modifier les paramètres de mot de passe d'un utilisateur donné ou de tous les
utilisateurs du système. Les différentes restrictions énumérées ci-dessous s'appliquent uniquement aux comptes
Enterprise ; elles ne s'appliquent pas aux comptes que vous avez mappés à une base de données d'utilisateurs
externe (LDAP ou Windows AD). Toutefois, et de manière générale, votre système externe vous permettra de
placer des restrictions similaires sur les comptes externes.

6.2.13.1 Pour modifier les paramètres de mot de passe

d'utilisateur

1. Accédez à la zone de gestion Utilisateurs et groupes de la CMC.

2. Sélectionnez l'utilisateur dont vous voulez modifier les paramètres de mot de passe.

3. Cliquez sur Gérer Propriétés .

La boîte de dialogue Propriétés s'affiche.
4. Cochez ou décochez la case associée au paramètre de mot de passe que vous voulez modifier.

Les options disponibles sont les suivantes :

○ Le mot de passe n'expire jamais

○ L'utilisateur doit modifier le mot de passe à la prochaine session
○ L'utilisateur ne peut pas modifier le mot de passe
5. Cliquez sur Enregistrer & Fermer.

Business Intelligence Platform Administrator Guide

Managing Users and Groups PUBLIC 119
6.2.13.2 Pour modifier les paramètres généraux de mot de
passe
1. Accédez à la zone de gestion Authentification de la CMC.
2. Cliquez deux fois sur Enterprise.
La boîte de dialogue Enterprise s'affiche.
3. Activez la case à cocher pour chaque paramètre de mot de passe à utiliser et renseignez-la si nécessaire.

Le tableau suivant identifie les valeurs minimales et maximales pour chacun des paramètres que vous pouvez
configurer.

Table 11 : Paramètres de mot de passe

Paramètre de mot de passe Valeur minimale Valeur maximale recommandée

Doit comprendre N caractères au 0 caractère 64 caractères

minimum

Doit changer de mot de passe tous les 1 jour 100 jours

N jours

Les N derniers mots de passe ne 1 mot de passe 100 mots de passe

peuvent être réutilisés

Le mot de passe peut être modifié 0 minutes 100 minutes

après N minute(s)

Désactiver le compte après N échecs 1 échec 100 échecs

de connexion

Réinitialiser le nombre d'échecs de 1 minute 100 minutes

connexion après N minute(s)

Réactiver le compte après N minute(s) 0 minutes 100 minutes

Remarque
Lorsque vous mettez à niveau la plateforme SAP BusinessObjects Business Intelligence d'une version
antérieure vers une version supérieure ou que vous essayez d'effectuer une installation étendue, vous
devez définir Désactiver le compte après N échecs de connexion sur la valeur par défaut.

4. Cliquez sur Mettre à jour.

Les comptes utilisateur inactifs ne seront pas désactivés automatiquement.

6.2.14 Octroi d'un droit d'accès à des utilisateurs et à des

groupes
Vous pouvez accorder à des utilisateurs et à des groupes un accès administratif à d'autres utilisateurs et groupes.
Les droits d'administration incluent : affichage, modification et suppression d'objets ; affichage et suppression

Business Intelligence Platform Administrator Guide

120 PUBLIC Managing Users and Groups
d'instances d'objet ; suspension d'instances d'objet. Par exemple, pour le dépannage et la maintenance du
système, vous pouvez accorder au département informatique un accès permettant de modifier et de supprimer
des objets.

Informations associées

Pour affecter des utilisateurs ou groupes principaux à une liste de contrôle d'accès d'un objet [page 142]

6.2.15 Contrôle de l'accès aux boîtes de réception des

utilisateurs

Lorsque vous ajoutez un utilisateur, le système crée automatiquement une boîte de réception pour cet utilisateur.
Cette boîte de réception porte le même nom que l'utilisateur. Par défaut, seuls l'utilisateur et l'administrateur
disposent des droits nécessaires pour y accéder.

Informations associées

Gestion des paramètres de sécurité des objets dans la CMC [page 141]

6.2.16 Configuration des options de la zone de lancement BI

Dans la CMC, les administrateurs peuvent configurer les préférences de la zone de lancement BI pour des
groupes d'utilisateurs. En configurant les propriétés dans le fichier BOE.war, vous pouvez spécifier quelles
informations s'affichent dans l'écran de connexion de la zone de lancement BI d'un utilisateur.

Remarque
Si un utilisateur appartient à deux ou plusieurs groupes d'utilisateurs, la zone de lancement de BI affiche les
préférences configurées pour un seul groupe.

6.2.16.1 Configuration de l'écran de connexion à la zone de

lancement BI

Par défaut, l'écran de connexion à la zone de lancement BI invite les utilisateurs à saisir leur nom d'utilisateur et
leur mot de passe. Vous pouvez faire en sorte que les utilisateurs soient également invités à saisir le nom du CMS
et le type d'authentification. Pour modifier ce paramètre, vous devez modifier les propriétés de la zone de
lancement BI pour le fichier BOE.war.

Business Intelligence Platform Administrator Guide

Managing Users and Groups PUBLIC 121
6.2.16.1.1 Pour configurer l'écran de connexion à la zone de
lancement BI

Pour modifier les paramètres par défaut de la zone de lancement BI, vous devez définir des propriétés de la zone
de lancement BI personnalisées pour le fichier BOE.war. Ce fichier est déployé sur l'ordinateur hébergeant le
serveur d'applications Web.

1. Accédez au répertoire suivant de votre installation de la plateforme de BI :

<INSTALLDIR>\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF
\config\custom\
2. Créez un fichier dans un éditeur de texte.
3. Enregistrez le fichier sous le nom suivant .
BIlaunchpad.properties
4. Pour inclure les options d'authentification à l'écran de connexion de la zone de lancement BI, ajoutez la ligne
suivante :

authentication.visible=true

5. Pour modifier l'authentification par défaut, ajoutez la ligne suivante :

authentication.default=<authentication>

Remplacez <authentification> par l'une des options suivantes :

Type d'authentification valeur d'<authentification>

Enterprise secEnterprise

LDAP secLDAP

Windows AD secWinAD

SAP secSAPR3

6. Pour demander aux utilisateurs de fournir le nom du CMS dans l'écran de connexion à la zone de lancement
BI, ajoutez la ligne suivante :

cms.visible=true

7. Enregistrez le fichier et fermez-le.

8. Redémarrez le serveur d'applications Web.

Utilisez WDeploy pour redéployer le fichier BOE.war sur le serveur d'applications Web. Pour en savoir plus sur
l'utilisation de WDeploy, voir le Guide de déploiement d'applications Web de la plateforme SAP BusinessObjects de
Business Intelligence.

Business Intelligence Platform Administrator Guide

122 PUBLIC Managing Users and Groups
6.2.16.2 Paramétrage des préférences de la zone de lancement
BI pour les groupes d'utilisateurs dans la CMC

Les administrateurs configurent les préférences par défaut de la zone de lancement BI pour les groupes
d'utilisateurs dans la CMC.

Les administrateurs peuvent spécifier des valeurs par défaut pour les préférences suivantes de la zone de
lancement BI dans la CMC :

● Onglet Accueil
● Emplacement de stockage des documents
● Dossiers
● Catégories
● Nombre d'objets par page
● Colonnes affichées dans l'onglet Document
● Si affichage des documents dans la zone de lancement BI dans un onglet ou dans une nouvelle fenêtre

Les préférences configurées par l'administrateur pour un groupe s'appliquent à tous les utilisateurs du groupe. Si
un utilisateur appartient à deux ou plusieurs groupes d'utilisateurs, la zone de lancement de BI affiche les
préférences configurées pour un seul groupe.

Les utilisateurs peuvent configurer leurs propres préférences de la zone de lancement de BI, et les valeurs de
leurs préférences ont la priorité sur les valeurs par défaut. (Les utilisateurs peuvent revenir aux préférences par
défaut à tout moment.) Toutefois, si l'administrateur modifie les préférences par défaut de la zone de lancement
BI dans la CMC, les valeurs par défaut ont la priorité sur les valeurs définies par l'utilisateur.

6.2.16.2.1 Paramétrage des préférences de la zone de

lancement de BI pour un groupe d'utilisateurs

Les préférences de la zone de lancement de BI configurées dans la CMC sont les préférences par défaut pour tous
les utilisateurs d'un groupe d'utilisateurs.

Remarque
Si un utilisateur appartient à deux ou plusieurs groupes d'utilisateurs, la zone de lancement de BI affiche les
préférences par défaut configurées pour un seul groupe.

Les utilisateurs peuvent définir leurs propres préférences de la zone de lancement de BI, s'ils disposent des droits
appropriés. Si vous ne souhaitez pas que les utilisateurs puissent modifier les préférences, ne leur accordez pas le
droit de les définir.

1. Accédez à la zone de gestion Utilisateurs et groupes de la CMC.

2. Sous Liste des groupes, sélectionnez le groupe d'utilisateurs pour lesquels définir les préférences de la zone
de lancement de BI.

3. Sélectionnez Actions Préférences de la zone de lancement BI

La boîte de dialogue Préférences de la zone de lancement BI s'affiche.
4. Décochez la case Aucune préférence définie.

Business Intelligence Platform Administrator Guide

Managing Users and Groups PUBLIC 123
5. Sélectionnez l'onglet Accueil ou Documents pour choisir la page de démarrage par défaut de la zone de
lancement de BI.
6. Si vous avez sélectionné l'onglet Accueil, effectuez l'une des actions suivantes pour choisir la page d'accueil
dans l'onglet :

○ Pour afficher l'onglet Accueil par défaut, sélectionnez Onglet Accueil par défaut.
○ Pour afficher un site web spécifique en tant qu'onglet Accueil, cliquez sur Sélectionnez l'onglet Accueil,
cliquez sur Parcourir l'onglet Accueil, choisissez un objet dans le référentiel de BI, puis cliquez sur Ouvrir.
7. Si vous avez sélectionné l'onglet Documents, effectuez l'une des actions suivantes :

○ Sélectionnez Mes Documents pour afficher votre tiroir de documents, puis sélectionnez le noeud par
défaut à afficher :
○ Mes favoris
○ Catégories personnelles
○ Ma boîte de réception
○ Sélectionnez Dossiers pour afficher votre tiroir de dossiers, puis sélectionnez le dossier par défaut à
afficher :
○ Pour choisir tous les dossiers publics, sélectionnez Dossiers publics.
○ Pour choisir un dossier en particulier, sélectionnez Sélection du dossier public, cliquez sur Rechercher
un dossier, sélectionnez-le et cliquez sur Ouvrir.
○ Sélectionnez Catégories pour afficher votre tiroir de catégories, puis sélectionnez la catégorie par défaut
à afficher :
○ Pour choisir toutes les catégories publiques, sélectionnez Catégories d'entreprise.
○ Pour choisir un dossier en particulier, sélectionnez Sélection d'une catégorie d'entreprise, cliquez sur
Rechercher une catégorie, sélectionnez-la et cliquez sur Ouvrir.
8. Sous Sélectionner les colonnes affichées dans l'onglet Documents, cochez la case pour chaque colonne à
afficher pour chaque objet du panneau Liste :

○ Type
○ Dernière exécution
○ Instances
○ Description
○ Créé par
○ Création le
○ Emplacement (catégories)
○ Reçu le (boîte de réception)
○ De (boîte de réception)
9. Sous Définissez l'emplacement de visualisation de document, choisissez la façon dont vous voulez que les
utilisateurs visualisent les documents :

○ Sélectionnez Sur le portail de la zone de lancement BI en tant qu'onglets pour afficher les documents dans
des onglets individuels de la zone de lancement de BI.
○ Sélectionnez Dans plusieurs fenêtres de navigateur en plein écran, une fenêtre par document (In multiple
full screen browser windows, one window for each document) pour afficher les documents dans des
fenêtres individuelles
10. Dans la zone Définissez le nombre maximal d'éléments par page saisissez le nombre maximal d'objets à
afficher par page lors de la visualisation des listes d'objets.
11. Cliquez sur Enregistrer et fermer.

Business Intelligence Platform Administrator Guide

124 PUBLIC Managing Users and Groups
6.2.17 Gestion des attributs des utilisateurs système

Les administrateurs de la plateforme de BI définissent et ajoutent les attributs utilisateur aux utilisateurs système
à partir de la zone Gestion des attributs utilisateur de la CMC (Central Management Console). Vous pouvez gérer
et étendre les attributs pour les répertoires utilisateur suivants :

● Enterprise
● SAP
● LDAP
● Windows AD

Lorsque les utilisateurs sont importés à partir de répertoires externes tels que SAP, LDAP et Windows AD, les
attributs suivants sont généralement disponibles pour les comptes utilisateur :

● Nom complet
● Adresse électronique

Noms d'attribut

Tous les attributs utilisateur ajoutés au système doivent comporter les propriétés suivantes :

● Nom
● Nom interne

La propriété « Nom » est l'identifiant convivial de l'attribut, elle est utilisée pour les filtres des requêtes lors de
l'utilisation de la couche sémantique d'univers. Pour plus d'informations, voir la documentation de l'outil de
conception d'univers. Le « Nom interne » est utilisé par les développeurs lors de l'utilisation du SDK de la
plateforme de BI. Cette propriété est un nom généré automatiquement.

Les noms d'attribut ne doivent pas dépasser 256 caractères et ne doivent contenir que des caractères
alphanumériques et des traits de soulignement.

Conseil
Si vous indiquez des caractères non valides pour le nom de l'attribut, la plateforme de BI ne génère pas de nom
interne. Les noms internes ne peuvent pas être modifiés après leur ajout au système. Il est conseillé de
sélectionner soigneusement des noms d'attributs appropriés contenant des caractères alphanumériques et
des traits de soulignement.

Prérequis pour le développement des attributs utilisateur mappés

Avant d'ajouter des attributs utilisateur au système, tous les plug-ins d'authentification pertinents des répertoires
utilisateur externes doivent être configurés pour mapper et importer les utilisateurs. En outre, vous devez bien
connaître le schéma des répertoires externes, en particulier les noms utilisés pour les attributs cibles.

Business Intelligence Platform Administrator Guide

Managing Users and Groups PUBLIC 125
 Remarque
Pour le plug-in d'authentification SAP, seuls les attributs contenus dans la structure BAPIADDR3 peuvent être
spécifiés.

Une fois la plateforme de BI configurée pour mapper les nouveaux attributs utilisateur, les valeurs sont
renseignées lors de la prochaine mise à jour planifiée. Tous les attributs utilisateur sont affichés dans la zone de
gestion Utilisateurs et groupes de la CMC.

6.2.18 Classement des attributs utilisateur entre plusieurs

options d'authentification

Lors de la configuration des plug-ins d'authentification de SAP, LDAP, et AD, il est possible de spécifier les niveaux
de priorité de chaque plug-in par rapport aux deux autres. Par exemple, dans la zone d'authentification LDAP,
utilisez l'option Définir la liaison d'attribut LDAP par rapport aux autres liaisons d'attribut pour spécifier la priorité
LDAP par rapport à SAP et AD. La valeur d'attribut Enterprise a par défaut la priorité sur toute valeur de répertoire
externe. Les priorités de liaison d'attributs sont définies au niveau du plug-in d'authentification et non pas pour un
attribut spécifique.

Informations associées

Pour configurer l'hôte LDAP [page 255]

Pour importer des rôles SAP [page 325]

6.2.19 Pour ajouter un nouvel attribut utilisateur

Avant d'ajouter un nouvel attribut utilisateur à la plateforme de BI, vous devez configurer le plug-in
d'authentification du répertoire externe à partir duquel vous mappez les comptes utilisateur. Ceci s'applique à
SAP, LDAP et Windows AD. En particulier, vous devez cocher l'option Importer le nom complet, l'adresse
électronique et les autres attributs de tous les plugins requis.

Remarque
Vous n'avez aucune tâche préliminaire à exécuter avant de procéder à l'extension des attributs des comptes
utilisateur Enterprise.

Conseil
Si vous prévoyez d'étendre les mêmes attributs pour plusieurs plug-ins, il est recommandé de définir le niveau
de priorité de liaison approprié pour les attributs conformément aux exigences de votre entreprise.

1. Accédez à la zone de gestion Gestion des attributs utilisateur de la CMC.

Business Intelligence Platform Administrator Guide

126 PUBLIC Managing Users and Groups
 2. Cliquez sur l'icône Ajouter un nouvel attribut de mappage personnalisé.
La boîte de dialogue Ajouter un attribut s'affiche.
3. Spécifiez un nom pour le nouvel attribut dans le champ Nom.
La plateforme de BI utilise le nom fourni comme nom convivial du nouvel attribut.
Lorsque vous saisissez le nom convivial, le champ Nom interne est automatiquement rempli selon le schéma
suivant : SI_[Nomconvivival]. Lorsque l'administrateur système spécifie un nom d'attribut "convivial", la
plateforme de BI génère automatiquement le nom "interne".
4. Si nécessaire, modifiez le champ Nom Interne à l'aide de lettres, chiffres ou caractères de soulignement.

Conseil
La valeur du champ Nom Interne ne peut être modifiée qu'à cette étape. Vous ne pouvez pas modifier cette
valeur après avoir enregistré le nouvel attribut.

Si le nouvel attribut concerne des comptes Enterprise, passez à l'étape 8.

5. Sélectionnez l'option appropriée pour Ajouter une nouvelle source pour dans la liste et cliquez sur l'icône
Ajouter. Les options suivantes sont disponibles :

○ SAP
○ LDAP
○ AD

Une ligne de table est créée pour la source de l'attribut spécifié.

6. Sous la colonne Nom de la source de l'attribut, spécifiez le nom de l'attribut dans le répertoire source.
La plateforme de BI ne fournit pas de mécanisme permettant de vérifier automatiquement que le nom
d'attribut fourni existe dans le répertoire externe. Assurez-vous que le nom fourni est correct et valide.
7. Répétez les étapes 5 et 6 si d'autres sources sont requises pour le nouvel attribut.
8. Cliquez sur OK pour enregistrer et soumettre le nouvel attribut à la plateforme de BI.
Le nom du nouvel attribut, le nom interne, la source et le nom de la source de l'attribut s'affichent dans la zone
de gestion Gestion des attributs utilisateur de la CMC.

Le nouvel attribut et sa valeur correspondante pour chaque compte utilisateur affecté s'afficheront lors de la
prochaine actualisation planifiée dans la zone de gestion Utilisateurs et groupes.

Si vous utilisez plusieurs sources pour le nouvel attribut, assurez-vous que les bonnes priorités de liaison
d'attributs sont spécifiées pour chaque plug-in d'authentification.

6.2.20 Pour modifier les attributs utilisateur personnalisés

Utilisez la procédure suivante pour modifier les attributs utilisateur ayant été créés dans la plateforme de BI. Il est
possible de modifier :

● Le nom de l'attribut dans la plateforme de BI.

Remarque
Il ne s'agit pas du nom interne utilisé pour l'attribut. Une fois l'attribut créé et ajouté à la plateforme de BI, le
nom interne ne peut plus être modifié. Pour supprimer un nom interne, les administrateurs doivent
supprimer l'attribut associé.

Business Intelligence Platform Administrator Guide

Managing Users and Groups PUBLIC 127
● Le nom de la source de l'attribut
● Sources supplémentaires pour l'attribut

1. Accédez à la zone de gestion Gestion des attributs utilisateur de la CMC.

2. Sélectionnez l'attribut à modifier.
3. Cliquez sur l'icône Modifier l'attribut sélectionné.
La boîte de dialogue Modifier s'affiche.
4. Modifiez le nom de l'attribut ou les informations source.
5. Cliquez sur OK pour enregistrer et soumettre les modifications à la plateforme de BI.
Les valeurs modifiées apparaissent dans la zone de gestion Gestion des attributs utilisateur de la CMC.

Le nom et les valeurs d'attribut modifiés s'affichent après la prochaine actualisation planifiée dans la zone de
gestion Utilisateurs et groupes.

6.3 Gestion des alias

Si un utilisateur possède plusieurs comptes dans la plateforme de BI, vous pouvez les lier à l'aide de la fonction
Affecter un alias. Cette fonction est utile lorsqu'un utilisateur possède un compte tiers mappé à Enterprise et un
compte Enterprise.

L'affectation d'un alias à l'utilisateur permet à celui-ci de se connecter à l'aide d'un nom d'utilisateur tiers et d'un
mot de passe ou d'un nom d'utilisateur Enterprise et d'un mot de passe. L'alias permet donc à un utilisateur de se
connecter via plusieurs types d'authentification.

Dans la CMC, les informations d'alias sont affichées au bas de la page Propriétés de l'utilisateur. Un utilisateur
peut posséder n'importe quelle combinaison d'alias Enterprise, LDAP ou Windows AD.

6.3.1 Pour créer un utilisateur et ajouter un alias tiers

Lorsque vous créez un utilisateur et sélectionnez un type d'authentification autre qu'Enterprise, le système crée le
nouvel utilisateur dans la plateforme de BI et crée un alias tiers pour l'utilisateur.

Remarque
Pour que le système puisse créer l'alias tiers, les conditions suivantes doivent être respectées :

● L'outil d'authentification doit avoir été activé dans la CMC.

● Le format du nom du compte doit correspondre au format requis pour le type d'authentification.
● Le compte utilisateur doit exister dans l'outil d'authentification tiers et doit appartenir à un groupe déjà
mappé à la plateforme de BI.

1. Accédez à la zone de gestion Utilisateurs et groupes de la CMC.

2. Cliquez sur Gérer Nouveau Nouvel utilisateur .

La boîte de dialogue Nouvel utilisateur s'affiche.
3. Sélectionnez le type d'authentification pour l'utilisateur, par exemple, Windows AD.

Business Intelligence Platform Administrator Guide

128 PUBLIC Managing Users and Groups
 4. Saisissez le nom du compte tiers de l'utilisateur, par exemple, bsmith.
5. Sélectionnez le type de connexion pour l'utilisateur.
6. Cliquez sur Créer et fermer.

L'utilisateur est ajouté à la plateforme de BI et un alias lui est attribué pour le type d'authentification
sélectionné, par exemple, secWindowsAD:ENTERPRISE:bsmith. Si nécessaire, vous pouvez ajouter, affecter
et réaffecter des alias à l'utilisateur.

6.3.2 Pour créer un alias pour un utilisateur existant

Vous pouvez créer des alias pour des utilisateurs existants de la plateforme de BI. Il peut s'agir d'un alias
Enterprise ou d'un alias pour un outil d'authentification tiers.

Remarque
Pour que le système puisse créer l'alias tiers, les conditions suivantes doivent être respectées :

● L'outil d'authentification doit avoir été activé dans la CMC.

● Le format du nom du compte doit correspondre au format requis pour le type d'authentification.
● Le compte utilisateur doit exister dans l'outil d'authentification tiers et doit appartenir à un groupe mappé à
la plateforme de BI.

1. Accédez à la zone de gestion Utilisateurs et groupes de la CMC.

2. Sélectionnez l'utilisateur auquel vous souhaitez ajouter un alias.

3. Cliquez sur Gérer Propriétés .

La boîte de dialogue Propriétés s'affiche.
4. Cliquez sur Nouvel alias.
5. Sélectionnez le type d'authentification.
6. Saisissez le nom du compte de l'utilisateur.
7. Cliquez sur Mettre à jour.

Un alias est créé pour l'utilisateur. Lorsque vous affichez l'utilisateur dans la CMC, au moins deux alias
apparaissent, celui déjà affecté à l'utilisateur et celui que vous venez de créer.
8. Cliquez sur Enregistrer & Fermer pour quitter la boîte de dialogue Propriétés.

6.3.3 Pour affecter un alias d'un autre utilisateur

Lorsque vous affectez un alias à un utilisateur, vous déplacez un alias tiers d'un autre utilisateur vers l'utilisateur
affiché. Vous ne pouvez pas affecter ou réaffecter des alias Enterprise.

Remarque
Si un utilisateur ne possède qu'un seul alias et si vous affectez cet alias à un autre utilisateur, le système efface
le compte de l'utilisateur, ainsi que le dossier Favoris, les catégories personnelles et la boîte de réception
correspondant à ce compte.

Business Intelligence Platform Administrator Guide

Managing Users and Groups PUBLIC 129
1. Accédez à la zone de gestion Utilisateurs et groupes de la CMC.
2. Sélectionnez l'utilisateur auquel vous souhaitez affecter un alias.

3. Cliquez sur Gérer Propriétés .

La boîte de dialogue Propriétés s'affiche.
4. Cliquez sur Affecter un alias.
5. Saisissez le compte utilisateur possédant l'alias que vous souhaitez affecter, et cliquez sur Rechercher.
6. Déplacez l'alias à affecter de la liste Alias disponibles vers la liste Alias à ajouter à <Nomutilisateur>.

Ici <Nomutilisateur> représente le nom de l'utilisateur auquel vous affectez un alias.

Conseil
Pour sélectionner plusieurs alias, utilisez la combinaison de touches MAJ + clic ou CTRL + clic .

7. Cliquez sur OK.

6.3.4 Pour supprimer un alias

Lorsque vous supprimez un alias, celui-ci disparaît totalement du système. Si un utilisateur ne possède qu'un seul
alias que vous supprimez, le système efface automatiquement le compte de l'utilisateur, ainsi que le dossier
Favoris, les catégories personnelles et la boîte de réception correspondant à ce compte.

Remarque
La suppression de l'alias d'un utilisateur n'empêche pas nécessairement cet utilisateur de se reconnecter à la
plateforme de BI. Si le compte utilisateur existe encore dans le système tiers et si le compte appartient à un
groupe mappé à la plateforme de BI, celle-ci autorisera toujours l'utilisateur à se connecter. Que le système
crée un nouvel utilisateur ou qu'il affecte l'alias à un utilisateur existant dépend des options de mise à jour
sélectionnées pour l'outil d'authentification dans la zone de gestion Authentification de la CMC.

1. Accédez à la zone de gestion Utilisateurs et groupes de la CMC.

2. Sélectionnez l'utilisateur dont vous souhaitez supprimer l'alias.

3. Cliquez sur Gérer Propriétés .

La boîte de dialogue Propriétés s'affiche.
4. Cliquez sur le bouton Supprimer l'alias situé à côté de l'alias que vous souhaitez supprimer.
5. Si vous devez confirmer, cliquez sur OK.
L'alias est supprimé.
6. Cliquez sur Enregistrer & Fermer pour quitter la boîte de dialogue Propriétés.

6.3.5 Pour désactiver un alias

Vous pouvez empêcher un utilisateur de se connecter à la plateforme de BI à l'aide d'une méthode

d'authentification particulière en désactivant l'alias de l'utilisateur associé à cette méthode. Pour empêcher un
utilisateur d'accéder totalement à la plateforme, désactivez tous les alias de cet utilisateur.

Business Intelligence Platform Administrator Guide

130 PUBLIC Managing Users and Groups
 Remarque
Le fait de supprimer un utilisateur du système ne l'empêche pas nécessairement de se reconnecter à la
plateforme de BI. Si le compte utilisateur existe toujours dans le système tiers et s'il appartient à un groupe
mappé à la plateforme de BI, le système autorisera toujours l'utilisateur à se connecter. Pour être certain qu'un
utilisateur ne peut plus utiliser l'un de ses alias pour se connecter à la plateforme, il est préférable de désactiver
cet alias.

1. Accédez à la zone de gestion Utilisateurs et groupes de la CMC.

2. Sélectionnez l'utilisateur dont vous souhaitez désactiver l'alias.

3. Cliquez sur Gérer Propriétés .

La boîte de dialogue Propriétés s'affiche.
4. Désactivez la case à cocher Activé pour l'alias que vous souhaitez désactiver.

Répétez cette étape pour chaque alias que vous souhaitez désactiver.
5. Cliquez sur Enregistrer & Fermer.
L'utilisateur ne peut plus se connecter à l'aide du type d'authentification que vous venez de désactiver.

Informations associées

Pour supprimer un alias [page 130]

Business Intelligence Platform Administrator Guide

Managing Users and Groups PUBLIC 131
7 Setting Rights

7.1 Fonctionnement des droits sur la plateforme de BI

Les droits sont les unités de base permettant de contrôler l'accès des utilisateurs aux objets, utilisateurs,
applications, serveurs et autres fonctionnalités de la plateforme de BI. Ils jouent un rôle important dans la
sécurisation du système en définissant les actions individuelles que les utilisateurs peuvent exécuter sur les
objets. Les droits vous permettent non seulement de contrôler l'accès à votre contenu de la plateforme de BI,
mais également de déléguer la gestion des utilisateurs et des groupes à différents services et d'accorder au
personnel du service informatique un accès administratif aux serveurs et groupes de serveurs.

Il est important de noter que les droits sont définis sur des objets tels que les rapports et les dossiers plutôt que
sur les utilisateurs ou groupes principaux qui y accèdent. Par exemple, pour donner à un directeur l'accès à un
dossier particulier, dans la zone Dossiers, vous ajoutez le directeur à la liste de contrôle d'accès (liste des
utilisateurs et groupes principaux qui ont accès à un objet) pour le dossier. Vous ne pouvez pas accorder l'accès
au directeur en configurant ses droits d'accès dans la zone Utilisateurs et groupes. Les droits d'accès du directeur
dans la zone Utilisateurs et groupes sont utilisés pour accorder à d'autres utilisateurs ou groupes principaux (tels
que les administrateurs délégués) le droit d'accéder au directeur en tant qu'objet du système. De cette façon, les
utilisateurs ou groupes principaux sont eux-mêmes considérés comme des objets par les autres utilisateurs
disposant de droits de gestion supérieurs.

Chaque droit sur un objet peut être accordé, refusé ou non spécifié. Le modèle de sécurité de la plateforme de BI
consiste à refuser un droit qui n'a pas été spécifié. Par ailleurs, ce même principe s'applique lorsque des
paramètres accordent et refusent à la fois un droit à un utilisateur ou à un groupe. Ce modèle « basé sur le refus »
permet de veiller à ce que les utilisateurs et les groupes n'acquièrent pas automatiquement des droits qui ne leur
ont pas été accordés explicitement.

Il existe une exception importante à cette règle. Si un droit explicitement défini sur un objet enfant est en
contradiction avec les droits hérités de l'objet parent, le droit défini sur l'objet enfant remplace les droits hérités.
Cette exception s'applique aux utilisateurs qui sont également membres de groupes. Si un utilisateur se voit
accorder explicitement un droit refusé au groupe de l'utilisateur, le droit défini sur l'utilisateur remplace les droits
hérités.

Informations associées

Remplacement des droits [page 136]

7.1.1 Niveaux d'accès

Les niveaux d'accès sont des groupes de droits dont les utilisateurs ont souvent besoin. Ils permettent aux
administrateurs de définir rapidement et uniformément les niveaux de sécurité courants au lieu d'avoir à définir
les droits individuels un par un.

Business Intelligence Platform Administrator Guide

132 PUBLIC Setting Rights
La plateforme de BI est fournie avec plusieurs niveaux d'accès prédéfinis. Ces niveaux d'accès prédéfinis reposent
sur un modèle de droits progressifs : le premier étant Visualiser et le dernier Contrôle total, chaque niveau d'accès
se construisant sur les droits accordés au niveau précédent.

Cependant, vous pouvez également créer et personnaliser vos propres niveaux d'accès, ce qui peut réduire de
façon significative les coûts d'administration et de maintenance associés à la sécurité. Imaginez une situation
dans laquelle un administrateur doit gérer deux groupes, des directeurs commerciaux et des employés
commerciaux. Les deux groupes doivent accéder à cinq rapports dans le système de la plateforme de BI, mais les
directeurs commerciaux requièrent davantage de droits que les employés. Les niveaux d'accès prédéfinis ne
répondent aux besoins d'aucun des deux groupes. Au lieu d'ajouter des groupes à chaque rapport en tant que
groupes principaux et de modifier leurs droits dans cinq emplacements différents, l'administrateur peut créer
deux niveaux d'accès, Directeurs commerciaux et Employés commerciaux. L'administrateur ajoute ensuite aux
rapports les deux groupes en tant que groupes principaux et affecte à ces groupes leur niveau d'accès respectif.
Si les droits doivent être modifiés, l'administrateur peut modifier les niveaux d'accès. Etant donné que les niveaux
d'accès s'appliquent aux deux groupes sur les cinq rapports, les droits affectés à ces groupes sur ces rapports
sont rapidement mis à jour.

Informations associées

Utilisation des niveaux d'accès [page 146]

7.1.2 Définition de droits avancés

Pour vous conférer un contrôle total sur la sécurité des objets, la CMC vous permet de définir des droits avancés.
Ces paramètres avancés offrent une plus grande flexibilité pour définir les niveaux de sécurité des objets à un
niveau granulaire.

Utilisez des paramètres de droits avancés, par exemple, si vous devez personnaliser les droits d'accès d'un
utilisateur ou groupe principal sur un objet ou un ensemble d'objets particulier. Les droits avancés sont
particulièrement utiles pour refuser explicitement un droit à un utilisateur ou à un groupe, sans changement
possible lors de modifications ultérieures de l'appartenance aux groupes ou des niveaux de la sécurité des
dossiers.

Le tableau suivant résume les différentes options disponibles lorsque vous définissez des droits avancés.

Table 12 : Options des droits d'accès

Icône Option Description

Accordé Le droit est accordé à un utilisateur ou groupe principal.

Refusé Le droit est refusé à un utilisateur ou groupe principal.

Non spécifié Le droit n'est pas spécifié pour un utilisateur ou groupe princi­
pal. Par défaut, les droits définis sur Non spécifié sont refusés.

Business Intelligence Platform Administrator Guide

Setting Rights PUBLIC 133
Icône Option Description

Appliquer à l'objet Le droit s'applique à l'objet. Cette option est disponible lorsque
vous cliquez sur Accordé ou sur Refusé.

Appliquer au sous-objet Ce droit s'applique aux sous-objets. Cette option est disponible
lorsque vous cliquez sur Accordé ou sur Refusé.

Informations associées

Droits spécifiques au type [page 139]

7.1.3 Héritage

Des droits sont définis sur un objet pour un utilisateur ou groupe principal afin de contrôler l'accès à cet objet.
Cependant, il est peu pratique de définir la valeur explicite de chaque droit possible sur chaque objet pour chaque
utilisateur ou groupe principal. Imaginez un système comprenant 100 droits, 1 000 utilisateurs et 10 000 objets :
pour définir les droits explicitement sur chaque objet, le CMS devrait stocker des milliards de droits dans sa
mémoire et, point non négligeable, un administrateur serait tenu de définir manuellement chacun d'eux.

Les profils hérités résolvent cette impraticabilité. Avec l'héritage, les droits dont les utilisateurs disposent sur les
objets du système proviennent d'une combinaison de leur appartenance à différents groupes et sous-groupes et
des objets qui ont hérité des droits de dossiers et sous-dossiers parents. Ces utilisateurs peuvent hériter des
droits du groupe auxquels ils appartiennent ; les sous-groupes peuvent hériter des droits de leurs groupes parents
et les utilisateurs et les groupes peuvent hériter des droits issus de leurs dossiers parents.

Par défaut, les utilisateurs ou groupes qui disposent de droits sur un dossier hériteront des mêmes droits sur tout
objet ultérieurement publié dans ce dossier. Il est donc préférable de commencer par définir les droits d'accès
appropriés pour les utilisateurs et les groupes au niveau du dossier, puis de publier des objets dans ce dossier.

La plateforme de BI reconnaît deux types d'héritage : l'héritage de groupe et l'héritage de dossier.

7.1.3.1 Héritage de groupe

L'héritage de groupe permet aux utilisateurs ou groupes principaux d'hériter des droits des groupes auxquels ils
appartiennent. L'héritage de groupe est une fonction particulièrement utile si vous organisez tous vos utilisateurs
en groupes répartis selon les règles de sécurité en vigueur dans votre entreprise.

Le diagramme « Héritage de groupe - exemple 1 », illustre le mode de fonctionnement de l'héritage de groupe. Le

groupe rouge est un sous-groupe du groupe bleu et il hérite par conséquent des droits du groupe bleu. Dans ce
cas, il hérite du droit 1 comme étant accordé et des autres droits comme étant non spécifiés. Chaque membre du
groupe rouge hérite de ces droits. En outre, tous les autres droits définis sur le sous-groupe sont hérités par ses
membres. Dans cet exemple, l'utilisateur vert est un membre du groupe rouge et il hérite par conséquent du
droit 1 comme étant accordé", des droits 2, 3, 4 et 6 comme étant non spécifiés et du droit 5 comme étant refusé.

Business Intelligence Platform Administrator Guide

134 PUBLIC Setting Rights
 Figure 1 : Héritage de groupe - exemple 1

Lorsque l'héritage de groupe est activé pour un utilisateur appartenant à plusieurs groupes, le système examine
les droits de tous les groupes parents lors de la vérification des références de connexion. L'utilisateur se voit
refuser tout droit explicitement refusé dans un groupe parent, ainsi que tout droit non spécifié. Seuls lui sont
accordés les droits qu'au moins l'un des groupes lui accorde (explicitement ou par les niveaux d'accès) et
qu'aucun groupe ne lui refuse explicitement.

Dans le diagramme « Héritage de groupe - exemple 2 », l'utilisateur vert est un membre de deux groupes non
associés. Il hérite du groupe bleu les droits 1 et 5 accordés et les autres droits non spécifiés, cependant, étant
donné que l'utilisateur vert appartient également au groupe rouge et que le droit 5 est explicitement refusé au
groupe rouge, l'héritage par l'utilisateur vert du droit 5 du groupe bleu est annulé.

Figure 2 : Héritage de groupe - exemple 2

Informations associées

Remplacement des droits [page 136]

7.1.3.2 Héritage de dossier

L'héritage de dossier permet aux utilisateurs ou groupes principaux d'hériter de tous les droits qui leur ont été
accordés sur le dossier parent d'un objet. L'héritage de dossier s'avère particulièrement utile lorsque vous
organisez le contenu de la plateforme de BI selon une hiérarchie de dossiers qui reflète les règles de sécurité en
vigueur dans votre entreprise. Par exemple, supposons que vous créiez un dossier appelé Rapport des ventes et
que vous accordiez à votre groupe Ventes un accès Visualiser à la demande pour ce dossier. Par défaut, tous les

Business Intelligence Platform Administrator Guide

Setting Rights PUBLIC 135
utilisateurs bénéficiant de droits sur le dossier Rapport des ventes hériteront des mêmes droits sur les rapports
que vous publierez ultérieurement dans ce dossier. Le groupe Ventes aura donc un accès Visualiser à la demande
sur tous les rapports et vous n'aurez besoin de définir les droits d'accès aux objets qu'une seule fois, au niveau du
dossier.

Dans l'« Exemple d'héritage de dossier », les droits ont été définis pour le groupe rouge sur un dossier. Les droits 1
et 5 ont été accordés tandis que les autres droits sont restés non spécifiés. Si l'héritage de dossier est activé, les
membres du groupe rouge disposent de droits au niveau de l'objet identiques aux droits du groupe au niveau du
dossier. Les droits 1 et 5 sont hérités comme étant accordés, tandis que les autres droits restent non spécifiés.

Figure 3 : Exemple d'héritage de dossier

Informations associées

Remplacement des droits [page 136]

7.1.3.3 Remplacement des droits

Le remplacement des droits est un comportement des droits selon lequel les droits définis sur les objets enfant
remplacent les droits définis sur les objets parent. Le remplacement des droits se produit dans les circonstances
suivantes :

● Généralement, les droits définis sur les objets enfant ont priorité sur les droits correspondants définis sur les
objets parent.
● Généralement, les droits définis sur des sous-groupes ou membres de groupes ont priorité sur les droits
correspondants définis sur les groupes.

Il n'est pas nécessaire de désactiver l'héritage pour définir des droits personnalisés sur un objet. L'objet enfant
hérite des paramètres de droits de l'objet parent sauf pour les droits explicitement définis sur l'objet enfant. De

Business Intelligence Platform Administrator Guide

136 PUBLIC Setting Rights
plus, toute modification apportée aux paramètres de droits sur l'objet parent s'applique également à l'objet
enfant.

« Remplacement des droits - Exemple 1 » illustre comment fonctionne le remplacement des droits sur les objets
parent et enfant. L'utilisateur bleu n'a pas le droit de modifier le contenu d'un dossier ; le sous-dossier hérite de ce
paramètre de droit. Cependant, un administrateur accorde à l'utilisateur bleu des droits Modifier sur un document
du sous-dossier. Le droit Modifier que l'utilisateur bleu reçoit sur le document remplace les droits hérités du
dossier et du sous-dossier.

Figure 4 : Remplacement des droits - Exemple 1

« Remplacement des droits - Exemple 2 » illustre comment fonctionne le remplacement des droits sur les
membres et les groupes. Le groupe bleu n'a pas le droit de modifier un dossier ; le sous-groupe bleu hérite de ce
paramètre de droit. Cependant, un administrateur accorde à l'utilisateur bleu, qui est membre du groupe bleu et
du sous-groupe bleu, des droits Modifier sur le dossier. Les droits Modifier que l'utilisateur bleu obtient sur le
dossier remplacent les droits hérités du groupe bleu et du sous-groupe bleu.

Figure 5 : Remplacement des droits - Exemple 2

La section « Remplacement des droits complexe » illustre une situation dans laquelle les effets du remplacement
de droits sont moins évidents. L'utilisateur violet est membre des sous-groupes 1A et 2A, qui se trouvent
respectivement dans les groupes 1 et 2. Les groupes 1 et 2 possèdent tous deux des droits Modifier sur le dossier.

Business Intelligence Platform Administrator Guide

Setting Rights PUBLIC 137
Le groupe 1A hérite des droits Modifier du groupe 1, mais un administrateur refuse ces droits Modifier au
groupe 2A. Les paramètres de droits du groupe 2A remplacent ceux du groupe 2 en raison du remplacement des
droits. Par conséquent, l'utilisateur violet hérite de paramètres de droits contradictoires des groupes 1A et 2A. Les
groupes 1A et 2A n'ont pas de relation parent-enfant ; par conséquent, le remplacement des droits ne s'applique
pas. Les paramètres de droit d'un sous-groupe ne remplacent pas ceux d'un autre car ils ont un statut égal.
L'utilisateur violet se voit donc refuser les droits Modifier en raison du modèle de droits « basé sur le refus » de la
plateforme de BI.

Figure 6 : Remplacement des droits complexe

Le remplacement des droits vous permet d'apporter de petites modifications aux paramètres de droits sur un
objet enfant sans annuler tous les paramètres de droits hérités. Prenons l'exemple d'un responsable des ventes
qui doit visualiser des rapports confidentiels situés dans le dossier Confidentiel. Le responsable des ventes fait
partie du groupe Ventes qui n'a pas accès au dossier et à son contenu. L'administrateur accorde au responsable
les droits Visualiser sur le dossier Confidentiel et continue à en refuser l'accès au groupe Ventes. Dans ce cas, les
droits Visualiser accordés au responsable des ventes remplacent l'accès refusé dont il a hérité en tant que
membre du groupe Ventes.

7.1.3.4 Périmètre des droits

Le périmètre des droits permet de contrôler la portée de l'héritage des droits. Pour définir le périmètre d'un droit,
vous décidez si le droit s'applique à l'objet, à ses sous-objets ou aux deux. Par défaut, le périmètre d'un droit
s'étend aux objets et aux sous-objets.

Le périmètre des droits peut être utilisé pour protéger un contenu personnel dans des emplacements partagés.
Imaginez une situation dans laquelle le service financier possède un dossier Notes de frais partagé contenant un
sous-dossier Notes de frais personnelles pour chaque employé. Les employés souhaitent être en mesure de
visualiser le dossier Notes de frais et d'y ajouter des objets, mais ils veulent également protéger le contenu de leur
sous-dossier Notes de frais personnelles. L'administrateur accorde à tous les employés les droits Visualiser et
Ajouter sur le dossier Notes de frais et limite le périmètre de ces droits à ce dossier uniquement. Les droits
Visualiser et Ajouter ne s'appliquent donc pas aux sous-objets du dossier Notes de frais. L'administrateur accorde
ensuite aux employés les droits Visualiser et Ajouter sur leur propre sous-dossier Notes de frais personnelles.

Le périmètre des droits peut également limiter les droits effectifs que possède un administrateur délégué. Par
exemple, un administrateur délégué peut disposer de droits Modifier en toute sécurité et Modifier sur un dossier,
mais le périmètre de ces droits est limité au dossier uniquement et ne s'applique pas à ses sous-objets.
L'administrateur délégué ne peut pas accorder ces droits à un autre utilisateur sur l'un des sous-objets du
dossier.

Business Intelligence Platform Administrator Guide

138 PUBLIC Setting Rights
7.1.4 Droits spécifiques au type

Les droits spécifiques au type sont des droits affectant uniquement des types d'objets spécifiques, tels que des
rapports Crystal, des dossiers ou des niveaux d'accès. Les droits spécifiques au type sont répartis comme suit :

● Droits généraux pour le type d'objet

Ces droits sont identiques aux droits globaux généraux (par exemple, droit d'ajout, de suppression ou de
modification d'un objet), mais vous les définissez sur des types d'objet spécifiques qui remplacent les
paramètres de droits globaux généraux.
● Droits spécifiques pour le type d'objet
Ces droits sont disponibles uniquement pour des types d'objets spécifiques. Par exemple, le droit
d'exportation des données d'un rapport s'affiche pour les rapports Crystal mais pas pour les documents
Word.

Le diagramme « Droits spécifiques au type : exemple » illustre le fonctionnement des droits spécifiques au type.
Dans ce diagramme, le droit 3 représente le droit de modification d'un objet Le groupe bleu ne dispose pas du
droit Modifier sur le dossier de niveau supérieur mais se voit attribuer ce droit, pour les rapports Crystal situés
dans le dossier et le sous-dossier. Ces droits Modifier sont spécifiques aux rapports Crystal et remplacent les
paramètres de droit d'un niveau d'accès global général. Par conséquent, les membres du groupe bleu possèdent
des droits Modifier pour les rapports Crystal mais pas pour le fichier XLF contenu dans le sous-dossier.

Figure 7 : Droits spécifiques au type : exemple

Les droits spécifiques au type sont utiles car ils vous permettent de limiter les droits des utilisateurs ou groupes
principaux en fonction du type d'objet. Prenons l'exemple d'un administrateur qui souhaite que les employés
puissent ajouter des objets à un dossier mais pas créer de sous-dossiers. L'administrateur accorde les droits
Ajouter au niveau global général pour le dossier, puis refuse les droits Ajouter pour le type d'objet Dossier.

Les droits sont répartis dans les ensembles suivants en fonction des types d'objet auxquels ils s'appliquent :

● Général
Ces droits affectent tous les objets.
● Contenu

Business Intelligence Platform Administrator Guide

Setting Rights PUBLIC 139
 Ces droits sont répartis en fonction des types de contenu d'objet particuliers. Les types de contenu d'objet
peuvent être, par exemple, des rapports Crystal et des fichiers PDF Adobe Acrobat.
● Application
Ces droits sont répartis en fonction de l'application de la plateforme de BI affectée. Les applications peuvent
être, par exemple, la CMC et la zone de lancement BI.
● Système
Ces droits sont répartis en fonction du composant système principal affecté. Les composants système
principaux peuvent être, par exemple, des calendriers, des événements ou encore des utilisateurs et des
groupes.

Les droits spécifiques au type se trouvent dans les ensembles Contenu, Application et Système. Dans chaque
ensemble, les droits sont encore répartis dans d'autres catégories en fonction du type d'objet.

7.1.5 Détermination des droits effectifs

Tenez compte des éléments suivants lorsque vous définissez les droits d'accès à un objet :

● Chaque niveau d'accès accorde et refuse certains droits et attribut le statut "non spécifié" aux autres droits.
Lorsque plusieurs niveaux d'accès sont accordés à un utilisateur, le système agrège les droits effectifs et, par
défaut, refuse tout droit non spécifié.
● Lorsque vous attribuez plusieurs niveaux d'accès à un utilisateur ou groupe principal pour un objet, cet
utilisateur ou groupe principal bénéficie de la combinaison des droits de chaque niveau d'accès. Deux niveaux
d'accès sont attribués à l'utilisateur de « Plusieurs niveaux d'accès ». L'un des niveaux d'accès accorde à
l'utilisateur les droits 3 et 4, alors que l'autre niveau accorde uniquement le droit 3. Les droits effectifs de cet
utilisateur sont donc les droits 3 et 4.

Figure 8 : Plusieurs niveaux d'accès

● Les droits avancés peuvent être associés aux niveaux d'accès pour personnaliser les paramètres des droits
d'accès à un objet d'un utilisateur ou d'un groupe principal. Par exemple, si un droit avancé et un niveau
d'accès sont attribués explicitement à un utilisateur ou un groupe principal pour un objet et si le droit avancé
est en contradiction avec un des droits du niveau d'accès, le droit avancé remplace le droit du niveau d'accès.
Les droits avancés peuvent remplacer leurs équivalents dans les niveaux d'accès uniquement s'ils sont définis
sur le même objet pour le même utilisateur ou groupe principal. Par exemple, un droit avancé Ajouter défini au
niveau global général peut remplacer le droit Ajouter général défini pour un niveau d'accès. En revanche, il ne
peut pas remplacer un droit Ajouter spécifique à un type dans un niveau d'accès.
Toutefois, les droits avancés ne remplacent pas toujours les niveaux d'accès. Imaginons un utilisateur ou un
groupe principal ne disposant pas du droit Modifier sur un objet parent. En revanche, cet utilisateur ou ce
groupe principal dispose d'un niveau d'accès qui lui accorde le droit Modifier sur l'objet enfant. L'utilisateur ou
le groupe principal dispose donc bien du droit Modifier sur l'objet enfant, car les droits définis pour l'objet
enfant remplacent ceux définis pour l'objet parent.
● Le droit de priorité permet de remplacer les droits hérités de l'objet parent par les droits définis pour un objet
enfant.

Business Intelligence Platform Administrator Guide

140 PUBLIC Setting Rights
7.2 Gestion des paramètres de sécurité des objets dans la
CMC

Vous pouvez gérer les paramètres de sécurité de la plupart des objets de la CMC à l'aide des options de sécurité
du menu Gérer. Ces options permettent d'affecter des utilisateurs ou groupes principaux à la liste de contrôle
d'accès d'un objet, à visualiser les droits dont dispose un utilisateur ou groupe principal et à modifier les droits de
l'utilisateur ou groupe principal sur cet objet.

La procédure spécifique de gestion de la sécurité varie en fonction de vos besoins en matière de sécurité et du
type d'objet pour lequel vous définissez des droits. Toutefois, en règle générale, le workflow des tâches suivantes
varie peu :

● Visualisation des droits dont dispose un utilisateur ou groupe principal sur un objet.
● Affectation d'utilisateurs ou de groupes principaux à une liste de contrôle d'accès pour un objet et indication
des droits et niveaux d'accès dont ces utilisateurs et groupes principaux disposent.
● Définition des droits sur un dossier de niveau supérieur dans la plateforme de BI.

7.2.1 Pour visualiser les droits d'un utilisateur ou groupe

principal sur un objet

En règle générale, vous suivez ce workflow pour visualiser les droits dont dispose un utilisateur ou groupe
principal sur un objet.

1. Sélectionnez l'objet dont vous voulez visualiser les paramètres de sécurité.

2. Cliquez sur Gérer Sécurité de l'utilisateur .

La boîte de dialogue Sécurité de l'utilisateur apparaît et affiche la liste de contrôle d'accès de l'objet.
3. Sélectionnez un utilisateur/groupe principal dans la liste de contrôle d'accès, puis cliquez sur Visualiser la
sécurité.

L'Explorateur d'autorisations s'ouvre et affiche la liste des droits effectifs dont dispose l'utilisateur ou groupe
principal sur l'objet. En outre, l'Explorateur d'autorisations permet d'effectuer les tâches suivantes :
○ Rechercher un autre utilisateur ou groupe principal dont vous voulez visualiser les droits.
○ Filtrer les droits affichés selon les critères suivants :

droits affectés
droits accordés
droits non affectés
droits du niveau d'accès
type d'objet
nom du droit
○ Trier la liste de droits affichée par ordre croissant ou décroissant selon les critères suivants :

ensemble
type
nom du droit
statut du droit (accordé, refusé ou non spécifié)

Business Intelligence Platform Administrator Guide

Setting Rights PUBLIC 141
 En outre, vous pouvez cliquer sur l'un des liens dans la colonne Source pour afficher la source des droits
hérités.

7.2.2 Pour affecter des utilisateurs ou groupes principaux à

une liste de contrôle d'accès d'un objet

Les listes de contrôle d'accès spécifient les utilisateurs auxquels des droits sont accordés ou refusés sur un objet.
En règle générale, vous suivez ce workflow pour affecter un utilisateur ou groupe principal à une liste de contrôle
d'accès d'un objet et pour spécifier les droits dont dispose l'utilisateur ou le groupe principal sur cet objet.

1. Sélectionnez l'objet auquel ajouter un utilisateur ou groupe principal.

2. Cliquez sur Gérer Sécurité de l'utilisateur .

La boîte de dialogue Sécurité de l'utilisateur apparaît et affiche la liste de contrôle d'accès.
3. Cliquez sur Ajouter des utilisateurs/groupes principaux.
La boîte de dialogue Ajouter des utilisateurs/groupes principaux s'affiche.
4. Déplacez les utilisateurs et groupes que vous souhaitez ajouter en tant qu'utilisateurs ou groupes principaux
de la liste Utilisateurs/Groupes disponibles vers la liste Utilisateurs/Groupes sélectionnés.
5. Cliquez sur Ajouter et affecter la sécurité.
6. Sélectionnez les niveaux d'accès que vous voulez accorder à l'utilisateur ou groupe principal.
7. Choisissez d'activer ou non l'héritage de groupe ou de dossier.

Si nécessaire, vous pouvez également modifier les droits à un niveau granulaire pour remplacer certains droits à
un niveau d'accès donné.

Informations associées

Pour modifier les droits d'un utilisateur ou groupe principal sur un objet [page 142]

7.2.3 Pour modifier les droits d'un utilisateur ou groupe

principal sur un objet

En règle générale, il est recommandé d'utiliser des droits d'accès pour accorder des droits à un utilisateur ou
groupe principal. Toutefois, vous devrez peut-être remplacer certains droits granulaires à un niveau d'accès
donné dans certaines circonstances. Les droits avancés permettent de personnaliser les droits d'un utilisateur ou
groupe principal en venant s'ajouter aux niveaux d'accès dont dispose déjà cet utilisateur ou groupe principal. En
règle générale, vous suivez ce workflow pour attribuer des droits avancés à un utilisateur ou groupe principal sur
un objet.

1. Affectez l'utilisateur/groupe principal à la liste de contrôle d'accès pour l'objet.

2. Une fois l'utilisateur/groupe principal ajouté, accédez à Gérer Sécurité de l'utilisateur pour afficher la
liste de contrôle d'accès de l'objet.

Business Intelligence Platform Administrator Guide

142 PUBLIC Setting Rights
 3. Sélectionnez l'utilisateur ou groupe principal dans la liste de contrôle d'accès, puis cliquez sur Affecter la
sécurité.
La boîte de dialogue Affecter la sécurité s'affiche.
4. Cliquez sur l'onglet Avancé.
5. Cliquez sur Ajouter/Supprimer des droits.
6. Modifiez les droits de l'utilisateur ou groupe principal.
Tous les droits disponibles sont résumés dans l'annexe Droits.

Informations associées

Pour affecter des utilisateurs ou groupes principaux à une liste de contrôle d'accès d'un objet [page 142]

7.2.4 Définition des droits sur un dossier de niveau supérieur

dans la plateforme de BI

En règle générale, vous suivez ce workflow pour définir des droits sur un dossier de niveau supérieur dans la
plateforme de BI.

Remarque
Pour cette version, les utilisateurs et groupes principaux ont besoin de droits Visualiser pour pouvoir naviguer
dans ce dossier et afficher ses sous-objets. Cela signifie qu'ils ont besoin de droits Visualiser sur le dossier de
niveau supérieur pour visualiser les objets contenus dans les dossiers. Si vous souhaitez limiter les droits
Visualiser d'un utilisateur ou groupe principal, vous pouvez lui accorder les droits Visualiser sur un dossier
spécifique et définir le périmètre des droits à appliquer à ce seul dossier.

1. Accédez à la zone de la CMC où se trouve le dossier de niveau supérieur pour lequel définir des droits.

2. Cliquez sur Gérer Sécurité de niveau supérieur Tous les <Objets> .

<Objets> désigne ici le contenu du dossier de niveau supérieur. Si vous devez confirmer, cliquez sur OK.
La boîte de dialogue Sécurité de l'utilisateur apparaît et affiche la liste de contrôle d'accès du dossier de
niveau supérieur.
3. Affectez l'utilisateur ou groupe principal à la liste de contrôle d'accès du dossier de niveau supérieur.
4. Si nécessaire, affectez des droits avancés à l'utilisateur ou groupe principal.

Informations associées

Pour affecter des utilisateurs ou groupes principaux à une liste de contrôle d'accès d'un objet [page 142]
Pour modifier les droits d'un utilisateur ou groupe principal sur un objet [page 142]

Business Intelligence Platform Administrator Guide

Setting Rights PUBLIC 143
7.2.5 Vérification des paramètres de sécurité pour un
utilisateur ou un groupe principal

Dans certains cas, vous pouvez avoir besoin de savoir quels sont les objets auxquels un utilisateur ou groupe
principal s'est vu accorder ou refuser l'accès. Pour ce faire, vous pouvez utiliser une requête de sécurité. Les
requêtes de sécurité permettent de déterminer les objets sur lesquels un utilisateur ou groupe principal possède
des droits et de gérer les droits utilisateur. Pour chaque requête de sécurité, vous devez fournir les informations
suivantes :

● Requête d'utilisateur/groupe principal

Spécifiez l'utilisateur ou le groupe pour lequel vous souhaitez exécuter la requête de sécurité. Vous pouvez
spécifier un utilisateur ou groupe principal pour chaque requête de sécurité.
● Requête d'autorisation
Spécifiez les droits pour lesquels vous souhaitez exécuter la requête de sécurité, le statut de ces droits et le
type d'objet sur lequel ces droits sont définis. Vous pouvez, par exemple, exécuter une requête de sécurité
pour tous les rapports qu'un utilisateur ou groupe principal peut actualiser ou pour tous les rapports qu'un
utilisateur ou groupe principal ne peut pas exporter.
● Contexte de la requête
Spécifiez les zones de la CMC que vous souhaitez faire rechercher par la requête de sécurité. Pour chaque
zone, vous pouvez choisir d'inclure ou non des sous-objets dans la requête de sécurité. Une requête de
sécurité peut inclure au maximum quatre zones.

Lorsque vous exécutez une requête de sécurité, les résultats s'affichent dans la zone Résultats de requête du volet
Arborescence sous Requêtes de sécurité. Si vous souhaitez affiner une requête de sécurité, vous pouvez exécuter
une seconde requête à l'intérieur des résultats à partir de la première requête.

Les requêtes de sécurité sont utiles car elles vous permettent de voir les objets sur lesquels un utilisateur ou
groupe principal possède des droits, et elles fournissent également les emplacements de ces objets si vous
souhaitez modifier ces droits. Imaginez une situation dans laquelle un employé commercial est promu au rang de
directeur commercial. Le directeur commercial requiert des droits Planifier pour les rapports Crystal sur lesquels
il ne possédait auparavant que les droits Visualiser, et ces rapports se trouvent dans des dossiers différents. Dans
ce cas, l'administrateur exécute une requête de sécurité pour que les droits du directeur commercial lui
permettent de visualiser les rapports Crystal dans tous les dossiers et inclut les sous-objets dans la requête. Une
fois la requête de sécurité exécutée, l'administrateur peut voir tous les rapports Crystal pour lesquels le directeur
commercial possède des droits Visualiser dans la zone Résultats de requête. Le volet Détails affichant
l'emplacement de chaque rapport Crystal, l'administrateur peut rechercher chaque rapport et modifier les droits
du directeur commercial sur ces rapports.

7.2.5.1 Pour exécuter une requête de sécurité

1. Dans la zone Utilisateurs et groupes, dans le volet Détails, sélectionnez l'utilisateur ou le groupe pour lequel
vous voulez exécuter une requête de sécurité.

2. Cliquez sur Gérer Outils Créer une requête de sécurité .

Business Intelligence Platform Administrator Guide

144 PUBLIC Setting Rights
 La boîte de dialogue Créer une requête de sécurité s'affiche.
3. Assurez-vous que l'utilisateur ou groupe principal dans la zone Requête d'utilisateur/groupe principal est
correct.
Si vous souhaitez exécuter une requête de sécurité pour un utilisateur ou groupe principal différent, vous
pouvez cliquer sur Parcourir pour en sélectionner un autre. Dans la boîte de dialogue Rechercher la requête
d'utilisateur/groupe principal, développez la Liste des utilisateurs ou la Liste des groupes pour accéder à
l'utilisateur ou au groupe principal ou le rechercher à l'aide de son nom. Lorsque vous avez terminé, cliquez
sur OK pour revenir à la boîte de dialogue Créer une requête de sécurité.
4. Dans la zone Requête d'autorisation, spécifiez les droits et le statut de chaque droit pour lequel vous
souhaitez exécuter la requête.

○ Si vous souhaitez exécuter une requête pour des droits spécifiques dont dispose un utilisateur/groupe
principal sur des objets, cliquez sur Parcourir, définissez le statut de chaque droit pour lequel exécuter la
requête de sécurité, puis cliquez sur OK.

Conseil
Vous pouvez supprimer des droits spécifiques de la requête en cliquant sur le bouton Supprimer
figurant à droite ou supprimer tous les droits de la requête en cliquant sur le bouton Supprimer
figurant dans la ligne d'en-tête.

○ Si vous souhaitez exécuter une requête de sécurité générale, activez la case à cocher Ne pas formuler de
requêtes d'autorisation.
Lorsque vous procédez de la sorte, la plateforme de BI exécute une requête de sécurité générale pour
tous les objets dans les listes de contrôle d'accès où figure l'utilisateur ou groupe principal, quelles que
soient les autorisations dont dispose cet utilisateur ou groupe principal sur ces objets.
5. Dans la zone Contexte de la requête, spécifiez les zones de la CMC à interroger.

Business Intelligence Platform Administrator Guide

Setting Rights PUBLIC 145
 a. Activez une case à cocher en regard d'une liste.
b. Dans la liste, sélectionnez une zone de la CMC à interroger.
Si vous souhaitez interroger un emplacement plus spécifique (par exemple, un dossier particulier sous
Dossiers), cliquez sur Parcourir pour ouvrir la boîte de dialogue Rechercher le contexte de la requête. Dans
le volet Détails, sélectionnez le dossier à interroger, puis cliquez sur OK. Lorsque vous revenez à la boîte
de dialogue Requête de sécurité, le dossier que vous avez spécifié apparaît dans la zone située sous la
liste.
c. Sélectionnez Sous-objet de requête.
d. Répétez les étapes ci-dessus pour chaque zone de la CMC que vous souhaitez interroger.

Remarque
Vous pouvez interroger jusqu'à quatre zones.

6. Cliquez sur OK.

La requête de sécurité s'exécute et la zone Résultats de requête apparaît.
7. Pour visualiser les résultats de la requête, dans le volet Arborescence, développez Requêtes de sécurité, puis
cliquez sur un résultat de requête.

Conseil
Les résultats de requête sont répertoriés par nom d'utilisateur ou groupe principal.

Ces résultats sont affichés dans le volet Détails.

La zone Résultats de requête contient tous les résultats des requêtes de sécurité formulées au cours d'une
session utilisateur jusqu'à ce que cet utilisateur se déconnecte. Si vous souhaitez réexécuter la requête avec de
nouvelles spécifications, cliquez sur Actions Modifier la requête . Vous pouvez également réexécuter la
même requête en la sélectionnant, puis en cliquant sur Actions Réexécuter la requête . Si vous souhaitez
conserver les résultats de la requête de sécurité, cliquez sur Actions Exporter afin d'exporter les résultats
de la requête de sécurité sous la forme d'un fichier CSV.

7.3 Utilisation des niveaux d'accès

Vous pouvez effectuer les tâches suivantes avec les niveaux d'accès :

● Copier un niveau d'accès existant, apporter des modifications au niveau d'accès copié, le renommer et
l'enregistrer en tant que nouveau niveau d'accès.
● Créer, renommer et supprimer des niveaux d'accès.
● Modifier les droits d'un niveau d'accès.
● Suivre la relation entre les niveaux d'accès et d'autres objets dans le système.
● Répliquer et gérer les niveaux d'accès sur différents sites.
● Utiliser l'un des niveaux d'accès prédéfinis dans la plateforme de BI pour définir des droits rapidement et
uniformément pour de nombreux utilisateurs ou groupes principaux.

Le tableau suivant récapitule les droits contenus dans chaque niveau d'accès prédéfini.

Business Intelligence Platform Administrator Guide

146 PUBLIC Setting Rights
Table 13 : Niveaux d'accès prédéfinis
Niveau d'accès Description Droits impliqués

Visualiser Si ce niveau d'accès est défini au niveau ● Visualiser les objets

d'un dossier, un utilisateur ou groupe ● Afficher les instances du document
principal peut visualiser le dossier, les
objets qu'il contient et les instances gé­
nérées de chaque objet. S'il est défini au
niveau d'un objet, un utilisateur ou
groupe principal peut visualiser l'objet,
son historique et ses instances géné­
rées.

Planifier Un utilisateur ou groupe principal peut Droits du niveau d'accès Visualiser, plus :
générer des instances en planifiant l'exé­
● Planifier l'exécution du document
cution d'un objet avec une source de
● Définir les groupes de serveurs pour
données définie une seule fois ou de ma­
traiter les tâches
nière récurrente. L'utilisateur ou le
groupe principal peut visualiser, suppri­ ● Copier les objets dans un autre dos­
mer et suspendre la planification des sier
instances qui lui appartiennent. Il peut ● Planifier vers des destinations
également planifier l'exécution vers ● Imprimer les données du rapport
d'autres formats et destinations, définir ● Exporter les données du rapport
des paramètres et des informations de ● Modifier les objets appartenant à
connexion à la base de données, choisir l'utilisateur
les serveurs qui traiteront les travaux, ● Supprimer les instances apparte­
ajouter du contenu au dossier et copier nant à l'utilisateur
l'objet ou le dossier.
● Suspendre et reprendre les instan­
ces de document appartenant à
l'utilisateur

Visualiser à la demande Un utilisateur ou groupe principal peut Droits du niveau d'accès Planifier, plus :
actualiser les données à la demande par
● Actualiser les données du rapport
rapport à une source de données.

Contrôle total Un utilisateur ou groupe principal a le Tous les droits disponibles, notamment :
contrôle administratif total de l'objet.
● Ajouter les objets au dossier
● Modifier les objets
● Modifier les droits des utilisateurs
sur les objets
● Supprimer les objets
● Supprimer les instances

Le tableau suivant récapitule les droits requis pour effectuer certaines tâches sur des niveaux d'accès.

Tâche de niveau d'accès Droits requis

Création d'un niveau d'accès Droit Ajouter sur le dossier racine des niveaux d'accès

Visualisation de droits granulaires dans un niveau d'accès Droit Visualiser sur le niveau d'accès

Attribution d'un niveau d'accès à un utilisateur ou groupe Droit Visualiser sur le niveau d'accès
principal sur un objet Droit Utiliser le niveau d'accès pour affecter la sécurité sur
le niveau d'accès

Business Intelligence Platform Administrator Guide

Setting Rights PUBLIC 147
Tâche de niveau d'accès Droits requis

Droit Modifier les droits sur l'objet ou droit Modifier les

droits en toute sécurité sur l'objet et l'utilisateur ou
groupe principal.

Remarque
Les utilisateurs disposant du droit Modifier les droits en
toute sécurité souhaitant affecter un niveau d'accès à un
utilisateur ou groupe principal doivent disposer du même
niveau d'accès.

Modification d'un niveau d'accès Droits Visualiser et Modifier sur le niveau d'accès

Suppression d'un niveau d'accès Droits Visualiser et Supprimer sur le niveau d'accès

Clonage d'un niveau d'accès Droit Visualiser sur le niveau d'accès

Droit Copier sur le niveau d'accès
Droit Ajouter sur le dossier racine des niveaux d'accès

7.3.1 Choisir entre les niveaux d'accès Visualiser et Visualiser à la

demande

Le choix entre des données réelles ou enregistrées constitue l'une des décisions les plus importantes à prendre en
matière de gestion de rapports sur le Web. Quel que soit le choix effectué, la plateforme de BI affiche la première
page aussi rapidement que possible, de façon à ce que vous puissiez visualiser votre rapport tandis que le reste
des données est traité. Cette section explique la différence entre deux niveaux d'accès prédéfinis que vous pouvez
utiliser pour prendre votre décision.

Niveau d'accès Visualiser à la demande

Le reporting à la demande permet aux utilisateurs d'accéder en temps réel aux données stockées sur le serveur
de base de données. Les données réelles permettent aux utilisateurs d'accéder aux toutes dernières informations
à la seconde près. Par exemple, si les responsables d'un centre de distribution de taille importante doivent
connaître la situation de leur stock de façon continue, le reporting à partir des données réelles est la meilleure
façon de procéder pour leur procurer les informations dont ils ont besoin.

Toutefois, avant de fournir des données réelles pour tous les rapports, vous devez décider s'il est souhaitable que
tous les utilisateurs sollicitent sans arrêt le serveur de base de données. Si les données ne sont pas appelées à
changer constamment, toutes ces requêtes envoyées à la base de données n'auront pour effet que d'accroître le
trafic sur le réseau et de monopoliser les ressources du serveur. Dans ce cas, il est souvent préférable de planifier
les rapports à intervalles réguliers afin que les utilisateurs puissent toujours visualiser des données récentes
(dans des instances de rapport) sans solliciter le serveur de base de données.

Les utilisateurs doivent disposer d'un accès de type Visualiser à la demande pour pouvoir actualiser les rapports
par rapport aux informations de la base de données.

Business Intelligence Platform Administrator Guide

148 PUBLIC Setting Rights
Niveau d'accès Visualiser

Pour réduire le trafic réseau et le nombre d'accès aux serveurs de base de données, vous pouvez planifier
l'exécution des rapports à des heures spécifiées. Une fois le rapport exécuté, les utilisateurs peuvent afficher
l'instance du rapport selon leurs besoins, sans effectuer d'accès supplémentaires à la base de données.

Les instances de rapport permettent de traiter les données qui ne sont pas souvent mises à jour. Lorsque les
utilisateurs parcourent des instances de rapport et explorent en avant les informations détaillées des colonnes ou
des diagrammes, ils n'accèdent pas directement au serveur de base de données, mais aux données enregistrées.
Par conséquent, les rapports contenant des données enregistrées permettent non seulement de réduire le
transfert de données sur le réseau, mais aussi d'alléger la charge de travail du serveur de base de données.

Par exemple, si votre base de données des ventes est mise à jour quotidiennement, vous pouvez exécuter le
rapport selon une planification similaire. Vos représentants commerciaux ont ainsi toujours accès aux données
les plus à jour, mais ne sollicitent pas systématiquement la base de données chaque fois qu'ils ouvrent un rapport.

Pour pouvoir afficher les instances de rapport, les utilisateurs ont uniquement besoin d'un accès de type
Visualiser.

7.3.2 Pour copier un niveau d'accès existant

Voici le meilleur moyen de créer un niveau d'accès qui diffère peu de l'un des niveaux d'accès existants.

1. Accédez à la zone Niveaux d'accès.

2. Dans le volet Détails, sélectionnez un niveau d'accès.

Conseil
Sélectionnez un niveau d'accès contenant des droits similaires à ceux que vous souhaitez attribuez à votre
niveau d'accès.

3. Cliquez sur Organiser Copier .

Une copie du niveau d'accès sélectionné apparaît dans le volet Détails.

7.3.3 Pour créer un niveau d'accès

Voici le meilleur moyen de créer un niveau d'accès très différent des niveaux d'accès existants.

1. Accédez à la zone Niveaux d'accès.

2. Cliquez sur Gérer Nouveau Créer un niveau d'accès .

La boîte de dialogueCréer un niveau d'accès s'affiche.
3. Saisissez le titre et la description de votre nouveau niveau d'accès, puis cliquez sur OK.
Vous revenez à la zone Niveaux d'accès et le nouveau niveau d'accès apparaît dans le volet Détails.

Business Intelligence Platform Administrator Guide

Setting Rights PUBLIC 149
7.3.4 Pour renommer un niveau d'accès

1. Dans la zone Niveaux d'accès du volet Détails, sélectionnez le niveau d'accès que vous souhaitez renommer.

2. Cliquez sur Gérer Propriétés .

La boîte de dialogue Propriétés s'affiche.
3. Dans le champ Titre, saisissez le nom du niveau d'accès, puis cliquez sur Enregistrer et fermer.
Vous revenez à la zone Niveaux d'accès.

7.3.5 Pour supprimer un niveau d'accès

1. Dans la zone Niveaux d'accès, dans le voletDétails, sélectionnez le niveau d'accès à supprimer.

2. Cliquez sur Gérer Supprimer un niveau d'accès .

Remarque
Vous ne pouvez pas supprimer de niveaux d'accès prédéfinis.

Une boîte de dialogue contenant des informations sur les objets auxquels ce niveau d'accès s'applique
s'affiche. Si vous ne souhaitez pas supprimer ce niveau d'accès, cliquez sur Annuler pour fermer la boîte de
dialogue.
3. Cliquez sur Supprimer.
Le niveau d'accès est supprimé et vous revenez à la zone Niveaux d'accès.

7.3.6 Pour modifier les droits d'un niveau d'accès

Pour définir les droits d'un niveau d'accès, vous devez d'abord définir les droits globaux généraux qui s'appliquent
à tous les objets quels que soient leur type, puis spécifier dans quels cas remplacer les paramètres généraux en
fonction du type spécifique de l'objet.

1. Dans la zone Niveaux d'accès, dans le volet Détails, sélectionnez le niveau d'accès pour lequel vous souhaitez
modifier les droits d'accès.

2. Cliquez sur Actions Droits inclus .

La boîte de dialogue Droits inclus apparaît et affiche la liste des droits effectifs.
3. Cliquez sur Ajouter/Supprimer des droits.

Business Intelligence Platform Administrator Guide

150 PUBLIC Setting Rights
 La boîte de dialogue Droits inclus affiche les ensembles de droits du niveau d'accès figurant dans la liste de
navigation. La section Droits globaux généraux est développée par défaut.
4. Définissez les droits globaux généraux.
Chaque droit peut avoir le statut Accordé, Refusé ou Non spécifié. Vous pouvez également spécifier si ce droit
doit être appliqué à l'objet uniquement, à ses sous-objets uniquement, ou aux deux.
5. Pour définir des droits en fonction du type pour le niveau d'accès, cliquez sur l'ensemble de droits dans la liste
de navigation, puis cliquez sur le sous-ensemble qui s'applique au type d'objet dont vous voulez définir les
droits.
6. Une fois l'opération terminée, cliquez sur OK.
Vous revenez alors à la liste des droits effectifs.

7.3.7 Suivi de la relation entre niveaux d'accès et objets

Avant de modifier ou de supprimer un niveau d'accès, il est important de confirmer que toute modification
apportée au niveau d'accès n'affectera pas de façon négative les objets de la CMC. Pour ce faire, exécutez une
requête de relation sur le niveau d'accès.

Les requêtes de relation s'avèrent utiles pour la gestion des droits d'accès, étant donné qu'elles vous permettent
de voir les objets affectés par un niveau d'accès depuis un emplacement pratique. Imaginez une situation dans
laquelle une société restructure son organisation et fusionne deux services, le service A et le service B, dans un
service C. L'administrateur décide de supprimer les niveaux d'accès pour les services A et B car ces services
n'existent plus. L'administrateur exécute des requêtes de relation pour les deux niveaux d'accès avant de les
supprimer. Dans la zone Résultats de requête, l'administrateur peut voir les objets qui seront affectés si
l'administrateur supprime les niveaux d'accès. Le volet Détails indique également à l'administrateur
l'emplacement des objets dans la CMC si les droits appliqués à ces objets doivent être modifiés avant que les
niveaux d'accès ne soient supprimés.

Business Intelligence Platform Administrator Guide

Setting Rights PUBLIC 151
 Remarque
Pour visualiser la liste des objets affectés, vous devez posséder les droits Visualiser sur ces objets.

Remarque
Les résultats d'une requête de relation pour un niveau d'accès renvoient uniquement les objets pour lesquels le
niveau d'accès est explicitement affecté. Si un objet utilise un niveau d'accès en raison de règles d'héritage, il
ne figure pas dans les résultats de la requête.

7.3.8 Gestion des niveaux d'accès sur différents sites

Les niveaux d'accès sont l'un des objets que vous pouvez répliquer depuis un site d'origine vers des sites de
destination. Vous pouvez choisir de répliquer des niveaux d'accès s'ils apparaissent dans la liste de contrôle
d'accès d'un objet de réplication. Par exemple, si un utilisateur ou un groupe principal reçoit un niveau d'accès A
sur un rapport Crystal et que ce rapport est répliqué sur d'autres sites, le niveau d'accès A est également répliqué.

Remarque
S'il existe un niveau d'accès du même nom sur le site de destination, la réplication du niveau d'accès échoue.
L'administrateur du site de destination ou vous-même devez renommer un des niveaux d'accès avant la
réplication.

Après la réplication d'un niveaux d'accès sur différents sites, gardez en mémoire les remarques de cette section
relatives à l'administration.

Modification des niveaux d'accès répliqués sur le site d'origine

Si un niveau d'accès répliqué est modifié sur le site d'origine, le niveau d'accès sur le site de destination sera mis à
jour lors de la prochaine exécution planifiée de la réplication. Dans les scénarios de réplication bidirectionnelle, si
vous modifiez un niveau d'accès répliqué sur le site de destination, le niveau d'accès sur le site d'origine est
également modifié.

Remarque
Assurez-vous que les modifications d'un niveau d'accès sur un site n'affectent pas négativement des objets sur
d'autres sites. Contactez les administrateurs du site et conseillez-leur d'exécuter des requêtes de relation pour
le niveau d'accès répliqué avant que vous n'apportiez des modifications.

Business Intelligence Platform Administrator Guide

152 PUBLIC Setting Rights
Modification des niveaux d'accès répliqués sur le site de destination

Remarque
Cela s'applique à la réplication unidirectionnelle uniquement.

Toute modification apportée aux niveaux d'accès répliqués sur un site de destination n'est pas appliquée sur le
site d'origine. Par exemple, un administrateur de site de destination peut accorder le droit de planifier les rapports
Crystal appartenant au niveau d'accès répliqué même si ce droit a été refusé sur le site d'origine. Par conséquent,
même si les noms des niveaux d'accès et les noms des objets répliqués sont identiques, les droits effectifs dont
les utilisateurs ou groupes principaux disposent sur les objets peuvent différer d'un site de destination à l'autre.

Si le niveau d'accès répliqué diffère entre les sites d'origine et de destination, la différence de droits effectifs sera
détectée lors de la prochaine exécution planifiée d'un travail de réplication. Vous pouvez forcer le niveau d'accès
du site d'origine à remplacer le niveau d'accès du site de destination ou permettre la conservation du niveau
d'accès du site de destination. Toutefois, si vous ne forcez pas le niveau d'accès du site d'origine à remplacer le
niveau d'accès du site de destination, tous les objets en attente de réplication utilisant ce niveau d'accès ne
pourront pas être répliqués.

Pour empêcher les utilisateurs de modifier les niveaux d'accès répliqués sur le site de destination, vous pouvez
ajouter les utilisateurs du site de destination au niveau d'accès en tant qu'utilisateurs principaux et leur accorder
uniquement le droit Visualiser. Ainsi, les utilisateurs du site de destination peuvent visualiser le niveau d'accès,
mais ne sont pas en mesure de modifier la configuration des droits ou de l'affecter à d'autres utilisateurs.

Informations associées

Fédération [page 862]

Suivi de la relation entre niveaux d'accès et objets [page 151]

7.4 Rupture de l'héritage

L'héritage permet de gérer les paramètres de sécurité sans définir de droits pour chaque objet. Cependant, dans
certains cas, vous ne voudrez peut-être pas que les droits soient hérités. Par exemple, vous souhaiterez peut-être
personnaliser les droits pour chaque objet. Vous pouvez désactiver l'héritage pour un utilisateur ou groupe
principal dans une liste de contrôle d'accès d'un objet. Dans ce cas, vous pouvez choisir de désactiver l'héritage
du groupe, l'héritage du dossier, ou les deux.

Remarque
Lorsque l'héritage est rompu, il l'est pour tous les droits. Il n'est pas possible de désactiver l'héritage pour
certains droits uniquement et pas pour d'autres.

Dans le diagramme « Rupture de l'héritage », l'héritage de groupe et l'héritage de dossier sont tous deux activés à
l'origine. L'utilisateur rouge hérite des droits 1 et 5 accordés, des droits 2, 3 et 4 non spécifiés et du droit 6
explicitement refusé. Ces droits, définis au niveau du dossier pour le groupe, signifient que l'utilisateur rouge, ainsi

Business Intelligence Platform Administrator Guide

Setting Rights PUBLIC 153
que chaque autre membre du groupe, dispose de ces droits sur les objets du dossier A et B. Si l'héritage est
rompu au niveau du dossier, l'ensemble de droits dont l'utilisateur rouge dispose sur les objets de ce dossier est
annulé jusqu'à ce qu'un administrateur lui affecte de nouveaux droits.

Figure 9 : Rupture de l'héritage

7.4.1 Désactiver l'héritage

Cette procédure vous permet de désactiver l'héritage de groupe ou de dossier, ou les deux, pour un utilisateur ou
un groupe principal sur la liste de contrôle d'accès d'un objet.

1. Sélectionnez l'objet pour lequel vous souhaitez désactiver l'héritage.

2. Cliquez sur Gérer Sécurité de l'utilisateur .

La boîte de dialogue Sécurité de l'utilisateur s'affiche.
3. Sélectionnez l'utilisateur ou le groupe principal pour lequel vous souhaitez désactiver l'héritage, puis cliquez
sur Affecter la sécurité.
La boîte de dialogue Affecter la sécurité s'affiche.
4. Configurez vos paramètres d'héritage.

○ Si vous souhaitez désactiver l'héritage de groupe (droits dont l'utilisateur ou le groupe principal hérite de
son appartenance au groupe), désactivez la case à cocher Hériter du groupe parent.

Business Intelligence Platform Administrator Guide

154 PUBLIC Setting Rights
 ○ Si vous souhaitez désactiver l'héritage de dossier (paramètres de droits dont l'objet hérite du dossier),
désactivez la case à cocher Hériter du dossier parent.
5. Cliquez sur OK.

7.5 Utilisation des droits pour déléguer l'administration

Les droits vous permettent non seulement de contrôler l'accès aux objets et aux paramètres, mais également de
répartir les tâches administratives entre les divers groupes fonctionnels de votre organisation. Par exemple, vous
pouvez souhaiter que les personnes de différents services gèrent leurs propres utilisateurs et groupes. Vous
pouvez également être dans la situation où un administrateur assure la gestion de haut niveau de la plateforme de
BI mais où vous souhaitez que la totalité de la gestion des serveurs soit assurée par le personnel du service
informatique.

En supposant que votre structure de groupe et votre structure de dossier s'alignent sur votre structure de
sécurité de l'administration déléguée, vous devez accorder à votre administrateur délégué des droits sur
l'intégralité des groupes d'utilisateurs, mais vous devez lui accorder des droits inférieurs aux droits de contrôle
total sur les utilisateurs qu'il contrôle. Par exemple, vous ne voudrez peut-être pas que l'administrateur délégué
modifie les attributs des utilisateurs ou qu'il les réaffecte à des groupes différents.

Remarque
Les migrations d'objet sont mieux exécutées par des membres du groupe d'administrateurs, en particulier du
groupe d'utilisateurs Administrateur. Pour migrer un objet, il se peut qu'un grand nombre d'objets liés doivent
également être migrés. Dans le cas d'un compte administrateur délégué, il ne sera peut-être pas possible
d'obtenir les droits de sécurité requis pour l'ensemble des objets.

Le tableau « Droits des administrateurs délégués » récapitule les droits requis pour que les administrateurs
délégués effectuent les actions courantes.

Table 14 : Droits des administrateurs délégués

Action de l'administrateur délégué Droits requis par l'administrateur délégué

Créer des utilisateurs Droit Ajouter sur le dossier Utilisateurs de niveau supérieur

Créer des groupes Droit Ajouter sur le dossier Groupes d'utilisateurs de niveau
supérieur

Supprimer les groupes contrôlés, ainsi que les utilisateurs in­ Droit Supprimer sur les groupes concernés
dividuels appartenant à ces groupes

Supprimer uniquement les utilisateurs créés par l'administra­ Droit Supprimer par le propriétaire sur le dossier Utilisateurs
teur délégué de niveau supérieur

Supprimer uniquement les utilisateurs et les groupes créés Droit Supprimer par le propriétaire sur le dossier Groupes
par l'administrateur délégué d'utilisateurs de niveau supérieur

Business Intelligence Platform Administrator Guide

Setting Rights PUBLIC 155
Action de l'administrateur délégué Droits requis par l'administrateur délégué

Manipuler uniquement les utilisateurs créés par l'administra­ Droits Modifier par le propriétaire et Modifier en toute sécurité
teur délégué (y compris l'ajout de ces utilisateurs à ces grou­ les droits par le propriétaire sur le dossier Utilisateurs de ni­
pes) veau supérieur

Manipuler uniquement les groupes créés par l'administrateur Droits Modifier par le propriétaire et Modifier en toute sécurité
délégué (y compris l'ajout de ces utilisateurs à ces groupes) les droits par le propriétaire sur le dossier de niveau supérieur
Groupes d'utilisateurs

Modifier les mots de passe des utilisateurs dans leurs groupes Droit Modifier le mot de passe sur les groupes concernés
contrôlés

Modifier les mots de passe des utilisateurs ou groupes princi­ Droit Modifier le mot de passe par le propriétaire sur le dossier
paux créés par l'administrateur délégué uniquement Utilisateurs de niveau supérieur ou sur les groupes concernés

Remarque
La définition du droit Modifier le mot de passe par le
propriétaire sur un groupe ne prend effet sur un utilisateur
que lorsque vous ajoutez l'utilisateur au groupe concerné.

Modifier les noms d'utilisateur, les descriptions et les autres Droit Modifier sur les groupes concernés
attributs, et réaffecter les utilisateurs à d'autres groupes

Modifier les noms d'utilisateur, les descriptions et les autres Droit Modifier le mot de passe par le propriétaire sur le dossier
attributs, et réaffecter les utilisateurs à d'autres groupes, Utilisateurs de niveau supérieur ou sur les groupes concernés
mais uniquement pour les utilisateurs créés par l'administra­
teur délégué Remarque
La définition du droit Modifier par le propriétaire sur les
groupes concernés ne prend effet sur un utilisateur que
lorsque vous ajoutez l'utilisateur au groupe concerné.

7.5.1 Choisir entre les options « Modifier les droits des utilisateurs
sur les objets »

Lorsque vous configurez l'administration déléguée, accordez à votre administrateur délégué des droits sur les
utilisateurs ou groupes principaux qu'il va contrôler. Vous souhaiterez peut-être lui accorder tous les droits
(Contrôle total) ; cependant, il est conseillé d'utiliser les paramètres Droits avancés pour refuser le droit Modifier
les droits et accorder à la place à votre administrateur délégué le droit Modifier en toute sécurité les droits. Vous
pouvez également accorder à votre administrateur le droit Modifier en toute sécurité les règles d'héritage des
droits au lieu du droit Modifier les règles d'héritage des droits. Les différences entre ces droits sont récapitulées ci-
après.

Business Intelligence Platform Administrator Guide

156 PUBLIC Setting Rights
Modifier les droits des utilisateurs sur les objets

Ce droit autorise un utilisateur à modifier tout droit de tout utilisateur sur cet objet. Par exemple, si l'utilisateur A
dispose des droits Visualiser les objets et Modifier les droits des utilisateurs sur les objets sur un objet, il peut
modifier les droits pour cet objet afin que lui-même ou tout autre utilisateur détienne le contrôle total de cet objet.

Modifier en toute sécurité les droits des utilisateurs sur les objets

Ce droit permet à un utilisateur d'accorder, de refuser ou d'annuler uniquement les droits qui lui sont déjà
accordés. Par exemple, si l'utilisateur A dispose des droits Visualiser et Modifier en toute sécurité les droits des
utilisateurs sur les objets, il ne peut pas s'octroyer de droits supplémentaires et peut uniquement accorder ou
refuser aux autres utilisateurs ces deux droits (Visualiser et Modifier en toute sécurité les droits des utilisateurs sur
les objets). De plus, l'utilisateur A peut uniquement modifier les droits des utilisateurs sur les objets pour lesquels
il dispose lui-même du droit de modification des droits en toute sécurité.

Les conditions dans lesquelles un utilisateur A peut modifier les droits de l'utilisateur B sur l'objet O sont les
suivantes :

● L'utilisateur A dispose du droit de modification des droits en toute sécurité sur l'objet O.
● Chaque droit ou niveau d'accès que l'utilisateur A modifie pour l'utilisateur B est accordé à l'utilisateur A lui-
même.
● L'utilisateur A dispose du droit de modification des droits en toute sécurité sur l'utilisateur B.
● Si un niveau d'accès est en cours d'affectation, l'utilisateur A dispose du droit Affecter un niveau d'accès sur le
niveau d'accès qui est modifié pour l'utilisateur B.

Le périmètre des droits peut limiter davantage les droits effectifs qu'un administrateur délégué peut affecter. Par
exemple, un administrateur délégué peut disposer de droits Modifier en toute sécurité et Modifier sur un dossier,
mais le périmètre de ces droits est limité au dossier uniquement et ne s'applique pas à ses sous-objets. En réalité,
l'administrateur délégué peut accorder uniquement le droit Modifier sur le dossier (mais non sur ses sous-objets)
et seulement avec un périmètre « Appliquer à l'objet ». Si l'administrateur délégué dispose du droit Modifier sur un
dossier avec un périmètre « Appliquer au sous-objet » uniquement, il peut accorder à d'autres utilisateurs ou
groupes principaux le droit Modifier avec les deux périmètres sur les sous-objets du dossier, mais sur le dossier
lui-même, il ne peut accorder que le droit Modifier avec un périmètre « Appliquer au sous-objet ».

En outre, la modification des droits sur les groupes par l'administrateur délégué sera limitée pour les autres
utilisateurs ou groupes principaux auxquels aucun droit Modifier en toute sécurité n'est appliqué. Cela est utile,
par exemple, lorsque deux administrateurs délégués sont responsables de l'affectation des droits à différents
groupes d'utilisateurs pour le même dossier, mais que vous ne voulez pas que l'un d'eux puisse refuser l'accès aux
groupes contrôlés par l'autre administrateur délégué. Le droit Modifier en toute sécurité les droits garantit cela,
étant donné que les administrateurs délégués n'auront généralement pas le droit Modifier en toute sécurité les
droits l'un sur l'autre.

Modifier en toute sécurité les règles d'héritage des droits

Ce droit permet à un administrateur délégué de modifier les règles d'héritage d'autres utilisateurs ou groupes
principaux sur les objets auxquels il peut accéder. Pour pouvoir modifier les règles d'héritage d'autres utilisateurs

Business Intelligence Platform Administrator Guide

Setting Rights PUBLIC 157
ou groupes principaux, un administrateur délégué doit disposer de ce droit sur l'objet et sur les comptes
utilisateur des utilisateurs ou groupes principaux.

7.5.2 Droits de propriétaire

Les droits de propriétaire sont les droits qui s'appliquent uniquement au propriétaire de l'objet pour lequel les
droits sont vérifiés. Sur la plateforme de BI, le propriétaire d'un objet est l'utilisateur ou le groupe principal qui a
créé l'objet. Si cet utilisateur ou groupe principal est supprimé du système, la propriété de l'objet revient à
l'administrateur.

Les droits de propriétaire permettent de gérer la sécurité liée à la propriété. Par exemple, vous souhaiterez peut-
être créer une hiérarchie de dossiers ou un dossier dans lequel divers utilisateurs peuvent créer et visualiser des
documents, mais uniquement modifier ou supprimer leurs propres documents. En outre, les droits de propriétaire
sont utiles pour permettre aux utilisateurs de manipuler les instances de rapports qu'ils créent, mais pas les
instances des autres. Dans le cas du niveau d'accès de planification, cela permet aux utilisateurs de modifier,
supprimer, suspendre et replanifier uniquement leurs propres instances.

Les droits de propriétaire fonctionnent de la même manière que les droits réguliers correspondants. Toutefois, les
droits de propriétaire ne sont appliqués que lorsque l'utilisateur ou groupe d'utilisateurs principal dispose des
droits de propriétaire mais que les droits réguliers lui sont refusés ou ne sont pas spécifiés.

7.6 Récapitulatif des recommandations concernant

l'administration des droits

Tenez compte des remarques suivantes relatives à l'administration des droits :

● Utilisez des niveaux d'accès partout où c'est possible. Ces ensembles de droits prédéfinis simplifient
l'administration en regroupant les droits liés aux besoins courants des utilisateurs.
● Définissez des droits et des niveaux d'accès sur les dossiers de niveau supérieur. L'activation de l'héritage
permet à ces droits d'être transmis à tout le système avec un minimum d'interventions administratives.
● Evitez de rompre l'héritage dans la mesure du possible. Vous pouvez ainsi réduire le temps nécessaire pour
sécuriser le contenu que vous avez ajouté à la plateforme de BI.
● Définissez des droits appropriés pour les utilisateurs et les groupes au niveau du dossier, puis publiez les
objets dans ce dossier. Par défaut, si des utilisateurs ou des groupes bénéficient de droits sur un dossier et
que vous publiez un objet dans ce dossier, ils hériteront des mêmes droits sur cet objet.
● Organisez les utilisateurs en groupes d'utilisateurs, affectez des droits et des niveaux d'accès à tout le groupe,
puis affectez des droits et des niveaux d'accès à des membres spécifiques si nécessaire.
● Créez des comptes Administrateur distincts pour chaque administrateur du système, puis ajoutez-les au
groupe Administrateurs afin d'améliorer la responsabilité des modifications apportées au système.
● Par défaut, le groupe Tout le monde dispose de droits très limités sur les dossiers de niveau supérieur de la
plateforme de BI. Après l'installation, il est recommandé de vérifier les droits des membres du groupe Tout le
monde et d'accorder les droits de sécurité en fonction.

Business Intelligence Platform Administrator Guide

158 PUBLIC Setting Rights
8 Securing the BI Platform

8.1 Présentation de la sécurité

Cette section décrit les différentes manières dont la plateforme de BI aborde les questions de sécurité de
l'entreprise, fournissant ainsi aux administrateurs et aux architectes système des réponses aux questions qu'ils
se posent le plus souvent à ce sujet.

L'architecture de la plateforme de BI permet de traiter les nombreuses préoccupations auxquelles se trouvent

aujourd'hui confrontées les entreprises et les organisations en termes de sécurité. La version actuelle prend en
charge des fonctionnalités telles que la sécurité distribuée, la connexion unique, la sécurité d'accès aux
ressources, les droits d'accès aux objets granulaires et les authentifications tierces afin de se prémunir contre les
accès non autorisés.

Sachant que la plateforme de BI offre la structure adaptée à un nombre croissant de composants de la famille
Enterprise des produits SAP BusinessObjects, cette section expose en détail les fonctions de sécurité et leur
fonctionnalité associée pour montrer comment la structure même renforce et garantit la sécurité. Ce chapitre ne
fournit pas de détails de procédure explicites, mais se focalise plutôt sur des informations conceptuelles et fournit
des liens vers des procédures clé.

Après une brève introduction aux concepts de sécurité du système, des renseignements sont fournis pour les
rubriques suivantes :

● Utilisation du cryptage et des modes de sécurité du traitement des données pour protéger les données.
● Configuration SSL (Secure Sockets Layer) pour les déploiements de la plateforme de Business Intelligence.
● Instructions de configuration et de gestion des pare-feu pour la plateforme de BI.
● Configuration des serveurs proxy inverses

8.2 Planification de récupération d'urgence

Certaines étapes doivent être suivies pour protéger la détention de la plateforme de BI par votre entreprise et
assurer une continuité maximale du fonctionnement des lignes d'activité dans le cas d'une urgence. Cette section
fournit des instructions pour ébaucher un plan de récupération d'urgence pour votre entreprise.

Instructions générales

● Effectuez des sauvegardes système régulières et envoyez des copies de certains supports de sauvegarde
hors site si besoin.
● Stockez de manière sûre tous les supports logiciels.
● Stockez de manière sûre toute la documentation de licence.

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 159
Instructions spécifiques

Il existe trois ressources système requérant une attention particulière en termes de planification de récupération
d'urgence :

● Contenu des serveurs de référentiels de fichiers : cela comprend le contenu propriétaire tel que les rapports.
Vous devez sauvegarder régulièrement ce contenu ; en cas d'accident, il n'existe aucun moyen de régénérer
un tel contenu sans avoir mis en place un processus de sauvegarde régulière.
● La base de données système utilisée par le CMS : cette ressource contient toutes les métadonnées
essentielles à votre déploiement, telles que les informations utilisateur, les rapports et autres informations
sensibles propres à votre entreprise.
● Le fichier de clé des informations de base de données (fichier .dbinfo) : cette ressource contient la clé maître
de la base de données système. Si, pour une raison quelconque, cette clé n'est pas disponible, vous ne serez
pas en mesure d'accéder à la base de données système. Il est vivement recommandé de stocker le mot de
passe pour cette ressource dans un emplacement sûr et connu après le déploiement de la plateforme de BI.
Sans le mot de passe, vous ne serez pas en mesure de régénérer le fichier et vous perdrez par conséquent
l'accès à la base de données système.

8.3 Recommandations générales pour la sécurité de votre

déploiement

Les instructions suivantes concernent la sécurisation de vos déploiements de la plateforme de BI.

● Utilisez les pare-feu pour protéger la communication entre le CMS et d'autres composants du système. Si
possible, masquez toujours votre CMS derrière le pare-feu. Tout au moins, assurez-vous que la base de
données système est sécurisée derrière le pare-feu.
● Ajoutez un cryptage supplémentaire aux File Repository Servers. Une fois que fonctionne le système, le
contenu propriétaire est stocké sur ces serveurs. Ajoutez un cryptage supplémentaire par le biais du système
d'exploitation ou utilisez un outil tiers.
● Déployez les serveurs proxy inverses devant les serveurs d'applications Web afin de les masquer derrière une
adresse IP unique. Cette configuration permet d'acheminer tout le trafic Internet adressé aux serveurs
d'applications Web privés via le serveur proxy inverse, masquant ainsi les adresses IP privées.
● Appliquez de manière stricte les stratégies de l'entreprise en matière de mots de passe . Assurez-vous que les
mots de passe des utilisateurs sont changés régulièrement.
● Si vous avez choisi d'installer la base de données système et le serveur d'applications Web fournis avec la
plateforme de BI, consultez la documentation correspondante et assurez-vous que ces composants sont
déployés avec les configurations de sécurité adéquates.
● Utilisez le protocole SSL (Secure Sockets Layer) pour toutes les communications réseau établies entre
clients et serveurs au sein de votre déploiement.
● Assurez-vous que le répertoire et les sous-répertoires d'installation de la plateforme sont sécurisés. Des
données temporaires de haute importance peuvent être stockées dans ces répertoires durant le
fonctionnement du système.
● L'accès à la CMC (Central Management Console) doit être limité à l'accès local uniquement. Pour en savoir
plus sur les options de déploiement pour la CMC, voir le Guide de déploiement d'applications Web de la
plateforme SAP BusinessObjects Business Intelligence.

Business Intelligence Platform Administrator Guide

160 PUBLIC Securing the BI Platform
 ● Par défaut, les messages d'erreur Web Intelligence incluent des informations sur le schéma de la base de
données. Pour afficher les messages d'erreur sans ces informations, exécutez les étapes suivantes :
1. Ouvrez le fichier de configuration WebIContainer_ServerDescriptor.xml pour le modifier. Par
défaut, il se trouve à l'emplacement suivant : C:\Program Files (x86)\SAP BusinessObjects\SAP
BusinessObjects Enterprise XI 4.0\win32_x86\config.
2. Changez la valeur de ce paramètre en False : WebiParamDetailedDbErrorsEnabled = False.

Informations associées

Configuration du protocole SSL [page 186]

Restrictions relatives aux mots de passe [page 167]
Configuration de la sécurité pour les serveurs tiers fournis [page 161]

8.4 Configuration de la sécurité pour les serveurs tiers

fournis

Si vous avez choisi d'installer des composants de serveur tiers qui sont fournis avec la plateforme de BI, il est
recommandé d'accéder à la documentation concernant les composants fournis suivants et de la consulter :

● Sybase SQL Anywhere : pour en savoir plus sur la sécurisation de cette base de données système, voir http://
infocenter.sybase.com/help/index.jsp?topic=/com.sybase.help.sqlanywhere.12.0.0/dbadmin/da-part-
securing.html .
● Apache Tomcat : pour en savoir plus sur la sécurité de ce serveur d'applications Web, voir http://
tomcat.apache.org/ .

8.5 Relation de confiance active

Dans un environnement en réseau, une relation de confiance entre deux domaines est généralement une
connexion qui permet à un domaine de reconnaître les utilisateurs ayant été authentifiés par l'autre domaine. Tout
en garantissant la sécurité, la relation de confiance permet aux utilisateurs d'accéder aux ressources dans
plusieurs domaines sans avoir à fournir leurs références de connexion à chaque fois.

Dans l'environnement de la plateforme de BI, la relation de confiance active fonctionne de manière similaire pour
fournir à chaque utilisateur un accès ininterrompu aux ressources de la totalité du système. Une fois que
l'utilisateur a été authentifié et qu'il s'est vu accorder une session active, tous les autres composants de la
plateforme de BI peuvent traiter les requêtes et les actions de l'utilisateur sans demander de références de
connexion. En tant que telle, la relation de confiance fournit la base de la sécurité distribuée de la plateforme de
BI.

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 161
8.5.1 Jetons de connexion

Un jeton de connexion est une chaîne codée qui définit ses propres attributs d'utilisation et contient les
informations de session d'un utilisateur. Les attributs d'utilisation d'un jeton de connexion sont spécifiés lors de la
génération de ce dernier. Ces attributs permettent de placer des restrictions sur le jeton de connexion afin de
réduire le risque d'utilisation du jeton par des utilisateurs malveillants. Les attributs d'utilisation actuels du jeton
de connexion sont :

● Le nombre de minutes
Cet attribut restreint la durée de vie du jeton de connexion.
● Le nombre de connexions
Cet attribut restreint le nombre d'utilisations du jeton de connexion pour se connecter à la plateforme de BI.

Les deux attributs empêchent les utilisateurs malveillants d'accéder, sans autorisation, à la plateforme de BI avec
des jetons de connexion récupérés auprès d'utilisateurs légitimes.

Remarque
L'enregistrement d'un jeton de connexion dans un cookie peut représenter un risque potentiel pour la sécurité
si le réseau entre le navigateur et le serveur Web ou d'applications n'est pas sécurisé ; par exemple, si la
connexion est effectuée via un réseau public et n'utilise pas SSL ou l'authentification sécurisée. Il est conseillé
d'utiliser SSL (Secure Sockets Layer) pour réduire les risques de sécurité entre le navigateur et le serveur Web
ou d'applications.

Lorsque le cookie de connexion a été désactivé et que le serveur Web ou le navigateur Web expire, l'écran de
connexion s'affiche. Lorsque le cookie est activé et que le serveur ou le navigateur expire, l'utilisateur est
reconnecté automatiquement au système. Toutefois, les informations d'état étant liées à la session Web, l'état de
l'utilisateur est perdu. Par exemple, si l'utilisateur a développé une arborescence de navigation et sélectionné un
élément particulier, l'arborescence est réinitialisée.

Sur la plateforme de BI, les jetons de connexion sont activés par défaut sur le client Web, mais vous pouvez les
désactiver pour la zone de lancement BI. Lorsque vous désactivez les jetons de connexion dans le client, la
session utilisateur est limitée par le délai d'expiration du serveur Web ou du navigateur Web. Lorsque cette
session expire, l'utilisateur doit de nouveau se connecter à la plateforme de BI.

8.5.2 Système de ticket pour la sécurité distribuée

Les systèmes d'entreprise dédiés au service d'un grand nombre d'utilisateurs nécessitent généralement une
certaine forme de sécurité distribuée. Un système d'entreprise peut nécessiter une sécurité distribuée pour
prendre en charge des fonctions comme le transfert de confiance (la possibilité d'autoriser un autre composant à
agir au nom de l'utilisateur).

La plateforme de BI aborde la question de la sécurité distribuée en mettant en œuvre un système de ticket

(rappelant le système de ticket Kerberos). Le CMS accorde des tickets pour autoriser les composants à exécuter
des actions au nom d'un utilisateur particulier. Sur la plateforme de BI, le ticket est appelé jeton de connexion.

Ce jeton de connexion est le jeton le plus couramment utilisé sur le Web. Lors de la première authentification des
utilisateurs par la plateforme de BI, le CMS leur fournit des jetons de connexion. Le navigateur Web de l'utilisateur
met en cache ce jeton de connexion. Lorsque l'utilisateur effectue une nouvelle requête, d'autres composants de
la plateforme de BI peuvent lire le jeton de connexion à partir du navigateur Web de l'utilisateur.

Business Intelligence Platform Administrator Guide

162 PUBLIC Securing the BI Platform
8.6 Sessions et suivi de session

En général, une session est une connexion de type client-serveur qui permet à deux ordinateurs d'échanger des
informations. Le statut d'une session est constitué d'un ensemble de données qui décrivent les attributs de la
session, sa configuration ou son contenu. Lorsque vous établissez une connexion client-serveur sur le Web, la
nature du protocole HTTP limite la durée de chaque session à une seule page d'informations ; par conséquent,
votre navigateur Web conserve le statut de chaque session en mémoire uniquement pendant la durée de
l'affichage de cette page Web unique. Dès que vous passez d'une page Web à une autre, le statut de la première
session est remplacé par le statut de la session suivante. Par conséquent, les sites et les applications Web doivent
d'une manière ou d'une autre stocker le statut d'une session s'ils doivent réutiliser leurs informations dans une
autre session.

La plateforme de BI utilise deux méthodes courantes pour stocker le statut d'une session :

● Cookies : Un cookie est un petit fichier texte qui stocke le statut d'une session côté client : le navigateur Web
de l'utilisateur met en cache le cookie pour une utilisation ultérieure. Le jeton de connexion de la plateforme
de BI illustre cette méthode.
● Variables de session : Une variable de session est un fragment de mémoire qui stocke le statut d'une session
côté serveur. Lorsque la plateforme de BI accorde à l'utilisateur une identité active sur le système, les
informations telles que le type d'authentification de l'utilisateur sont stockées dans une variable de session.
Tant que la session est maintenue, le système ne doit ni inviter l'utilisateur à saisir les informations une
deuxième fois, ni répéter une tâche nécessaire à l'exécution de la requête suivante.
Dans les déploiements Java, la session permet de prendre en charge les requêtes .jsp ; dans les
déploiements .NET, la session permet de prendre en charge les requêtes .aspx.

Remarque
L'idéal serait que le système préserve la variable de session tant que l'utilisateur reste actif sur le système. En
outre, pour garantir la sécurité et minimiser l'utilisation des ressources, le système devrait détruire la variable
de session dès que l'utilisateur a terminé de travailler sur le système. Mais, étant donné que l'interaction entre
un navigateur Web et un serveur Web peut être sans statut, il est parfois difficile de savoir à quel moment les
utilisateurs quittent le système, s'ils ne se déconnectent pas de manière explicite. Pour répondre à ce
problème, la plateforme de BI met en œuvre le suivi de session.

8.6.1 Suivi de session du CMS

Le CMS implémente un algorithme de suivi simple. Lorsqu'un utilisateur se connecte, il reçoit une session du
CMS, que le CMS conserve jusqu'à ce qu'il se déconnecte, ou que la variable de session du serveur d'applications
Web soit publiée.

La session du serveur d'applications Web est conçue pour aviser le CMS périodiquement qu'elle est toujours
active, de manière à conserver la session du CMS tant que la session du serveur d'applications Web existe. Si la
session du serveur d'applications Web ne parvient pas à communiquer avec le CMS pendant une durée de dix
minutes, le CMS détruit la session du CMS. Ceci prend en compte des scénarios dans lesquels les composants
côté client s'interrompent de manière irrégulière.

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 163
8.6.2 Gestion des sessions
Vous pouvez afficher et mettre fin à des sessions dans la CMC.

Vous pouvez afficher et terminer des sessions d'utilisateur dans la CMC (Central Management Console). Vous
pourrez par exemple afficher les utilisateurs qui utilisent plusieurs sessions ou mettre fin à des sessions qui
consomment trop de ressources système ou trop anciennes. Vous devrez peut-être également terminer des
sessions pour anticiper les temps d'arrêt du système ou les mises à niveau.

8.6.2.1 Affichage de la liste des sessions

Affichez des sessions dans la CMC.

Vous pouvez afficher une liste de sessions dans la CMC (Central Management Console).

1. Connectez-vous à la CMC en tant qu'administrateur.

2. Dans la zone Gérer, cliquez sur Sessions.

La liste des sessions utilisateur du cluster s'affiche. Vous pouvez cliquer sur les en-têtes de colonne pour trier la
liste par nom d'utilisateur, par nombre de sessions ouvertes ou par heures de connexion. Vous pouvez aussi
cliquer sur le nom d'utilisateur ou le nombre de sessions ou l'heure de connexion pour afficher les détails relatifs
aux sessions d'un utilisateur dans le volet inférieur.

8.6.2.2 Pour mettre fin à des sessions

Terminez des sessions dans la CMC.

Vous pouvez mettre fin à une ou plusieurs sessions.

1. Connectez-vous à la CMC en tant qu'administrateur.

2. Dans la zone Gérer, cliquez sur Sessions.
La liste des sessions utilisateur du cluster s'affiche.

Business Intelligence Platform Administrator Guide

164 PUBLIC Securing the BI Platform
 3. Cliquez sur un nom d'utilisateur ou un nombre de sessions ou une heure de connexion pour afficher les
sessions d'un utilisateur dans le volet inférieur.
4. Cliquez pour sélectionner une seule session, ou utilisez la combinaison de touches CTRL + clic pour
sélectionner plusieurs sessions.
5. Cliquez sur Terminer la session.

Remarque
La session Utilisateur est libérée dès que l'utilisateur ferme le navigateur.

Remarque
Pour terminer des sessions, vous devez disposer du droit « Modifier les objets » sur l'objet du CMS.

Remarque
Vous ne pouvez pas mettre fin à votre session d'administrateur actuelle.

8.7 Protection de l'environnement

La protection de l'environnement fait référence à la sécurité de tout l'environnement dans lequel communiquent
les composants client et serveur. Même si la popularité d'Internet et des systèmes de type Web ne cesse
d'augmenter grâce à leur souplesse d'utilisation et à la gamme de fonctionnalités qu'ils offrent, ils fonctionnent
néanmoins dans un environnement difficile à sécuriser. Lors du déploiement de la plateforme de BI, la protection
de l'environnement est divisée en deux zones de communication : du navigateur Web au serveur Web et du
serveur Web à la plateforme de BI.

8.7.1 Du navigateur Web au serveur Web

Lors du transfert de données entre le navigateur Web et le serveur Web, un certain degré de sécurité est
généralement requis. Les mesures de sécurité qui s'imposent impliquent deux tâches d'ordre général :

● S'assurer que la communication des données est sécurisée ;

● S'assurer que seuls les utilisateurs autorisés récupèrent des informations sur le serveur Web.

Remarque
Ces tâches sont généralement prises en charge par les serveurs Web grâce à divers systèmes de sécurité, qu'il
s'agisse du protocole SSL (Secure Sockets Layer) ou d'autres mécanismes similaires. Il est conseillé d'utiliser
SSL pour réduire les risques de sécurité entre le navigateur et le serveur Web ou d'applications.

Vous devez sécuriser la communication entre le navigateur Web et le serveur Web indépendamment de la
plateforme de BI. Pour plus d'informations sur la sécurisation des connexions client, consultez la documentation
de votre serveur Web.

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 165
8.7.2 Serveur Web vers la plateforme de BI

Les pare-feu sont communément utilisés pour sécuriser le domaine de communication entre le serveur Web et le
reste de l'intranet d'entreprise (y compris la plateforme de BI). La plateforme prend en charge les pare-feu
appliquant un filtrage des adresses IP ou une traduction des adresses réseau statiques (NAT). Les
environnements pris en charge peuvent impliquer plusieurs pare-feu, serveurs Web ou serveurs d'applications.

8.8 Audit des modifications de la configuration de sécurité

Les modifications apportées aux configurations de sécurité par défaut pour les éléments suivants ne seront pas
auditées par la plateforme de BI :

● Fichiers de propriétés pour les applications Web (BOE, services Web)

● TrustedPrincipal.conf
● Personnalisation réalisée sur la zone de lancement BI et OpenDocument

En règle générale, les modifications de configuration de sécurité effectuées en dehors de la CMC ne sont pas
auditées. Cela s'applique aussi aux modifications effectuées par le biais du Central Configuration Manager (CCM).
Les modifications validées par le biais de la CMC peuvent être auditées.

8.9 Audit de l'activité Web

La plateforme de BI vous permet de maîtriser votre système en enregistrant l'activité Web et en vous permettant
d'en examiner les détails et de les contrôler. Le serveur d'applications Web permet de sélectionner les attributs
Web tels que l'heure, la date, l'adresse IP, le numéro de port, etc. à enregistrer. Les données d'audit sont
consignées sur disque et stockées dans des fichiers texte séparés par des virgules, de manière à pouvoir vous y
reporter facilement ou les importer dans d'autres applications.

8.9.1 Protection contre les tentatives de connexion

malveillantes

Même si un système est sécurisé, il existe souvent un emplacement vulnérable à attaquer : l'emplacement à partir
duquel les utilisateurs se connectent au système. Il est quasiment impossible de protéger entièrement cet
emplacement, car le processus consistant à deviner tout simplement un nom d'utilisateur et un mot de passe
valides reste une manière envisageable de "craquer" le système.

La plateforme de BI met en œuvre plusieurs techniques pour réduire la probabilité qu'un utilisateur malveillant
parvienne à accéder au système. Les différentes restrictions énumérées ci-dessous s'appliquent uniquement aux
comptes Enterprise ; elles ne s'appliquent pas aux comptes que vous avez mappés à une base de données
d'utilisateurs externe (LDAP ou Windows AD). Toutefois, et de manière générale, votre système externe vous
permettra de placer des restrictions similaires sur les comptes externes.

Business Intelligence Platform Administrator Guide

166 PUBLIC Securing the BI Platform
8.9.2 Restrictions relatives aux mots de passe

Les restrictions relatives au mot de passe incitent les utilisateurs appliquant l'authentification Entreprise par
défaut à créer des mots de passe relativement complexes. Vous pouvez activer les options suivantes :

1. Appliquer des mots de passe à casse mixte

Cette option permet de s'assurer que les mots de passe contiennent au moins un caractère en majuscule et
un caractère en minuscule. Cette option est cochée par défaut à moins que l'Administrateur ne le modifie.
2. Appliquer les chiffres dans les mots de passe
Cette option permet de vérifier que les mots de passe comportent au moins un caractère numérique.
3. Appliquer les caractères spéciaux dans les mots de passe
Cette option permet de vérifier que les mots de passe comportent au moins un caractère spécial.

En exigeant une complexité minimale dans le choix d'un mot de passe, vous réduisez les chances qu'un utilisateur
malveillant devine le mot de passe valide d'un autre utilisateur.

8.9.3 Restrictions relatives aux connexions

Les restrictions relatives aux connexions servent principalement à éviter les attaques à l'aide de dictionnaires
(méthode par laquelle un utilisateur malveillant obtient un nom d'utilisateur valide et tente de retrouver le mot de
passe correspondant en essayant chaque mot du dictionnaire). Grâce à la vitesse du matériel moderne, des
programmes nuisibles peuvent deviner des millions de mots de passe à la minute. Pour éviter les attaques à l'aide
du dictionnaire, la plateforme de BI dispose d'un mécanisme interne qui impose un délai (0,5 à 1 seconde) entre
chaque tentative de connexion. En outre, la plateforme fournit plusieurs options personnalisables permettant de
réduire les risques de ce type d'attaque :

● Désactiver le compte après N échecs de connexion

● Réinitialiser le compte dont la connexion a échoué après N minute(s)
● Réactiver le compte après N minute(s)

8.9.4 Restrictions relatives aux utilisateurs

Les restrictions relatives au mot de passe incitent les utilisateurs appliquant l'authentification Entreprise par
défaut à créer régulièrement de nouveaux mots de passe. Vous pouvez activer les options suivantes :

● Le mot de passe doit être modifié tous les N jour(s)

● Les N derniers mots de passe ne peuvent être réutilisés
● Le mot de passe peut être modifié après N minute(s)

Ces options sont pratiques à bien des égards. Premièrement, un utilisateur malveillant qui tente une attaque à
l'aide d'un dictionnaire devra recommencer chaque fois qu'un mot de passe est modifié. En outre, étant donné
que les modifications d'un mot de passe sont basées sur l'heure de la première connexion de chaque utilisateur,
l'utilisateur malveillant ne peut pas facilement déterminer à quel moment un mot de passe particulier est modifié.
De plus, même si un utilisateur malveillant devine ou obtient de quelque manière que ce soit les références d'un
autre d'utilisateur, celles-ci ne seront valides que pour une durée limitée.

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 167
8.9.5 Restrictions relatives au compte Guest

La plateforme de BI prend en charge la connexion unique anonyme pour le compte Guest. Par conséquent,
lorsque les utilisateurs se connectent à la plateforme de BI sans spécifier de nom d'utilisateur ni de mot de passe,
le système les connecte automatiquement sous le compte Guest. Si vous affectez un mot de passe sécurisé à un
compte "Guest", ou si vous désactivez entièrement le compte "Guest", vous désactivez par la même occasion ce
fonctionnement par défaut.

8.10 Extensions de traitement

La plateforme de BI vous permet de renforcer la sécurité de votre environnement de reporting grâce à l'utilisation
d'extensions de traitement personnalisées. Une extension de traitement est une bibliothèque de codes chargée
dynamiquement qui applique une logique d'entreprise à des requêtes particulières de visualisation ou de
planification sur la plateforme de BI avant qu'elles ne soient traitées par le système.

A travers sa prise en charge des extensions de traitement, le SDK d'administration de la plateforme de BI livre
essentiellement un "descripteur" qui permet aux développeurs d'intercepter la requête. Les développeurs
peuvent ensuite ajouter des formules de sélection à la requête avant que le rapport ne soit traité.

L'exemple standard est représenté par une extension de traitement de rapport qui renforce la sécurité au niveau
ligne. Ce type de sécurité restreint l'accès aux données par ligne dans une ou plusieurs tables de base de données.
Le développeur écrit une bibliothèque chargée dynamiquement qui intercepte les requêtes de visualisation ou de
planification d'un rapport (avant que les requêtes ne soient traitées par un Job Server, un serveur de traitement
ou un Report Application Server). Le code du développeur détermine d'abord le propriétaire du traitement, puis il
recherche les droits d'accès aux données de l'utilisateur dans un système tiers. Le code génère ensuite et ajoute
une formule de sélection d'enregistrements au rapport afin de limiter la quantité de données renvoyées par la
base de données. Dans ce cas, l'extension de traitement sert à intégrer une sécurité de niveau ligne personnalisée
dans l'environnement de la plateforme de BI.

En activant des extensions de traitement, vous configurez les composants serveur de la plateforme de BI
appropriés pour charger dynamiquement vos extensions de traitement au moment de l'exécution. Le SDK
contient une API entièrement documentée que les développeurs peuvent utiliser pour écrire des extensions de
traitement. Pour en savoir plus, voir la documentation pour développeur figurant sur la distribution de votre
produit.

8.11 Interface d'analyse anti-virus

Vous pouvez valider différents types de fichiers (Adobe Acrobat, Microsoft Excel, Microsoft Word, Microsoft
Powerpoint, Lumira, Crystal Reports, Web Intelligence, etc.) dans la plateforme de BI via les applications de la
CMC, la zone de lancement BI, les services Web de type REST et le SDK personnalisé. Ces fichiers sont soumis à
une vérification de taille (pour s'assurer que la taille de fichier n'est pas nulle) et à une vérification d'autorisation
sur le répertoire de destination. Avec l'introduction de l'interface d'analyse anti-virus dans BI 4.2 SP4, les fichiers
que vous validez dans la plateforme de BI sont également soumis à une analyse anti-virus pour s'assurer que le
contenu de ces fichiers est exempt de virus et d'infection.

Business Intelligence Platform Administrator Guide

168 PUBLIC Securing the BI Platform
Les fichiers sont soumis à une analyse anti-virus lorsque vous effectuez les opérations suivantes :

● Ajout d'un fichier

● Enregistrement d'un nouveau document
● Copie d'un document
● Envoi d'un document vers une boîte de réception BI
● Création d'une instance de document
● Opération quelconque qui valide un nouveau fichier dans les File Repository Servers.

Remarque
Seuls les fichiers récemment validés dans la plateforme de BI dans BI 4.2 SP4 (après activation de l'analyse
anti-virus) sont soumis à une analyse anti-virus.

8.11.1 Activation de l'analyse anti-virus

Vous pouvez activer l'analyse anti-virus pour les fichiers validés dans la plateforme de BI du Input File Repository
Server et du Output File Repository Server.

Vous avez téléchargé la bibliothèque de l'adaptateur de l'analyse anti-virus (VSA) à partir d'un fournisseur certifié
SAP. Pour obtenir une liste de fournisseurs certifiés SAP, consultez http://global.sap.com/community/ebook/
2013_09_adpd/enEN/search.html#search=NW-VSI .

Remarque
Si vous avez besoin d'aide pour une nouvelle plateforme ou un nouveau fournisseur, contactez les fournisseurs
à ce propos.

Pour activer l'analyse anti-virus dans l'Input File Repository Server, effectuez les étapes suivantes :

1. Connectez-vous à la CMC.

2. Accédez à Serveurs Liste des serveurs .

3. Cliquez avec le bouton droit de la souris sur l'Input File Repository Server puis sélectionnez Propriétés dans la
liste déroulante.

La fenêtre Propriétés s'affiche.

4. Dans la section Service de stockage des fichiers d'entrée, cochez la case Activer l'analyse anti-virus.
5. Dans le champ Emplacement du fichier de l'adaptateur de l'analyse anti-virus, saisissez le chemin absolu
d'accès au fichier de bibliothèque de l'adaptateur de l'analyse anti-virus.
6. Cliquez sur Enregistrer et fermer.

Remarque
○ Par défaut, l'analyse anti-virus est désactivée pour tous les fichiers validés dans la plateforme de BI
dans BI 4.2 SP4.
○ Vous pouvez activer l'analyse anti-virus à l'aide de GUI ou CLI. L'argument de ligne de commande que
vous devez fournir dans les File Repository Servers pour l'activation de l'analyse anti-virus est
vsaFileLoc.

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 169
 ○ Vous pouvez suivre les étapes similaires pour activer l'analyse anti-virus dans le Output File Repository
Server. Si vous possédez plusieurs Intput File Repository Server et Output File Repository Server,
veillez à activer l'analyse anti-virus sur chaque serveur.
○ Vous devez redémarrer les Files Repository Servers après avoir activé l'analyse anti-virus pour que les
modifications prennent effet.

8.12 Présentation de la sécurité des données de la plateforme

de BI
Les administrateurs des systèmes de la plateforme de BI gèrent la sécurisation des données sensibles de la façon
suivante :

● Un paramètre de sécurité au niveau du cluster qui détermine quelles applications et quels clients ont accès au
CMS. Ce paramètre est géré via le Central Configuration Manager.
● Un système de cryptage à deux clés qui contrôle à la fois l'accès au référentiel du CMS et les clés utilisées
pour crypter/décrypter les objets du référentiel. L'accès au référentiel du CMS est configuré via le Central
Configuration Manager, tandis que la Central Management Console dispose d'une zone de gestion dédiée
pour les clés de cryptage.

Ces fonctions permettent aux administrateurs de définir les déploiements de la plateforme de BI à des niveaux de
conformité de sécurité des données spécifiques et de gérer les clés de cryptage utilisées pour crypter et
décrypter les données du référentiel du CMS.

8.12.1 Modes de sécurité du traitement des données

La plateforme de BI peut fonctionner selon deux modes de sécurité du traitement des données :

● Mode de sécurité du traitement des données par défaut Dans certaines instances, les systèmes exécutés
dans ce mode utilisent des clés de cryptage codées en dur et n'appliquent pas de norme spécifique. Le mode
par défaut active la rétrocompatibilité avec les applications et les outils client des versions précédentes de la
plateforme de BI.
● Un mode de sécurité des données conçu pour appliquer des directives FIPS (Federal Information Processing
Standard), notamment FIPS 140-2. Dans ce mode, des modules de cryptage et des algorithmes compatibles
FIPS protègent les données sensibles. Lorsque la plateforme est exécutée en mode compatible FIPS, la
totalité des applications et des outils client ne répondant pas aux directives FIPS sont automatiquement
désactivés. Les applications et outils client de la plateforme sont conçus pour répondre au standard
FIPS 140-2. Les clients et applications plus anciens ne fonctionnent pas lorsque la plateforme de BI est
exécutée en mode compatible FIPS.

Le mode de traitement des données est transparent pour les utilisateurs du système. Dans les deux modes de
sécurité du traitement des données, les données sensibles sont cryptées et décryptées en arrière-plan par un
moteur de cryptage interne.

Nous recommandons d'utiliser le mode compatible FIPS dans les cas suivants :

● Votre déploiement de la plateforme de BI ne sera pas amené à utiliser ou à interagir avec des applications ou
outils client hérités de la plateforme de BI.

Business Intelligence Platform Administrator Guide

170 PUBLIC Securing the BI Platform
 ● Les normes et directives de traitement des données établies par votre organisation interdisent l'utilisation de
clés de cryptage codées en dur.
● Votre organisation est tenue de sécuriser ses données sensibles conformément aux réglementations
FIPS 140-2.

Le mode de sécurité du traitement des données est défini via le Central Configuration Manager sur les
plateformes Windows comme sur les plateformes UNIX. Chaque nœud d'un environnement en cluster doit être
défini dans le même mode.

8.12.1.1 Activation du mode compatible FIPS sous Windows

Par défaut, le mode compatible FIPS est désactivé lorsque la plateforme de BI est installée. Vous pouvez
néanmoins activer la compatibilité FIPS pour tous les nœuds dans votre déploiement.

1. Pour lancer le CCM, cliquez sur Programmes SAP Business Intelligence Plateforme SAP
BusinessObjects BI 4 Central Configuration Manager .
2. Dans le CCM, cliquez avec le bouton droit de la souris sur le Server Intelligence Agent (SIA) et sélectionnez
Arrêter.

Attention
Ne passez à l'étape 3 que lorsque le statut du SIA est Arrêté.

3. Cliquez avec le bouton droit sur le SIA et sélectionnez Propriétés.

La boîte de dialogue Propriétés apparaît et affiche l'onglet Propriétés.
4. Ajoutez -fips dans le champ Commande et cliquez sur Appliquer.
5. Cliquez sur OK pour fermer la boîte de dialogue Propriétés.
6. Redémarrez le SIA.

Le SIA fonctionne désormais en mode compatible FIPS.

Vous devez activer le paramètre compatible FIPS sur tous les SIA de votre déploiement de la plateforme de BI.

8.12.1.2 Activation du mode compatible FIPS sous UNIX

Tous les nœuds du déploiement de la plateforme de BI doivent être arrêtés avant de tenter la procédure suivante.

Par défaut, le mode compatible FIPS est désactivé après l'installation de la plateforme de BI. Suivez les
instructions ci-dessous pour activer le paramètre compatible FIPS sur tous les nœuds de votre déploiement.

1. Dans le répertoire <REPINSTALL>/sap_bobj, ouvrez le fichier ccm.config pour le modifier.

2. Ajoutez -fips au paramètre de commande de lancement du nœud.
Le paramètre de commande de lancement du nœud est affiché au format suivant : <NOMNŒUD>LAUNCH. Par
exemple, pour un nœud nommé « SAP », le paramètre de commande de lancement du nœud est SAPLAUNCH.
3. Enregistrez vos modifications et cliquez sur Quitter.
4. Redémarrez le nœud.

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 171
Le nœud fonctionne désormais en mode compatible FIPS.

Vous devez activer le paramètre compatible FIPS sur tous les nœuds de votre déploiement de la plateforme de BI.

8.12.1.3 Désactivation du mode compatible FIPS sous Windows

Tous les serveurs de votre déploiement de la plateforme de BI doivent être arrêtés avant de tenter la procédure
suivante.

Si votre déploiement est exécuté en mode compatible FIPS, procédez comme suit pour désactiver ce paramètre.

1. Dans le CCM, cliquez avec le bouton droit de la souris sur le Server Intelligence Agent (SIA) et sélectionnez
Arrêter.

Attention
Ne passez à l'étape 2 que lorsque le statut du nœud affiche Arrêté.

2. Cliquez avec le bouton droit sur le SIA et choisissez Propriétés.

La boîte de dialogue Propriétés s'affiche avec l'ongletPropriétés ouvert.
3. Supprimez -fips du champ Commande et cliquez sur Appliquer.
4. Cliquez sur OK pour fermer la boîte de dialogue Propriétés.
5. Redémarrez le SIA.

8.13 Cryptographie sur la plateforme de BI

Données sensibles

La fonction de cryptage de la plateforme de BI est conçue pour protéger les données sensibles stockées dans le
référentiel CMS. Les données sensibles incluent les références de connexion utilisateur, les données de
connectivité des sources de données et tout autre objet d'information stockant un mot de passe. Ces données
sont cryptées afin d'en garantir la confidentialité, de les protéger de la corruption et d'en contrôler l'accessibilité.
Toutes les ressources de cryptage requises (notamment le moteur de cryptage, les bibliothèques RSA) sont
installées par défaut sur chaque déploiement de la plateforme de BI.
La plateforme de BI utilise un système de cryptage à deux clés.

Clés de cryptage

Le cryptage et le décryptage des données sensibles sont traités en arrière-plan via l'interaction du SDK avec le
moteur de cryptage interne. Les administrateurs système gèrent la sécurité des données à l'aide de clés de
cryptage symétriques, sans crypter ou décrypter directement des blocs de données spécifiques.

Sur la plateforme de BI, des clés de cryptage symétriques, également appelées clés de chiffrement, sont utilisées
pour crypter et décrypter les données sensibles. La Central Management Console dispose d'une zone de gestion

Business Intelligence Platform Administrator Guide

172 PUBLIC Securing the BI Platform
dédiée aux clés de cryptage. La zone Clés de cryptage permet d'afficher, de générer, de désactiver, de bloquer et
de supprimer des clés. Le système veille à ce qu'aucune clé nécessaire au décryptage de données sensibles ne
puisse être supprimée.

Clés de cluster

Les clés de cluster sont des clés symétriques qui "enveloppent" les clés protégeant les clés de cryptage stockées
dans le référentiel CMS. Grâce à des algorithmes de clés symétriques, les clés de cluster garantissent un certain
niveau d'accessibilité au référentiel CMS. Une clé de cluster est affectée à chaque nœud de la plateforme de BI au
cours de la configuration de l'installation. Les administrateurs système peuvent utiliser le CCM pour réinitialiser la
clé de cluster.

8.13.1 Utilisation de clés de cluster

Au cours de la configuration d'installation de la plateforme de BI, une clé de cluster à huit caractères est créée
pour le Server Intelligence Agent. Cette clé permet de crypter toutes les clés de cryptage du référentiel du CMS. Si
vous ne disposez pas de la clé de cluster adéquate, vous ne pouvez pas accéder au CMS.

La clé de cluster est stockée en format chiffré dans un fichier dbinfo. Le nom de fichier dbinfo respecte cette
convention : _boe_<nom_sia>.dbinfo, où <nom_sia> est le nom du Server Intelligence Agent du cluster.

Sous Windows, le fichier est stocké dans le répertoire suivant : <REPINSTALL>\SAP BusinessObjects
Enterprise XI 4.0\win64_x64.

Dans les systèmes Unix, le fichier est stocké dans le répertoire de la plateforme sous <REPINSTALL>/sap_bobj/
enterprise_xi40/.

Plateforme Unix Répertoire de la plateforme

AIX <REPINSTALL>/sap_bobj/enterprise_xi40/
aix_rs6000_64/

Solaris <REPINSTALL>/sap_bobj/enterprise_xi40/
solaris_sparcv9/

Linux <REPINSTALL>/sap_bobj/enterprise_xi40/
linux_x64/

Remarque
La clé de cluster d'un nœud ne peut pas être extraite du fichier dbinfo. Nous recommandons aux
administrateurs système de prendre des mesures scrupuleuses pour protéger les clés de cluster.

Seuls les utilisateurs disposant des droits d'administrateur peuvent réinitialiser les clés de cluster. Si nécessaire,
utilisez le CCM pour réinitialiser la clé de cluster de chaque nœud de votre déploiement. De nouvelles clés de
cluster sont automatiquement utilisées pour "envelopper" les clés de cryptage dans le référentiel du CMS.

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 173
8.13.1.1 Réinitialisation de la clé de cluster sous Windows

Avant de réinitialiser la clé de cluster pour votre nœud, veillez à ce que tous les serveurs gérés par le Server
Intelligence Agent soient à l'arrêt.

1. Pour lancer le CCM, accédez à Programmes SAP Business Intelligence Plateforme SAP
BusinessObjects 4 de BI Central Configuration Manager .
2. Dans le CCM, cliquez avec le bouton droit de la souris sur le Server Intelligence Agent (SIA) et sélectionnez
Arrêter.

Attention
Ne passez à l'étape 3 que lorsque le statut du SIA est Arrêté.

3. Cliquez avec le bouton droit de la souris sur le Server Intelligence Agent (SIA) et sélectionnez Propriétés.
La boîte de dialogue Propriétés s'affiche.
4. Cliquez sur l'onglet Configuration.
5. Cliquez sur Modifier sous Configuration de clé de cluster CMS.
Un message d'avertissement apparaît.
6. Cliquez sur Oui pour continuer.
La boîte de dialogue Modifier la clé de cluster s'affiche.
7. Saisissez la même clé à huit caractères dans le champ Nouvelle clé de cluster et le champ Confirmer la
nouvelle clé de cluster.

Remarque
Sous Windows, les clés de cluster doivent contenir une combinaison de caractères en majuscules et en
minuscules. Les utilisateurs peuvent aussi générer une clé aléatoire. La clé aléatoire est requise pour la
compatibilité FIPS.

8. Cliquez sur OK pour soumettre la nouvelle clé de cluster au système.

Un message confirmant que la clé de cluster a été correctement réinitialisée s'affiche.
9. Redémarrez le SIA.

En cas de cluster multi-nœuds, vous devez réinitialiser les clés de cluster pour tous les SIA de votre déploiement
de la plateforme de BI avec cette nouvelle clé.

8.13.1.2 Réinitialisation de la clé de cluster sous UNIX

Avant de réinitialiser la clé de cluster d'un nœud, veillez à ce que tous les serveurs gérés par le nœud soient à
l'arrêt.

1. Accédez au répertoire <REPINSTALL>/sap_bobj.

2. Saisissez ./cmsdbsetup.sh et appuyez sur la touche Entrée.
L'écran Configuration de la base de données CMS s'affiche.
3. Saisissez le nom du nœud et appuyez sur la touche Entrée.

Business Intelligence Platform Administrator Guide

174 PUBLIC Securing the BI Platform
 4. Tapez 2 pour modifier la clé de cluster.
Un message d'avertissement apparaît.
5. Sélectionnez Oui pour continuer.
6. Dans le champ proposé, saisissez une nouvelle clé de cluster à huit caractères et appuyez sur la touche
Entrée.

Remarque
Sur les plateformes UNIX, une clé de cluster valide contient une combinaison de huit caractères sans
restrictions.

7. Saisissez à nouveau la nouvelle clé de cluster dans le champ proposé et appuyez sur la touche Entrée.
Un message s'affiche, vous informant que la clé de cluster a bien été réinitialisée.
8. Redémarrez le nœud.

Vous devez réinitialiser tous les nœuds de votre déploiement de la plateforme de BI pour utiliser la même clé de
cluster.

8.13.2 Agents de cryptographie

Pour gérer les clés de cryptage dans la CMC, vous devez être membre du groupe Agents de cryptographie. Le
compte administrateur par défaut créé pour la plateforme de BI est également membre du groupe Agents de
cryptographie. Utilisez ce compte pour ajouter des utilisateurs au groupe Agents de cryptographie selon vos
besoins. Nous recommandons de restreindre les membres du groupe à un nombre limité d'utilisateurs.

Remarque
Lorsque des utilisateurs sont ajoutés au groupe Administrateurs, ils n'héritent pas des droits requis pour
effectuer des tâches de gestion sur des clés de cryptage.

8.13.2.1 Ajout d'un utilisateur au groupe Agents de

cryptographie

Un compte utilisateur doit exister sur la plateforme de BI avant de pouvoir être ajouté au groupe Agents de
cryptographie.

Remarque
Vous devez être membre des groupes Administrateurs et Agents de cryptographie pour ajouter un utilisateur
au groupe Agents de cryptographie.

1. Dans la zone de gestion des Utilisateurs et groupes de la CMC, sélectionnez le groupe Agents de
cryptographie.

2. Cliquez sur Actions Ajouter des membres au groupe .

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 175
 La boîte de dialogue Ajouter apparaît.
3. Cliquez sur Liste des utilisateurs.
La liste Utilisateurs ou groupes disponibles est actualisée et affiche tous les comptes utilisateur du système.
4. Déplacez le compte utilisateur que vous souhaitez ajouter au groupe Agents de cryptographie de la liste
Utilisateurs ou groupes disponibles vers la liste Utilisateurs ou groupes sélectionnés.

Conseil
Pour rechercher un utilisateur particulier, utilisez le champ Rechercher.

5. Cliquez sur OK.

En qualité de membre du groupe Agents de cryptographie, le compte récemment ajouté aura accès à la zone de
gestion des Clés de cryptage de la CMC.

8.13.2.2 Affichage des clés de cryptage dans la CMC

L'application de la CMC contient une zone de gestion dédiée aux clés de cryptage utilisées par le système de la
plateforme de BI. L'accès à cette zone est réservé aux membres du groupe Agents de cryptographie.

1. Pour démarrer la CMC, cliquez sur Programmes SAP Business Intelligence Plateforme SAP
BusinessObjects BI 4 Central Management Console de la plateforme SAP BusinessObjects BI .
La page d'accueil de la CMC s'affiche.
2. Cliquez sur l'onglet Clés de cryptage.
La zone de gestion Clés de cryptage s'affiche.
3. Double-cliquez sur la clé de cryptage sur laquelle vous souhaitez afficher de plus amples détails.

Informations associées

Affichage des objets associés à une clé de cryptage [page 178]

8.13.3 Gestion des clés de cryptage dans la CMC

Les agents de cryptographie utilisent la zone de gestion des clés de cryptage pour examiner, générer, désactiver,
bloquer et supprimer les clés servant à protéger les données sensibles stockées dans le référentiel du CMS.

Toutes les clés de cryptage actuellement définies dans le système sont répertoriées dans la zone de gestion des
clés de cryptage. Les informations de base concernant chaque clé sont fournies dans les en-têtes présentés dans
le tableau suivant :

En-tête Description

Title (Titre) Nom permettant d'identifier la clé de cryptage

Business Intelligence Platform Administrator Guide

176 PUBLIC Securing the BI Platform
 En-tête Description

Statut Statut actuel de la clé

Dernière modification de statut Horodatage de la dernière modification associée à la clé de

cryptage

Objets Nombre d'objets associés à la clé

Informations associées

Statut des clés de cryptage [page 177]

Création d'une clé de cryptage [page 178]
Suppression d'une clé de cryptage du système [page 180]
Blocage d'une clé de cryptage [page 180]
Affichage des objets associés à une clé de cryptage [page 178]
Définition des clés de cryptage sur le statut Compromis [page 179]

8.13.3.1 Statut des clés de cryptage

Le tableau suivant répertorie toutes les options de statut possibles pour les clés de cryptage dans la plateforme
de BI :

Statut Description

Actif Une seule clé de cryptage peut être définie sur le statut Actif
dans le système. Cette clé permet de crypter les données
sensibles qui seront stockées dans la base de données du
CMS. Cette clé permet également de décrypter tous les
objets qui apparaissent dans la liste Objet. Une fois qu'une clé
de cryptage est créée, le statut Actif devient Désactivé. Une
clé active ne peut pas être supprimée du système.

Désactivé Une clé définie sur le statut Désactivé ne peut plus être
utilisée pour crypter des données. Elle permet toutefois de
décrypter tous les objets qui apparaissent dans la liste Objet.
La réactivation d'une clé n'est plus possible dès lors qu'elle a
été désactivée. Une clé définie sur le statut Désactivé ne peut
pas être supprimée du système. Vous devez définir le statut
de la clé sur Bloqué pour pouvoir la supprimer.

Compromis Une clé de cryptage dont la sécurité est douteuse peut être
définie sur le statut Compromis. En l'indiquant de la sorte,
vous pouvez procéder ultérieurement au recryptage des
objets de données encore associés à cette clé. Une fois
qu'une clé est définie sur le statut Compromis, elle doit être
bloquée pour pouvoir être supprimée du système.

Bloqué Lorsqu'une clé de cryptage est bloquée, un processus est

lancé dans lequel tous les objets actuellement associés à la

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 177
Statut Description

clé sont recryptés avec la clé de cryptage actuellement

définie sur le statut Actif. Une fois qu'une clé est définie sur le
statut Bloqué, elle peut être supprimée du système en toute
sécurité. Le mécanisme de blocage garantit que les données
de la base de données du CMS peuvent toujours être
déchiffrées. Il n'existe aucun moyen de réactiver une clé une
fois qu'elle a été bloquée.

Désactivé : renouvellement du cryptage en cours de Indique que la clé de cryptage est sur le point d'être bloquée.
traitement Une fois ce processus terminé, la clé passe au statut Bloqué.

Désactivé : régénération de clé suspendue Indique que le processus de blocage de la clé de cryptage a
été suspendu. Cela survient généralement lorsque le
processus a été suspendu délibérément ou si un objet de
données associé à la clé n'est pas disponible.

Bloqué-Compromis Une clé affiche le statut Bloqué-Compromis si elle a été

définie sur le statut Compromis et que toutes les données qui
lui étaient préalablement associées ont été chiffrées avec une
autre clé. Lorsqu'une clé définie sur le statut Désactivé prend
le statut Compromis, vous avez le choix entre ne rien faire ou
bloquer la clé. Une fois qu'une clé définie sur le statut
Compromis est bloquée, elle peut être supprimée.

8.13.3.2 Affichage des objets associés à une clé de cryptage

1. Sélectionnez la clé dans la zone de gestion des Clés de cryptage de la CMC.

2. Cliquez sur Gérer Propriétés .

La boîte de dialogue Propriétés de la clé de cryptage apparaît.
3. Cliquez sur Liste d'objetsdans le volet de navigation situé à gauche de la boîte de dialogue Propriétés.
Tous les objets associés à la clé de cryptage sont répertoriés à droite du volet de navigation.

Conseil
Utilisez les fonctions de recherche pour rechercher un objet spécifique.

8.13.3.3 Création d'une clé de cryptage

Attention
Lors de la création d'une clé de cryptage, le système désactive automatiquement la clé dont le statut est Actif.
Lorsqu'une clé a été désactivée, elle ne peut plus reprendre le statut Actif.

1. Dans la zone de gestion des clés de cryptagede la CMC, cliquez sur Gérer Créer Clé de cryptage .
La boîte de dialogue Créer une clé de cryptage s'affiche.

Business Intelligence Platform Administrator Guide

178 PUBLIC Securing the BI Platform
 2. Cliquez sur Continuer pour créer la clé de cryptage.
3. Saisissez le nom et la description de la nouvelle clé de cryptage, puis cliquez sur OK pour enregistrer vos
informations.
La nouvelle clé est répertoriée comme l'unique clé active dans la zone de gestion des clés de cryptage. La clé
qui affichait auparavant le statut Actif apparaît désormais avec le statut Désactivé.

Toutes les nouvelles données sensibles générées et stockées dans la base de données du CMS seront à présent
cryptées avec la nouvelle clé de cryptage. Vous avez la possibilité de bloquer la clé précédente et de recrypter
tous ses objets de données avec la nouvelle clé active.

8.13.3.4 Définition des clés de cryptage sur le statut

Compromis

Vous pouvez définir une clé de cryptage sur le statut Compromis si, pour une raison ou une autre, cette clé n'est
plus considérée comme sûre. Cette fonction est utile dans le cadre du suivi des objectifs et permet d'identifier les
objets de données associés à la clé. Une clé de cryptage doit être désactivée avant de pouvoir être définie sur le
statut Compromis.

Remarque
Vous pouvez également définir une clé sur le statut Compromis après l'avoir bloquée.

1. Accédez à la zone de gestion des clés de cryptage de la CMC.

2. Sélectionnez la clé de cryptage à définir sur le statut Compromis.

3. Cliquez sur Actions Marquer comme compromis .

La boîte de dialogue Marquer comme compromis s'affiche.
4. Cliquez sur Continuer.
5. Sélectionnez l'une des options suivantes dans la boîte de dialogue Marquer comme compromis :

○ Oui : lance le processus de recryptage de tous les objets de données associés à la clé définie sur le statut
Compromis.
○ Non : la boîte de dialogue Marquer comme compromis est fermée et la clé de cryptage est définie sur le
statut Compromis dans la zone de gestion Clés de cryptage.

Remarque
Si vous sélectionnez Non, les données sensibles restent associées à la clé définie sur le statut
Compromis. Celle-ci sera utilisée par le système pour décrypter les objets associés.

Informations associées

Blocage d'une clé de cryptage [page 180]

Statut des clés de cryptage [page 177]
Affichage des objets associés à une clé de cryptage [page 178]

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 179
8.13.3.5 Blocage d'une clé de cryptage

Une clé de cryptage portant le statut Désactivé peut être utilisée par les objets de données qui lui sont associés.
Pour annuler l'association entre les objets cryptés et la clé désactivée, vous devez bloquer cette clé.

1. Sélectionnez la clé que vous souhaitez bloquer dans les clés répertoriées dans la zone de gestion des Clés de
cryptage.

2. Cliquez sur Actions Bloquer .

La boîte de dialogue Bloquer s'affiche.
3. Cliquez sur OK.
Un processus est lancé pour crypter tous les objets de données de la clé avec la clé actuellement active. Si la
clé est associée à de nombreux objets de données, elle porte le statut Désactivé : renouvellement du cryptage
en cours de traitement jusqu'à la fin du processus de recryptage.

Lorsqu'une clé de cryptage a été bloquée, elle peut être supprimée du système en toute sécurité du fait qu'aucun
objet de données sensibles ne requiert cette clé pour être décrypté.

8.13.3.6 Suppression d'une clé de cryptage du système

Avant de pouvoir supprimer une clé de cryptage de la plateforme de BI, vous devez vérifier qu'aucun objet de
données du système ne requiert cette clé. Cette restriction garantit que toutes les données sensibles stockées
dans le référentiel du CMS puissent toujours être décryptées.

Une fois la clé de cryptage bloquée, suivez les instructions ci-dessous pour supprimer la clé du système.

1. Accédez à la zone de gestion des clés de cryptage de la CMC.

2. Sélectionnez la clé de cryptage à supprimer.

3. Cliquez sur Gérer Supprimer .

La boîte de dialogue Supprimer apparaît.
4. Cliquez sur Supprimer pour supprimer la clé de cryptage du système.
La clé supprimée n'est plus affichée dans la zone de gestion Clés de cryptage de la CMC.

Remarque
Lorsqu'une clé de cryptage a été supprimée du système, elle ne peut plus être restaurée.

Informations associées

Blocage d'une clé de cryptage [page 180]

Statut des clés de cryptage [page 177]

Business Intelligence Platform Administrator Guide

180 PUBLIC Securing the BI Platform
8.14 Configuration des serveurs pour SSL

Vous pouvez utiliser le protocole SSL (Secure Sockets Layer) pour toutes les communications réseau établies
entre clients et serveurs au sein de votre déploiement de la plateforme de BI.

Pour configurer le protocole SSL pour toutes les communications serveur, vous devez effectuer les opérations
suivantes :

● Déployer la plateforme de BI avec le protocole SSL activé.

● Créer des fichiers de clé et de certificat pour chaque ordinateur faisant partie de votre déploiement.
● Configurer l'emplacement de ces fichiers dans le CCM (Central Configuration Manager) et votre serveur
d'applications Web.
● Sinon, configurez SSL pour les certificats gérés par une autorité de certification.

Remarque
Si vous utilisez des clients lourds, tels que Crystal Reports, vous devez également les configurer pour SSL si
vous voulez vous connecter au CMS à partir de ces clients lourds. Sinon, vous obtiendrez des messages
d'erreur lorsque vous tenterez de vous connecter à un CMS configuré pour SSL à partir d'un client lourd non
configuré de la même manière.

8.14.1 Création de fichiers de clé et de certificat

Pour configurer le protocole SSL pour vos communications serveur, créez un fichier de clé et un fichier de
certificat pour chaque ordinateur faisant partie de votre déploiement à l'aide de l'outil de ligne de commande
SSLC. Pour en savoir plus, voir Création et configuration du certificat et du fichier de stockage de clés [page 382].

Remarque
Vous devez recréer les certificats pour tous les ordinateurs du déploiement, y compris ceux qui exécutent des
composants client lourds tels que Crystal Reports. Pour ces ordinateurs client, utilisez l'outil de ligne de
commande sslconfig pour effectuer la configuration.

Remarque
Pour une sécurité maximale, toutes les clés privées doivent être protégées et ne doivent pas être transférées
sur des canaux de communication non protégés.

Remarque
Les certificats créés pour les versions antérieures à BI 4.2 SP4 ne sont pas pris en charge. Vous devez créer
des certificats pour BI 4.2 SP4, car la puissance minimale de la clé de certificat a été portée à 2 048 octets.

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 181
8.14.1.1 Pour créer un fichier de clé et un fichier de certificat
pour un ordinateur

1. Exécutez l'outil de ligne de commande sslc.

L'outil SSLC est installé avec votre logiciel de plateforme de BI. (Sous Windows par exemple, il se trouve par
défaut dans le répertoire <REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\win64_x64.)
2. Saisissez la commande suivante :
sslc req -config sslc.cnf -new -out cacert.req
Cette commande crée deux fichiers : une demande de certificat auprès d'une autorité de certification
(cacert.req) et une clé privée (privkey.pem).
3. Pour décrypter la clé privée, saisissez la commande suivante :
sslc rsa -in privkey.pem -out cakey.pem
Cette commande crée la clé décryptée cakey.pem.
4. Pour signer le certificat émis par l'autorité de certification, saisissez la commande suivante :
sslc x509 -in cacert.req -out cacert.pem -req -signkey cakey.pem -days 365
Cette commande crée un certificat auto-signé, cacert.pem, qui expire au bout de 365 jours. Choisissez le
nombre de jours le mieux adapté à vos besoins en terme de sécurité.
5. Dans un éditeur de texte, ouvrez le fichier sslc.cnf qui se trouve dans le même dossier que l'outil de ligne de
commande SSLC.

Remarque
Vous devez utiliser un éditeur de texte pour Windows car Windows Explorer est susceptible de ne pas
reconnaître ou afficher les fichiers ayant une extension .cnf.

6. Effectuez les actions suivantes basées sur les paramètres du fichier sslc.cnf :
a. Placez les fichiers cakey.pem et cacert.pem dans les répertoires spécifiés par les options
certificate et private_key du fichier sslc.cnf. Par défaut, les paramètres dans le fichier
sslc.cnf sont les suivants :
certificate = $dir/cacert.pem

private_key = $dir/private/cakey.pem
b. Créez un fichier portant le nom spécifié par le paramètre database du fichier sslc.cnf.

Remarque
Par défaut, le fichier est nommé $dir/index.txt et doit être vide.

c. Créez un fichier portant le nom spécifié par le paramètre serial du fichier sslc.cnf.
Le fichier doit fournir un numéro de série en chaîne octet (au format hexadécimal).

Remarque
Pour être sûr de pouvoir créer et signer d'autres certificats, choisissez un grand nombre hexadécimal
comportant un nombre pair de chiffres, tel que 11111111111111111111111111111111.

d. Créez le répertoire spécifié par le paramètre new_certs_dir du fichier sslc.cnf.

Business Intelligence Platform Administrator Guide

182 PUBLIC Securing the BI Platform
 7. Pour créer une demande de certificat et une clé privée, saisissez la commande suivante :
sslc req -config sslc.cnf -new -out servercert.req
Le certificat et les fichiers de clés générés sont placés dans le dossier de travail en cours.
8. Pour décrypter la clé du fichier privkey.pem, saisissez les commandes suivantes :
sslc rsa -in privkey.pem -out server.key
9. Pour signer le certificat validé par l'autorité de certification, saisissez la commande suivante :
sslc ca -config sslc.cnf -days 365 -out servercert.pem -in servercert.req
Cette commande crée le fichier servercert.pem qui contient le certificat signé.
10. Tapez les commandes suivantes pour convertir les certificats en certificats codés DER :

sslc x509 -in cacert.pem -out cacert.der -outform DER

sslc x509 -in servercert.pem -out servercert.der -outform DER

Remarque
Le certificat émis par l'autorité de certification (cacert.der) et la clé privée correspondante (cakey.pem)
ne doivent être générés qu'une seule fois par déploiement. Tous les ordinateurs du même déploiement
partagent les mêmes certificats. Tous les autres certificats doivent être signés par la clé privée d'un
certificat émis par une autorité de certification.

11. Créez un fichier texte passphrase.txtpour stocker la phrase de passe en texte brut utilisée pour
décrypter la clé privée générée.
12. Stockez les fichiers de clé et de certificat suivants dans un emplacement sécurisé (sous le même répertoire)
accessible aux ordinateurs de votre déploiement de plateforme de BI :
○ Fichier du certificat approuvé (cacert.der)
○ Fichier du certificat serveur généré (servercert.der)
○ Fichier de la clé serveur (server.key)
○ Fichier de la phrase de passe (passphrase.txt)

Cet emplacement sera utilisé pour configurer le protocole SSL pour le CCM et votre serveur d'applications
Web.
13. Générez un fichier pse. Pour en savoir plus, voir Génération d'un fichier pse [page 185]

8.14.2 Configuration de SSL lorsque le certificat est géré par

une autorité de certification

Lors de la configuration de SSL pour la communication des serveurs, suivez cette procédure si le certificat est
géré par une autorité de certification.

1. Exportez le certificat voulu avec sa clé privée au format PKCS #12 (.PFX).
Il sera utilisé comme certificat pour l'autorité de certification.
2. A l'aide d'OpenSSL, exécutez les commandes suivantes :
1. Exportez le fichier de clé privée à partir du fichier .pfx :
openssl pkcs12 -in filename.pfx -nocerts -out privkey.pem

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 183
 2. Exportez le fichier de certificat à partir du fichier .pfx :
openssl pkcs12 -in filename.pfx -clcerts -nokeys -out cacert.pem
3. Supprimez la phrase de passe de la clé privée :
openssl rsa -in privkey.pem -out cakey.pem
3. Configurez certains fichiers requis :
○ Copiez cakey.pem à l'emplacement C:\SSL\private\cakey.pem.
○ Copiez cacert.pem à l'emplacement C:\SSL\cacert.pem.
○ Créez un fichier texte vide (un fichier d'index de base de données) nommé index.txt dans le dossier C:
\SSL.
○ Créez un autre fichier texte : C:\SSL\serial.
○ Ouvrez le fichier C:\SSL\serial dans un éditeur de texte, saisissez la valeur suivante et enregistrez le
fichier : 11111111111111111111
4. Dans un éditeur de texte, ouvrez le fichier C:\Program Files (x86)\SAP BusinessObjects\SAP
BusinessObjects Enterprise XI 4.0\win32_x86\sslc.cnf.
Choisissez une de ces options :
○ Changez la valeur de la variable policy en policy_anything. Cette modification permet de créer un
certificat de serveur n'ayant pas les mêmes stratégies que le certificat de votre autorité de certification.
○ Sinon, laissez la valeur de la variable policy inchangée, par exemple policy_match Cela force le
certificat du serveur à avoir les mêmes stratégies que le certificat de votre autorité de certification. Dans
ce cas, vous devez modifier les propriétés de req_distinguished_name en conséquence.
5. Créez une demande de certificat et une clé privée.
Dans une invite de commande, exécutez la commande suivante :

sslc req -config sslc.cnf -new -out servercert.req

Remarque
Pour la Phrase de passe PEM, saisissez un mot de passe quelconque d'au moins quatre caractères.

Remarque
Pour le Nom courant, saisissez le nom de domaine complet de l'ordinateur sur lequel les serveurs de la
plateforme de BI sont exécutés.

Remarque
Le fichier servercert.req est créé à l'emplacement C:\Program Files (x86)\SAP
BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\win32_x86.

Remarque
Les fichiers .rnd et privkey.pem sont modifiés.

6. Décryptez la clé privée.

sslc rsa -in privkey.pem -out server.key
7. Signez le certificat.
sslc ca -config sslc.cnf -days 365 -out servercert.pem -in servercert.req

Business Intelligence Platform Administrator Guide

184 PUBLIC Securing the BI Platform
 Remarque
Le fichier servercert.pem est créé à l'emplacement C:\Program Files (x86)\SAP
BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\win32_x86.

Remarque
Le fichier 11111111111111111111.pem est créé dans C:\SSL\newcerts.

Remarque
Une sauvegarde du fichier serial est créée, elle est nommée serial.old.

Remarque
La valeur de serial est incrémentée de 11111111111111111111 à 11111111111111111112.

8. Convertissez les certificats au codage DER.

Exécutez ces commandes :

sslc x509 -in cacert.pem -out cacert.der -outform DER

sslc x509 -in servercert.pem -out servercert.der -outform DER

Remarque
Le fichier servercert.der est créé à l'emplacement C:\Program Files (x86)\SAP
BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\win32_x86.

Remarque
Le fichier cacert.der est créé à l'emplacement C:\Program Files (x86)\SAP BusinessObjects
\SAP BusinessObjects Enterprise XI 4.0\win32_x86.

9. Créez un fichier texte nommé passphrase.txt.

Le contenu du fichier doit être la phrase de passe PEM utilisée auparavant.
10. Stockez les fichiers suivants dans un emplacement sécurisé, par exemple C:\SSLCerts.
○ le fichier du certificat approuvé cacert.der
○ le fichier du certificat serveur généré servercert.der
○ le fichier de la clé serveur server.key
○ le fichier de la phrase de passe passphrase.txt
11. Générez un fichier pse. Génération d'un fichier pse [page 185]

8.14.3 Génération d'un fichier pse

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 185
1. Ouvrez <INSTALLDIR>\SAP BusinessObjects Enterprise XI 4.0\win64_x64.
2. Lancez la console de ligne de commande et exécutez set SECUDIR=. pour Windows et export SECUDIR=.
pour Linux.
3. Exécutez sapgenpse import_p8 -p C:\SSL\cert.pse -c C:\SSL\servercert.der -r C:\SSL
\cacert.der -z C:\SSL\passphrase.txt C:\SSL\server.key.

Remarque
L'emplacement des fichiers de certificat mentionnés ci-dessus sont juste un exemple. Vous pouvez ajouter
l'emplacement des fichiers si vous le souhaitez.

4. Fournissez un mode de passe vide en appuyant sur Entrée dans l'invite du mot de passe.
5. Ajoutez les identifiants utilisateur pour le fichier pse créé.

Conseil
Si le SIA est exécuté avec le compte LocalSystem, vous devez alors exécuter la commande suivante :
sapgenpse seclogin -p C:\SSL\cert.pse -O SYSTEM pour ajouter les identifiants utilisateur dans
le fichier pse.

Remarque
Vous pouvez modifier le nom de votre choix pour le fichier pse.

8.14.4 Configuration du protocole SSL

Après avoir créé des fichiers de clé et de certificat pour chaque ordinateur de votre déploiement et les avoir
stockés en lieu sûr, vous devez indiquer l'emplacement de ces fichiers au CCM (Central Configuration Manager)
et à votre serveur d'applications Web.

Vous devez également implémenter certaines étapes pour configurer le protocole SSL pour le serveur
d'applications Web et pour tout ordinateur exécutant une application client lourd.

Activation des FIPS dans une plateforme basée sur UNIX pour la configuration
de SSL

Les normes FIPS sont activées par défaut pour une installation complète de la version 4.2 SP04, mais vous devez
l'activer manuellement pour les scénarios mentionnés ci-dessous :

● Mise à jour de correctif de la version 4.1 SPXX vers la version 4.2 SP04
● Mise à jour de correctif de la version 4.1 SPXX vers la version 4.2 SP02 ou SP03 et mise à jour ultérieure vers
la version 4.2 SP04

Business Intelligence Platform Administrator Guide

186 PUBLIC Securing the BI Platform
 Remarque
Sous Windows, CORBA SSL fonctionne même lorsque les FIPS ne sont pas activés, alors que dans les
plateformes basées sur UNIX, il est nécessaire de s'assurer que les FIPS sont activées pour les serveurs avant
de configurer CORBA SSL.

Étapes pour la configuration des FIPS

● Accédez à <INSTALLDIR>/sap_bobj.
● Exécutez ./stopservers
● Ouvrez le fichier ccm.config.
● Ajoutez le texte "-fips" de la liste des propriétés du nœud SIA.
● Exécutez ./startservers

8.14.4.1 Pour configurer le protocole SSL pour le CCM

1. Dans le CCM, cliquez avec le bouton droit sur le Server Intelligence Agent et choisissez Propriétés.
2. Dans la boîte de dialogue Propriétés, cliquez sur l'onglet Protocole.
3. Assurez-vous que le paramètre Activer SSL est sélectionné.
4. Indiquez le chemin d'accès au répertoire dans lequel sont stockés les fichiers de clé et de certificat.

Champ Description

Dossier des certificats SSL Dossier dans lequel sont stockés tous les certificats et
fichiers SSL requis. Par exemple : d:\ssl

Fichier du certificat SSL du serveur Nom du fichier utilisé pour stocker le certificat SSL du
serveur. Par défaut, servercert.der

Fichier des certificats SSL approuvés Nom du fichier contenant les certificats SSL approuvés. Le
nom par défaut est : cacert.der

Fichier de la clé privée SSL Nom du fichier de clé privée SSL utilisé pour accéder au
certificat. Le nom par défaut est : server.key

Fichier contenant la phrase de passe de la clé privée SSL Nom du fichier texte contenant la phrase de passe utilisée
pour accéder à la clé privée. Le nom par défaut est :
passphrase.txt

Fichier des certificats PSE SSL Nom de ce fichier pse qui contient les informations
relatives aux certificats de serveur et aux certificats
approuvés.

Remarque
Vérifiez que le répertoire mentionné se trouve sur l'ordinateur sur lequel s'exécute le serveur.

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 187
8.14.4.2 Configuration du protocole SSL sous UNIX

Vous devez utilisez le script serverconfig.sh pour configurer le protocole SSL pour un SIA. Ce script fournit un
programme textuel qui vous permet d'afficher des informations sur les serveurs et d'ajouter et de supprimer des
serveurs de votre installation. Le script serverconfig.sh se trouve dans le répertoire sap_bobj de
l'installation.

1. Utilisez le script ccm.sh pour arrêter le SIA et tous les serveurs SAP BusinessObjects.
2. Exécutez le script serverconfig.sh.
3. Sélectionnez 3 - Modifier un nœud, puis appuyez sur la touche Entrée .
4. Spécifiez le SIA cible et appuyez sur Entrée .
5. Sélectionnez 1 - Modifiez la configuration SSL du Server Intelligence Agent.
6. Sélectionnez ssl.
Lorsque vous y êtes invité, spécifiez les emplacements de certificats SSL.
7. Répétez les étapes 1 à 6 pour chaque SIA si le déploiement de la plateforme de BI est un cluster de SIA.
8. Démarrez le SIA avec le script ccm.sh et attendez le démarrage des serveurs.

8.14.4.3 Pour configurer le protocole SSL pour le serveur

d'applications Web

1. Si vous disposez d'un serveur d'applications Web J2EE, exécutez le SDK Java avec les propriétés système
suivantes : Par exemple :

-Dbusinessobjects.orb.oci.protocol=ssl -DcertDir=d:\ssl -DtrustedCert=cacert.der

-DsslCert=clientcert.der -DsslKey=client.key
-Dpassphrase=passphrase.txt

Le tableau ci-dessous affiche les descriptions correspondant à ces exemples :

Table 15 :

Exemple Description

<DcertDir> =d:\ssl Répertoire de stockage des certificats et des clés.

<DtrustedCert> =cacert.der Fichier de certificat approuvé. Si vous en spécifiez plu­

sieurs, séparez-les par des points-virgules.

<DsslCert> =clientcert.der Certificat utilisé par le SDK.

<DsslKey> =client.key Clé privée du certificat SDK.

<Dpassphrase> =passphrase.txt Fichier de stockage de la phrase de passe de la clé privée.

2. Si vous disposez d'un serveur d'applications Web IIS, exécutez l'outil sslconfig à partir de la ligne de
commande et suivez les étapes de configuration.

Business Intelligence Platform Administrator Guide

188 PUBLIC Securing the BI Platform
8.14.4.4 Pour configurer les clients lourds

Avant d'effectuer la procédure suivante, vous devez créer et enregistrer toutes les ressources SSL nécessaires
(les certificats et les clés privées, par exemple) dans un répertoire connu.

Dans la procédure ci-dessous, il est supposé que vous avez suivi les instructions de création des ressources SSL
suivantes :

Ressource SSL

Dossier des certificats SSL d:\ssl

Nom du fichier du certificat SSL du serveur servercert.der

Certificat approuvé SSL ou nom du fichier de certificat racine cacert.der

Nom du fichier de la clé privée SSL server.key

Fichier contenant la phrase de passe pour accéder au fichier passphrase.txt

de la clé privée SSL

Nom du fichier des certificats PSE SSL cert.pse

Une fois les ressources ci-dessus créées, observez les instructions suivantes pour configurer les applications
client lourd telles que le Central Configuration Manager (CCM) ou l'outil de gestion de la mise à niveau.

1. Assurez-vous que l'application client lourd n'est pas en cours d'opération.

Remarque
Vérifiez que le répertoire mentionné se trouve sur l'ordinateur sur lequel s'exécute le serveur.

2. Exécutez l'outil de ligne de commande sslconfig.exe.

L'outil SSLC est installé avec votre logiciel de plateforme de BI. (Sous Windows par exemple, il se trouve par
défaut dans le répertoire <REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\win64_x64.)
3. Saisissez la commande suivante :

sslconfig.exe -dir d:\SSL -mycert servercert.der -rootcert cacert.der -mykey

server.key
-passphrase passphrase.txt -psecert cert.pse -protocol ssl

4. Relancez l'application client lourd.

Informations associées

Pour créer un fichier de clé et un fichier de certificat pour un ordinateur [page 182]

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 189
8.14.4.4.1 Pour configurer la connexion SSL pour l'outil de
gestion de la traduction

Pour permettre aux utilisateurs d'utiliser la connexion SSL avec l'outil de gestion de la traduction, les informations
concernant les ressources SSL doivent être ajoutées au fichier de configuration (.ini) de l'outil.

1. Cherchez le fichier TransMgr.ini dans le répertoire suivant : <REPINSTALL>\SAP BusinessObjects

Enterprise XI 4.0\win32_x86.
2. A l'aide d'un éditeur de texte, ouvrez le fichier TransMgr.ini.
3. Ajoutez les paramètres suivants :

-Dbusinessobjects.orb.oci.protocol=ssl -DcertDir=<D:\SSLCert>
-DtrustedCert=cacert.der -DsslCert=servercert.der -DsslKey=server.key
-Dpassphrase=passphrase.txt -jar program.jar

4. Enregistrez le fichier et fermez l'éditeur de texte.

Les utilisateurs peuvent à présent utiliser SSL pour se connecter à l'outil de gestion de la traduction.

8.14.4.4.2 Pour configurer SSL pour l'outil de conversion de

rapports

Avant d'effectuer la procédure suivante, vous devez créer et enregistrer toutes les ressources SSL nécessaires
(les certificats et les clés privées, par exemple) dans un répertoire connu. En outre, l'outil de conversion de
rapports doit être installé dans le cadre de votre déploiement de la plateforme de BI.

Dans la procédure ci-dessous, il est supposé que vous avez suivi les instructions de création des ressources SSL
suivantes :

Ressource SSL

Dossier des certificats SSL d:\ssl

Nom du fichier du certificat SSL du serveur servercert.der

Certificat approuvé SSL ou nom du fichier de certificat racine cacert.der

Nom du fichier de la clé privée SSL server.key

Fichier contenant la phrase de passe pour accéder au fichier passphrase.txt

de la clé privée SSL

Une fois les ressources ci-dessus créées, observez les instructions suivantes pour configurer SSL afin d'utiliser
l'outil de conversion de rapports.

1. Créez une variable d'environnement Windows <BOBJ_MIGRATION> sur l'ordinateur hébergeant l'outil de
conversion de rapport.

Conseil
La variable peut être définie sur une valeur quelconque.

2. A l'aide d'un éditeur de texte, ouvrez le fichier migration.bat dans le répertoire suivant :

Business Intelligence Platform Administrator Guide

190 PUBLIC Securing the BI Platform
 <REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\win32_x86\scripts\.
3. Recherchez la ligne suivante :

start "" "%JRE%\bin\javaw" -cp migration.jar;* -Xmx512m -Xss10m

com.bo.migration.MigrationTool

4. Ajoutez ceci après le paramètre -Xss10m :

-Dbusinessobjects.orb.oci.protocol=ssl
-DcertDir=d:\ssl
-DtrustedCert=cacert.der
-DsslCert=servercert.der
-DsslKey=server.key
-Dpassphrase=passphrase.txt
-Dbusinessobjects.migration

Remarque
Vérifiez qu'il existe un espace entre chaque paramètre et aucun espace à la fin des lignes.

5. Enregistrez le fichier et fermez l'éditeur de texte.

Les utilisateurs peuvent à présent utiliser SSL pour accéder à l'outil de conversion de rapports.

Informations associées

Pour créer un fichier de clé et un fichier de certificat pour un ordinateur [page 182]

8.15 Description de la communication entre les composants

de la plateforme de BI

Si votre système de la plateforme de BI est déployé entièrement sur le même sous-réseau sécurisé, il n'est pas
nécessaire d'appliquer une configuration spéciale à vos pare-feu. Toutefois, vous pouvez choisir de déployer
certains composants sur différents sous-réseaux séparés par un ou plusieurs pare-feu.

Il est important de bien comprendre la communication entre les serveurs de la plateforme de BI, les applications
client enrichi et le serveur d'applications Web qui héberge le SDK de SAP BusinessObjects Enterprise avant de
configurer votre système afin qu'il fonctionne avec les pare-feu.

Informations associées

Configuration de la plateforme de BI pour les pare-feu [page 206]

Exemples de scénarios classiques de pare-feu [page 210]

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 191
8.15.1 Présentation des serveurs de la plateforme de BI et des
ports de communication
Il est important de comprendre le fonctionnement des serveurs de la plateforme de BI et de leurs ports de
communication si le système déployé comporte des pare-feu.

8.15.1.1 Chaque serveur de la plateforme de BI est lié à un port

de requêtes
Les serveurs de la plateforme de BI, l'Input File Repository Server par exemple, sont liés à un port de requêtes lors
de leur démarrage. D'autres composants de la plateforme de BI, notamment les serveurs, les applications client
enrichi et le SDK hébergé sur le serveur d'applications Web peuvent utiliser ce port de requêtes pour
communiquer avec le serveur.

Les serveurs sélectionnent dynamiquement leur numéro de port de requêtes au démarrage ou redémarrage, sauf
s'ils sont configurés pour utiliser un numéro de port spécifique. Un numéro de port de requêtes spécifique doit
être configuré manuellement pour les serveurs qui communiquent avec d'autres composants de la plateforme de
BI à travers un pare-feu.

8.15.1.2 Chaque serveur de la plateforme de BI s'enregistre

auprès du CMS
Lorsqu'ils démarrent, les serveurs de la plateforme de BI s'enregistrent auprès du CMS. Le CMS enregistre alors :

● le nom d'hôte (ou l'adresse IP) de l'ordinateur hôte du serveur ;

● le numéro du port de requêtes du serveur.

8.15.1.3 Le CMS utilise deux ports

Le CMS utilise deux ports : le port de requêtes et le port du serveur de noms. Le port de requêtes est sélectionné
dynamiquement par défaut. Le port du serveur de noms par défaut est 6400.

Tous les serveurs de la plateforme de BI et applications client contactent tout d'abord le CMS™ sur son port de
serveur de noms. Le CMS™ répondra à ce contact initial en renvoyant la valeur de son port de requêtes. Les
serveurs utilisent ensuite ce port de requêtes pour communiquer avec le CMS™.

8.15.1.4 Répertoire des services enregistrés du CMS (Central

Management Server)
Le CMS fournit un répertoire des services qu'il a enregistrés. Les autres composants de la plateforme de BI, tels
que les services, les clients enrichis et le SDK hébergé sur le serveur d'applications Web peuvent contacter le CMS

Business Intelligence Platform Administrator Guide

192 PUBLIC Securing the BI Platform
et demander une référence à un serveur particulier. La référence d'un service contient le numéro du port de
requêtes du service, le nom d'hôte (ou l'adresse IP) de l'ordinateur hôte du serveur et l'ID du service.

Les composants de la plateforme de BI peuvent résider sur un sous-réseau différent de celui du serveur qu'ils
utilisent. Le nom d'hôte (ou l'adresse IP) contenu dans la référence du service doit pouvoir être acheminé depuis
l'ordinateur sur lequel se trouve le composant.

Remarque
La référence à un serveur de la plateforme de BI contient le nom d'hôte par défaut de l'ordinateur sur lequel se
trouve le serveur. (Si un ordinateur a plusieurs noms d'hôte, le principal est choisi). Vous pouvez configurer un
serveur de façon à ce que sa référence contiennent l'adresse IP et non le nom d'hôte.

Informations associées

Communication entre les composants de la plateforme de BI [page 194]

8.15.1.5 Les Server Intelligence Agents communiquent avec le

Central Management Server

Votre déploiement ne pourra pas fonctionner si le SIA (Server Intelligence Agent) et le CMS (Central Management
Server) ne peuvent pas communiquer entre eux. Assurez-vous que les ports de votre pare-feu sont configurés de
façon à autoriser la communication entre tous les SIA et tous les CMS du cluster.

8.15.1.6 Les processus enfants du Job Server communiquent

avec le niveau données et le CMS

La plupart des Job Servers créent un processus enfant pour gérer des tâches telle que la génération d'un rapport.
Le Job Server crée un ou plusieurs processus enfants. Chaque processus enfant dispose de son propre port de
requêtes.

Par défaut, chaque Job Server sélectionne dynamiquement un port de requêtes pour chaque processus enfant.
Vous pouvez spécifier une plage de ports dans laquelle le Job Server peut effectuer sa sélection.

Tous les processus enfants communiquent avec le CMS. Si cette communication s'effectue via un pare-feu, vous
devez effectuer les tâches suivantes :

● Spécifiez la plage de numéros de port depuis lesquels le Job Server peut effectuer sa sélection en ajoutant les
paramètres -requestJSChildPorts <port inférieur>-<port supérieur> et -requestPort
<port> à la ligne de commande du serveur. Cette plage doit être suffisamment grande pour autoriser le
nombre maximal de processus enfants spécifié par -maxJobs.
● Ouvrir la plage de port spécifiée sur le pare-feu.

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 193
De nombreux processus enfants communiquent avec le niveau données. Par exemple, un processus enfant peut
se connecter à une base de données de reporting, extraire les données, puis calculer des valeurs pour un rapport.
Si le processus enfant du Job Server communique avec le niveau données via un pare-feu, vous devez :

● Ouvrir un chemin de communication sur le pare-feu à partir de n'importe quel port de l'ordinateur hébergeant
le Job Server vers le port d'écoute de base de données de l'ordinateur hébergeant le serveur de base de
données.

Informations associées

Présentation des lignes de commande [page 1000]

8.15.2 Communication entre les composants de la plateforme

de BI

Dans les workflows classiques, les composants de la plateforme de BI tels que les clients navigateur, les
applications client enrichi, les serveurs et le SDK hébergé sur le serveur d'applications Web, communiquent les
uns avec les autres par le biais du réseau. Il est indispensable que vous compreniez ces workflows pour déployer
les produits SAP Business Objects sur différents sous-réseaux séparés par un pare-feu.

8.15.2.1 Spécifications requises pour la communication entre

les composants de la plateforme de BI

Les déploiements de la plateforme de BI doivent être conformes à ces spécifications.

1. Chaque serveur doit pouvoir établir la communication avec tous les autres serveurs de la plateforme de BI sur
le port de requêtes de ce serveur.
2. Le Central Management Server utilise deux ports. Chaque serveur de la plateforme de BI, application Rich
Client et le serveur d'applications Web qui héberge le SDK doivent pouvoir établir la communication avec le
CMS sur ses deux ports.
3. Chaque processus enfant du Job Server doit pouvoir communiquer avec le CMS.
4. Les clients lourds doivent pouvoir établir la communication avec le port de requêtes des Input et Output
File Repository Servers.
5. Si l'audit est activé pour les clients lourds et les applications Web, ils doivent être en mesure d'initier la
communication avec le port de requêtes des serveurs de traitement adaptatif qui hébergent le service du
proxy d'audit client.
6. Généralement, le serveur d'applications Web qui héberge le SDK doit pouvoir communiquer avec le port de
requêtes de chaque serveur de la plateforme de BI.

Business Intelligence Platform Administrator Guide

194 PUBLIC Securing the BI Platform
 Remarque
Le serveur d'applications Web n'a besoin de communiquer qu'avec les serveurs de la plateforme de BI
utilisés dans le déploiement. Par exemple, si Crystal Reports n'est pas utilisé, le serveur d'applications Web
n'a pas besoin de communiquer avec les Crystal Reports Cache Servers.

7. Les Job Servers utilisent les numéros de port spécifiés avec la commande -requestJSChildPorts
<portinférieur>-<portsupérieur>. Si aucune plage n'est spécifiée sur la ligne de commande, les
serveurs utilisent des numéros de port aléatoires. Pour permettre à un Job Server de communiquer avec un
CMS, un serveur FTP, SFTP ou un serveur de messagerie sur un autre ordinateur, ouvrez tous les ports de la
plage spécifiée par -requestJSChildPorts sur votre pare-feu.
8. Le CMS doit être en mesure de communiquer avec le port d'écoute de la base de données du CMS.
9. Le serveur de connexion, la plupart des processus enfant du Job Server et tous les serveurs de traitement
d'audit et bases de données système doivent pouvoir établir une communication avec le port d'écoute de la
base de données de reporting.

Informations associées

Configuration requise pour les ports de la plateforme de Business Intelligence [page 195]

8.15.2.2 Configuration requise pour les ports de la plateforme

de Business Intelligence

Cette section répertorie les ports de communication utilisés par les serveurs de la plateforme de BI, les
applications client lourd, le serveur d'applications Web hébergeant le SDK et les applications logicielles tierces. Si
vous déployez la plateforme de BI avec des pare-feu, ces informations vous permettront d'ouvrir le nombre
minimal de ports dans ces pare-feu.

8.15.2.2.1 Ports requis pour les applications de la plateforme

de BI

Ce tableau répertorie les serveurs et les numéros de port utilisés par les applications de la plateforme de BI.

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 195
Table 16 :

Produit Application cli­ Serveurs associés Spécifications requises pour le port du serveur
ente

Crystal Reports Concepteur SAP CMS Port de serveur de noms du CMS (6400 par dé­
Crystal Re­ faut)
Input FRS
ports 2016
Port de requêtes du CMS
Output FRS
Port de requêtes de l'Input FRS
Report Application Server (RAS) de
Crystal Reports 2016 Port de requêtes de l'Output FRS

Serveur de traitement Crystal Re­ Port de requêtes du Report Application Server

ports 2016 de Crystal Reports 2016

Crystal Reports Cache Server Port de requêtes du serveur de traitement Crys­

tal Reports 2016

Port de requêtes du Crystal Reports Cache Ser­

ver

Crystal Reports Concepteur SAP CMS Port de serveur de noms du CMS (6400 par dé­
Crystal Reports faut)
Input FRS
pour Enterprise
Port de requêtes du CMS
Output FRS
Port de requêtes de l'Input FRS
Crystal Reports Processing Server
Port de requêtes de l'Output FRS
Crystal Reports Cache Server
Port de requêtes du serveur de traitement Crys­
tal Reports

Port de requêtes du Crystal Reports Cache Ser­

ver

Tableaux de SAP Busines­ CMS Port de serveur de noms du CMS (6400 par dé­
bord sObjects Dash­ faut)
Input FRS
boards
Port de requêtes du CMS
Output FRS
Port de requêtes de l'Input FRS
Application de fournisseur de servi­
ces Web (dswsbobje.war) héber­ Port de requêtes de l'Output FRS
geant les services Web Dashboards,
Port HTTP (80 par défaut)
Live Office et QaaWS requis pour cer­
taines connexions de sources de don­
nées

Live Office Client Live Office Application de fournisseur de servi­ Port HTTP (80 par défaut)
ces Web (dswsbobje.war) héber­
geant le service Web Live Office

Business Intelligence Platform Administrator Guide

196 PUBLIC Securing the BI Platform
 Produit Application cli­ Serveurs associés Spécifications requises pour le port du serveur
ente

Plateforme de SAP Busines­ CMS Port de serveur de noms du CMS (6400 par dé­
BI sObjects Web In­ faut)
Input FRS
telligence Rich
Port de requêtes du CMS
Client
Port de requêtes de l'Input FRS

Plateforme de Outil de concep­ CMS Port de serveur de noms du CMS (6400 par dé­
BI tion d'univers faut)
Input FRS
Port de requêtes du CMS
Serveur de connexion
Port de requêtes de l'Input FRS

Port du serveur de connexion

Plateforme de Gestionnaire de CMS Port de serveur de noms du CMS (6400 par dé­
BI vues d'entre­ faut)
Input FRS
prise
Port de requêtes du CMS

Port de requêtes de l'Input FRS

Plateforme de Central Configu­ CMS Les ports suivants doivent être ouverts pour per­
BI ration Manager mettre au CCM de gérer des serveurs de la plate­
Server Intelligence Agent
(CCM) forme de BI distants :

Port de serveur de noms du CMS (6400 par dé­

faut)

Port de requêtes du CMS

Les ports suivants doivent être ouverts pour per­

mettre au CCM de gérer des processus SIA dis­
tants :

Microsoft Directory Services (port TCP 445)

NetBIOS Session Service (port TCP 139)

NetBIOS Datagram Service (port UDP 138)

NetBIOS Name Service (port UDP 137)

DNS (port TCP/UDP 53)

(Notez que certains ports mentionnés ci-dessus

peuvent ne pas être requis. Consultez votre ad­
ministrateur Windows).

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 197
Produit Application cli­ Serveurs associés Spécifications requises pour le port du serveur
ente

Plateforme de Server Intelli­ Tous les serveurs de la plateforme de Port de requêtes du Server Intelligence Agent
BI gence Agent BI y compris le CMS (6410 par défaut)
(SIA
Port de serveur de noms du CMS (6400 par dé­
) faut)

Port de requêtes du CMS

Plateforme de Outil de conver­ CMS Port de serveur de noms du CMS (6400 par dé­
BI sion de rapport faut)
Input FRS
Port de requêtes du CMS

Port de requêtes de l'Input FRS

Plateforme de Repository Diag­ CMS Port de serveur de noms du CMS (6400 par dé­
BI nostic Tool faut)
Input FRS
Port de requêtes du CMS
Output FRS
Port de requêtes de l'Input FRS

Port de requêtes de l'Output FRS

Plateforme de SDK de la plate­ Tous les serveurs de la plateforme de Port de serveur de noms du CMS (6400 par dé­
BI forme de BI hé­ BI requis par les produits déployés. faut)
bergé dans le
Par exemple, la communication avec Port de requêtes du CMS
serveur d'appli­
le port de requêtes du serveur de trai­
cations Web Port de requêtes pour chaque serveur requis.
tement Crystal Reports 2016 est re­
Par exemple, le port de requêtes du serveur de
quise si le SDK extrait des rapports
traitement Crystal Reports 2016
Crystal du CMS et interagit avec eux.

Plateforme de Fournisseur de Tous les serveurs de la plateforme de Port de serveur de noms du CMS (6400 par dé­
BI services Web BI requis par les produits accédant faut)
(dswsbobje.w aux services Web.
Port de requêtes du CMS
ar)
Par exemple, la communication avec
Port de requêtes pour chaque serveur requis.
les ports de requêtes de Cache Ser­
Par exemple, les ports de requête de Dash­
ver et de serveur de traitement Dash­
boards Cache Server et de serveur de traitement
boards est requise si SAP Busines­
Dashboards.
sObjects Dashboards accède aux
connexions de sources de données
Enterprise par le biais du fournisseur
de services Web.

Business Intelligence Platform Administrator Guide

198 PUBLIC Securing the BI Platform
 Produit Application cli­ Serveurs associés Spécifications requises pour le port du serveur
ente

Plateforme de SAP Busines­ CMS Port de serveur de noms du CMS (6400 par dé­
BI sObjects Analy­ faut)
Serveur de traitement adaptatif hé­
sis, édition pour
bergeant le service MDAS (Multi-Di­ Port de requêtes du CMS
OLAP
mensional Analysis Service)
Port de requêtes du serveur de traitement adap­
Input FRS tatif

Output FRS Port de requêtes de l'Input FRS

Port de requêtes de l'Output FRS

8.15.2.2.2 Spécifications requises pour les ports des

applications tierces

Ce tableau répertorie les logiciels tiers utilisés par les produits SAP BusinessObjects. Il contient des exemples
spécifiques de certains distributeurs de logiciels, mais les spécifications de port diffèrent d'un distributeur à
l'autre.

Table 17 :

Application tierce Composant SAP Busines­ Spécifications de port requises Description

sObjects utilisant le pro­ pour l'application tierce
duit tiers

Base de données Central Management Ser­ Port d'écoute du serveur de base Le CMS est le seul serveur qui com­
système du CMS ver (CMS) de données munique avec la base de données sys­
tème du CMS.

Base de données Central Management Ser­ Port d'écoute du serveur de base Le CMS est le seul serveur qui com­
d'audit du CMS ver (CMS) de données munique avec la base de données
d'audit du CMS.

Base de données de Serveur de connexion Port d'écoute du serveur de base Ces serveurs extraient les informa­
reporting de données tions de la base de données de report­
Chaque processus enfant
ing.
du Job Server

Chaque serveur de traite­

ment

Serveurs d'applica­ Tous les services Web et Port HTTP et port HTTPS. Le port HTTPS n'est requis qu'en cas
d'utilisation d'une communication
tions Web applications Web SAP
Par exemple, sur Tomcat, le port HTTP sécurisée.
BusinessObjects, notam­
HTTP par défaut est le 8080 et le
ment la zone de lancement
port HTTPS le 443.
BI et la CMC

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 199
Application tierce Composant SAP Busines­ Spécifications de port requises Description
sObjects utilisant le pro­ pour l'application tierce
duit tiers

Serveur FTP Chaque Job Server FTP In (port 21) Les Job Servers utilisent les ports FTP
pour autoriser l'envoi vers FTP (send
FTP Out (port 22)
to FTP).

Business Intelligence Platform Administrator Guide

200 PUBLIC Securing the BI Platform
 Application tierce Composant SAP Busines­ Spécifications de port requises Description
sObjects utilisant le pro­ pour l'application tierce
duit tiers

Serveur SFTP Chaque Job Server SFTP (port 22) Les Job Servers utilisent les ports
SFTP pour autoriser l'envoi vers SFTP.

Remarque
Une empreinte de clé d'hôte est
utilisée pour sécuriser une conne­
xion SSH et empêcher les attaques
internes. Il s'agit d'un paramètre
non nul obligatoire requis pour
configurer SFTP. Le processus de
génération de l'empreinte de clé
d'hôte varie selon le serveur SFTP
utilisé.

L'Administrateur/L'utilisateur doit
configurer l'empreinte SHA-1 pour
activer SFTP. Il peut se reporter à
la documentation produit de 'im­
plémentation de serveur SSH/
SFTP pour générer une empreinte
SHA-1.

Exemple
Les clients SFTP courants, tels que
PuTTY et WinSCP, utilisent des
empreintes MD5 pour identifier de
façon unique les serveurs SFTP.
Les empreintes MD5 ne fonction­
nent pas. Pour en savoir plus sur
l'extraction des empreintes SHA-1,
voir la documentation relative au
serveur SFTP. Voici un exemple de
méthode avec un fichier de clé pu­
blique et des outils OpenSSH Unix.
Avec un fichier de clé publique
nommé RSAKey.pub qui contient :
ssh-rsa <base64 encoded
key>, exécutez le script suivant :
cut -d ' ' -f 2 <
RSAKey.pub | base64 -d
| openssl dgst -c -sha1.

qui génère, par exemple,

(stdin)=
00:93:1e:cc:bd:cc:

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 201
Application tierce Composant SAP Busines­ Spécifications de port requises Description
sObjects utilisant le pro­ pour l'application tierce
duit tiers

43:05:41:89:5f:
5c:c7:91:1d:11:a0:1e:
58:e8, où la série de 20 chiffres
dépend de la valeur de la clé publi­
que codée en base64. Utilisez la
valeur à 20 chiffres
00:93:1e:cc:bd:cc:
43:05:41:89:5f:
5c:c7:91:1d:11:a0:1e:
58:e8 pour l'empreinte de clé
d'hôte.

Recommandation
Il est recommandé d'activer la con­
figuration SFTP sur la page des
serveurs de la CMC dans BOE et
d'utiliser les paramètres par défaut
lors de l'envoi vers les serveurs
SFTP.

Business Intelligence Platform Administrator Guide

202 PUBLIC Securing the BI Platform
 Application tierce Composant SAP Busines­ Spécifications de port requises Description
sObjects utilisant le pro­ pour l'application tierce
duit tiers

Serveur de messa­ Chaque Job Server SMTP (port du serveur SMTP) Vous pouvez utiliser le même port
gerie pour SMTPS et SMTP. Toutefois, pour
SMTPS, assurez-vous que SSL/TLS
soit activé sur le serveur à l'aide de la
commande smtp STARTTLS.

Les Job Servers utilisent les ports

SMTP pour autoriser l'envoi vers la
messagerie (send to email).

Configuration de l'Adaptative Job

Server :

Pour configurer l'Adaptative Job Ser­

ver, réalisez les étapes ci-dessous :

1. Lancez la CMC (Central Manage­

ment Console).
2. Sélectionnez Serveurs dans le
menu déroulant.
3. Cliquez avec le bouton droit sur
AdaptiveJobServer et sélection­
nez Destination.
4. Sélectionnez Adresse
électronique dans le menu dérou­
lant.
Si vous n'avez pas déjà ajouté le
serveur de messagerie comme
destination, vous devez alors
d'abord ajouter le serveur de
messagerie avant de continuer.
5. Saisissez les informations néces­
saires.
6. Cochez l'option Activer SSL si né­
cessaire.
7. Choisissez Enregistrer et fermer.

Configuration SMTP sur SSL :

Pour configurer SMTP sur SSL, le ser­

veur et le système BOE client doivent
comporter le même serveur SMTP.

Pour configurer SMTP sur SSL, suivez

les étapes mentionnées ci-dessous :

1. Générez un certificat à partir d'un

serveur SMTP.

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 203
Application tierce Composant SAP Busines­ Spécifications de port requises Description
sObjects utilisant le pro­ pour l'application tierce
duit tiers

2. Dans la fenêtre Destination, co­

chez la case Activer SSL.
3. Saisissez le chemin absolu d'ac­
cès au certificat SMTP.

Remarque
Saisissez le chemin absolu
d'accès au certificat SMTP. Si
vous ne saisissez pas de che­
min absolu d'accès au certifi­
cat SMTP, vous pouvez saisir
un espace réservé (%SI_DE­
FAULT_CERT_LOC%) et le
système le lit comme l'empla­
cement par défaut, c'est-à-
dire \SAP
BusinessObjects
Enterprise XI
4.0\win64_x64\ ou \SAP
BusinessObjects
Enterprise XI
4.0\win32_x86\ et re­
cherche le certificat (le nom
par défaut du certificat est
certificate.crt).

4. Sélectionnez la Sécurité de
connexion.

Remarque
Par défaut, l'option StartTLS
est sélectionnée. Vous pouvez
choisir de sélectionner SSL/
TLS.

5. Sélectionnez la version TLS sou­

haitée.

Remarque
Par défaut, TLS v1.0 est sélec­
tionnée. Vous pouvez choisir

Business Intelligence Platform Administrator Guide

204 PUBLIC Securing the BI Platform
 Application tierce Composant SAP Busines­ Spécifications de port requises Description
sObjects utilisant le pro­ pour l'application tierce
duit tiers

de sélectionner TLS v1.1 ou

TLS v1.2.

6. Cliquez sur Enregistrer et fermer.

La configuration SMTP sur SSL est

terminée.

Remarque
Lorsque vous réalisez une mise à
jour de correctif de la version BI 4.1
SP6 vers une version ultérieure,
par défaut, les options StartTLS et
TLS v1.0 sont sélectionnées.

Remarque
● En cochant la case Activer
SSL, l'utilisateur active un ca­
nal sécurisé. Cela permet de
sécuriser la communication
SMTP sur SSL.
● Vous pouvez configurer un
seul certificat SMTP par Adap­
tative Job Server. Vous ne
pouvez pas avoir plusieurs
certificats configurés pour un
job server.
● L'option Activer SSL est dispo­
nible uniquement dans l'Adap­
tive Job Server et non au ni­
veau du document.

Serveurs UNIX aux­ Chaque Job Server window, vérifier therexec out (UNIX uniquement) Les Job Servers
quels les Job Ser­ (port 512) utilisent ces ports pour autoriser l'en­
vers peuvent en­ voi vers le disque (send to disk).
(UNIX uniquement) rsh out
voyer du contenu
(port 514)

Serveur d'authentifi­ CMS™ Port de connexion pour l'authen­ Les références de connexion utilisa­
cation tification tierce teur sont stockées sur le serveur d'au­
Serveur d'applications Web
thentification tiers. Le CMS™, le SDK et
qui héberge le SDK Par exemple, le serveur de con­
les clients lourds répertoriés ici doi­
nexion pour le serveur LDAP Ora­
Chaque client lourd, comme vent communiquer avec le serveur
cle est défini par l'utilisateur dans
Live Office. d'authentification tiers lorsqu'un utili­
le fichier ldap.ora.
sateur se connecte.

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 205
8.16 Configuration de la plateforme de BI pour les pare-feu

Cette section explique de façon progressive comment configurer un système de la plateforme de BI de façon à ce
qu'il fonctionne dans un environnement équipé d'un pare-feu.

8.16.1 Pour configurer le système pour des pare-feu

1. Déterminez quels composants de la plateforme de BI doivent communiquer via un pare-feu.

2. Configurez manuellement le port de requêtes de chaque serveur de la plateforme de BI devant communiquer
via un pare-feu.
3. Configurez une plage de ports pour les enfants de Job Server devant communiquer à travers un pare-feu en
ajoutant les paramètres -requestJSChildPorts <port inférieur>-<port supérieur> et -
requestPort <port> à la ligne de commande du serveur.
4. Configurez le pare-feu de façon à permettre la communication avec les ports de requêtes et la plage de ports
du Job Server sur les serveurs de la plateforme de BI configurés à l'étape précédente.
5. (Facultatif) Configurez le fichier hosts sur chaque ordinateur qui héberge un serveur de la plateforme de BI
devant communiquer via un pare-feu.

Informations associées

Communication entre les composants de la plateforme de BI [page 194]

Configuration des numéros de port [page 437]
Présentation des lignes de commande [page 1000]
Spécification des règles de pare-feu [page 206]
Configurer le fichier hosts pour les pare-feu qui utilisent NAT [page 208]

8.16.1.1 Spécification des règles de pare-feu

Vous devez configurer le pare-feu de façon à permettre le trafic entre les différents composants de la plateforme
de BI. Pour en savoir plus sur la spécification de ces règles, consultez la documentation de votre pare-feu.

Spécifiez une règle d'accès entrant pour chaque chemin de communication qui passe par le pare-feu. Il se peut
que vous n'ayez pas à spécifier de règle d'accès pour chaque serveur de la plateforme de BI protégé par le pare-
feu.

Utilisez le numéro de port spécifié dans la zone Port de requêtes du serveur sur la page Propriétés du serveur
dans la CMC. N'oubliez pas que chaque serveur d'un même ordinateur doit utiliser un numéro de port unique.
Certains serveurs SAP BusinessObjects utilisent plusieurs ports.

Business Intelligence Platform Administrator Guide

206 PUBLIC Securing the BI Platform
 Remarque
Si la plateforme de BI est déployée via des pare-feu utilisant NAT, chaque serveur sur chaque ordinateur doit
utiliser un numéro de port de requêtes unique. Autrement dit, aucun serveur d'un même déploiement ne peut
partager le même port de requêtes.

Remarque
Il n'est pas nécessaire de spécifier de règles d'accès sortant. Les serveurs de la plateforme de BI n'établissent
pas de communication pas avec le serveur d'applications Web ou avec les applications client. Les serveurs de
la plateforme de BI peuvent établir la communication vers d'autres serveurs de la plateforme de BI du même
cluster. Les déploiements avec des serveurs en cluster dans un environnement dont la sortie est protégée par
pare-feu ne sont pas pris en charge.

Exemple
Cet exemple montre les règles d'accès entrant pour un pare-feu situé entre le serveur d'applications Web et les
serveurs de la plateforme de BI. Dans ce cas, vous devez ouvrir deux ports pour le CMS, l'un pour l'Input FRS
(File Repository Server) et l'autre pour l'Output FRS. Les numéros de port de requêtes sont les numéros de
port spécifiés dans la zone Port de demande de la page de configuration de la CMC d'un serveur.

Table 18 :

Ordinateur source Port Ordinateur de desti­ Port Action

nation

Serveurs d'applications N'importe lequel CMS 6400 Autoriser

Web

Serveurs d'applications N'importe lequel CMS <Numéro de port de Autoriser

Web requêtes>

Serveurs d'applications N'importe lequel Input FRS <Numéro de port de Autoriser

Web requêtes>

Serveurs d'applications N'importe lequel Output FRS <Numéro de port de Autoriser

Web requêtes>

N'importe lequel N'importe lequel CMS N'importe lequel Rejeter

N'importe lequel N'importe lequel Autres serveurs de N'importe lequel Rejeter

plateforme

Informations associées

Communication entre les composants de la plateforme de BI [page 194]

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 207
8.16.1.2 Configurer le fichier hosts pour les pare-feu qui
utilisent NAT

Cette étape est requise uniquement si les serveurs de la plateforme de BI doivent communiquer à travers un pare-
feu sur lequel est activé Network Address Translation (NAT). Cette étape permet aux ordinateurs clients de
mapper le nom d'hôte d'un serveur sur une adresse IP accessible.

Remarque
La plateforme de BI peut être déployée sur des ordinateurs utilisant DNS (Domain Name System). Dans ce cas,
les noms d'hôte de l'ordinateur serveur peuvent être mappés sur une adresse IP accessible sur le serveur DNS,
au lieu de le faire dans le fichier hosts de chaque ordinateur.

Traduction d'adresses réseau (NAT)

Un pare-feu est déployé pour protéger un réseau interne des accès non autorisés. Les pare-feu utilisant NAT
mapperont les adresses IP à partir du réseau interne sur une adresse différente utilisée par le réseau externe.
Cette traduction d'adresses améliore la sécurité en masquant les adresses IP internes du réseau externe.

Les composants de la plateforme de BI tels que les serveurs, les applications client lourd et le serveur
d'applications Web hébergeant le SDK de utilisent une référence de service pour contacter un serveur. La
référence de service contient le nom d'hôte de l'ordinateur serveur. Ce nom d'hôte doit être accessible à partir de
l'ordinateur du composant de la plateforme de BI. Cela signifie que le fichier hosts sur l'ordinateur du composant
doit mapper le nom d'hôte du serveur sur l'adresse IP externe du serveur. L'adresse IP externe du serveur est
accessible du côté extérieur du pare-feu, tandis que l'adresse IP interne ne l'est pas.

La procédure de configuration du fichier hosts est différente pour Windows et UNIX.

8.16.1.2.1 Pour configurer le fichier hôtes sous Windows

1. Localisez tous les ordinateurs exécutant un composant de la plateforme de BI qui doit communiquer à travers
un pare-feu sur lequel Network Address Translation (NAT) est activé.
2. Sur chaque ordinateur localisé à l'étape précédente, ouvrez le fichier hosts à l'aide d'un éditeur de texte tel
que Notepad. Le fichier hosts est situé dans \WINNT\system32\drivers\etc\hosts.
3. Suivez les instructions du fichier hosts pour ajouter une entrée pour chaque ordinateur se trouvant derrière
le pare-feu qui exécute un ou plusieurs serveurs de la plateforme de BI. Mappez le nom d'hôte de l'ordinateur
serveur ou le nom de domaine complet sur son adresse IP externe.
4. Enregistrez le fichier hosts.

Business Intelligence Platform Administrator Guide

208 PUBLIC Securing the BI Platform
8.16.1.2.2 Configuration du fichier hosts sous UNIX

Remarque
Votre système d'exploitation UNIX doit être configuré de façon à consulter d'abord le fichier hosts pour
résoudre les noms de domaine avant de consulter le DNS. Consultez votre documentation UNIX pour plus de
détails.

1. Localisez tous les ordinateurs exécutant un composant de la plateforme de BI qui doit communiquer à travers
un pare-feu sur lequel Network Address Translation (NAT) est activé.
2. Ouvrez le fichier hosts à l'aide d'un éditeur tel que vi. Le fichier hosts est situé dans le répertoire \etc.
3. Suivez les instructions du fichier hosts pour ajouter une entrée pour chaque ordinateur se trouvant derrière
le pare-feu qui exécute un ou plusieurs serveurs de la plateforme de BI. Mappez le nom d'hôte de l'ordinateur
serveur ou le nom de domaine complet sur son adresse IP externe.
4. Enregistrez le fichier hosts.

8.16.2 Débogage d'un déploiement équipé d'un pare-feu

Si un ou plusieurs serveurs de la plateforme de BI ne fonctionnent pas lorsque votre pare-feu est activé et cela
même lorsque les ports attendus sont ouverts sur le pare-feu, vous pouvez utiliser les journaux d'événements
pour déterminer quels serveurs tentent d'écouter sur quels ports ou quelles adresses IP. Vous pouvez alors soit
ouvrir ces ports sur votre pare-feu, soit utiliser la CMC (Central Management Console) pour modifier les numéros
de port ou les adresses IP sur lesquels ces serveurs tentent d'écouter.

A chaque démarrage d'un serveur de la plateforme de BI, celui-ci consigne les informations suivantes dans le
journal d'événements pour chaque port de requête avec lequel il tente d'entrer en liaison.

● Serveur - Nom du serveur et si son lancement a réussi.

● Adresses publiées - Liste de combinaisons d'adresses IP et de ports enregistrées dans le service de noms que
vont utiliser les autres serveurs pour communiquer avec ce serveur.

Si le serveur parvient à établir une liaison avec un port, le fichier journal affiche également Ecoute sur les ports
(adresse IP et port sur lesquels écoute le serveur). Si le serveur ne parvient pas à établir de liaison avec le port, le
fichier journal affiche Echec de l'écoute sur les ports (adresse IP et port sur lesquels le serveur tente d'écouter et
échoue).

Au démarrage d'un serveur Central Management Server, il consigne également les informations Adresses
publiées, Ecoute sur les ports et Echec de l'écoute sur les ports pour le port du service des noms associé au
serveur.

Remarque
Si le serveur est configuré pour utiliser un port affecté automatiquement ainsi qu'un nom d'hôte ou une
adresse IP non valide, le journal d'événements indique que le serveur a échoué dans sa tentative d'écoute sur
(nom d'hôte ou adresse IP et port « 0 »). Si un nom d'hôte ou une adresse IP spécifié(e) n'est pas valide, le
serveur échoue avant que le système d'exploitation hôte ne lui attribue de port.

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 209
 Exemple
L'exemple suivant indique l'entrée d'un Central Management Server qui écoute avec succès sur deux ports de
requêtes et un port du service de noms.

Server mynode.cms1 successfully started.

Request Port :
Published Address(es): mymachine.corp.com:11032, mymachine.corp.com:8765
Listening on port(s): [2001:0db8:85a3:0000:0000:8a2e:0370:7334]:11032,
10.90.172.216:8765
Name Service Port :
Published Address(es): mymachine.corp.com:6400
Listening on port(s): [2001:0db8:85a3:0000:0000:8a2e:0370:7334]:6400,
10.90.172.216:6400

8.16.2.1 Débogage d'un déploiement équipé d'un pare-feu

1. Lisez le journal d'événements pour déterminer si le serveur réussit à établir la liaison avec le port que vous
avez spécifié.
Si le serveur n'a pas pu établir de liaison avec un port, il y a probablement conflit de port entre le serveur et un
autre processus en cours d'exécution sur la même machine. L'entrée Echec de l'écoute sur indique le port sur
lequel porte la tentative d'écoute du serveur. Exécutez un utilitaire de type netstat pour déterminer le
processus suivi par le port, puis configurez soit l'autre processus, soit un autre port d'écoute pour le serveur.
2. Si le serveur a réussi à établir une liaison avec un port, l'entrée Ecoute sur indique le port sur lequel le serveur
écoute. Si un serveur écoute un port et ne fonctionne toujours pas correctement, vérifiez que ce port est
ouvert dans le pare-feu ou configurez le serveur de manière à ce qu'il écoute sur un port ouvert.

Si tous les Central Management Servers de votre déploiement tentent d'écouter sur des ports ou des adresses IP
indisponibles, les CMS ne démarrent pas et vous ne pouvez pas vous connecter à la CMC. Si vous souhaitez
modifier le numéro de port ou l'adresse IP sur lesquels le CMS tente d'écouter, vous devez utiliser le Central
Configuration Manager (CCM) pour spécifier un numéro de port ou une adresse IP valide.

Informations associées

Configuration des numéros de port [page 437]

8.17 Exemples de scénarios classiques de pare-feu

Cette section fournit des exemples de scénarios de déploiement de pare-feu classiques.

Business Intelligence Platform Administrator Guide

210 PUBLIC Securing the BI Platform
8.17.1 Exemple - Niveau application déployé sur un réseau
distinct

Cet exemple explique comment configurer un pare-feu et la plateforme de BI afin qu'ils puissent fonctionner
ensemble dans un déploiement où le pare-feu sépare le serveur d'applications Web des autres serveurs de la
plateforme de BI.

Dans cet exemple, les composants de la plateforme de BI sont déployés sur les ordinateurs suivants :

● L'ordinateur boe_1 héberge le serveur d'applications Web et le SDK.

● L'ordinateur boe_2 héberge les serveurs de niveau Intelligence, notamment le Central Management Server,
l'Input File Repository Server, l'Output File Repository Server, et l'Event Server.
● L'ordinateur boe_3 héberge les serveurs de niveau Traitement, notamment l'Adaptative Job Server, le
serveur de traitement Web Intelligence, le Report Application Server, le Crystal Reports Cache Server et le
serveur de traitement Crystal Reports.
Figure 10 : Niveau application déployé sur un réseau distinct

8.17.1.1 Pour configurer un niveau application déployé sur un

réseau distinct

Les étapes suivantes expliquent comment configurer cet exemple.

1. Cette configuration s'applique à l'exemple suivant :

○ Le serveur d'applications Web qui héberge le SDK doit pouvoir communiquer avec le CMS sur ses deux
ports.
○ Le serveur d'applications Web qui héberge le SDK doit pouvoir communiquer avec chaque serveur de la
plateforme de BI.
○ Le navigateur doit pouvoir accéder au port de requêtes HTTP ou HTTPS sur le serveur d'applications
Web.

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 211
2. Le serveur d'applications Web doit pouvoir communiquer avec tous les serveurs sur les ordinateurs boe_2 et
boe_3. Configurez les numéros de port de chaque serveur sur ces ordinateurs. Notez que vous pouvez utiliser
n'importe quel port disponible compris entre 1025 et 65535.
Les numéros de port choisis pour cet exemple sont indiqués dans le tableau ci-dessous.

Table 19 :
Serveur Numéro de port

Central Management Server 6400

Central Management Server 6411

Input File Repository Server 6415

Output File Repository Server 6420

Event Server 6425

Adaptative Job Server 6435

Crystal Reports Cache Server 6440

Web Intelligence Processing Server 6460

Report Application Server 6465

Crystal Reports Processing Server 6470

3. Configurez les pare-feu Pare-feu_1 et Pare-feu_2 de façon à permettre la communication avec les ports
fixes des serveurs et du serveur d'applications Web que vous avez configuré à l'étape précédente.

Dans cet exemple, nous ouvrons le port HTTP pour le serveur d'applications Tomcat.

Table 20 : Configuration de Pare-feu_1

Port Ordinateur de destination Port Action

N'importe lequel boe_1 8080 Autoriser

Table 21 : Configuration de Pare-feu_2

Ordinateur source Port Ordinateur de desti­ Port Action
nation

boe_1 N'importe lequel boe_2 6400 Autoriser

boe_1 N'importe lequel boe_2 6411 Autoriser

boe_1 N'importe lequel boe_2 6415 Autoriser

boe_1 N'importe lequel boe_2 6420 Autoriser

boe_1 N'importe lequel boe_2 6425 Autoriser

boe_1 N'importe lequel boe_3 6435 Autoriser

boe_1 N'importe lequel boe_3 6440 Autoriser

boe_1 N'importe lequel boe_3 6460 Autoriser

boe_1 N'importe lequel boe_3 6465 Autoriser

boe_1 N'importe lequel boe_3 6470 Autoriser

4. Ce pare-feu n'étant pas configuré NAT, il n'est pas nécessaire de configurer le fichier hosts.

Business Intelligence Platform Administrator Guide

212 PUBLIC Securing the BI Platform
Informations associées

Configuration des numéros de port [page 437]

Description de la communication entre les composants de la plateforme de BI [page 191]

8.17.2 Exemple : Client lourd et niveau base de données

séparés des serveurs de la plateforme de BI par un
pare-feu

Cet exemple montre comment configurer un pare-feu et la plateforme de BI afin qu'ils puissent fonctionner
ensemble dans un scénario de déploiement dans lequel :

● un pare-feu sépare un client lourd des serveurs de la plateforme de BI ;

● un pare-feu sépare les serveurs de la plateforme de BI du niveau base de données.

Dans cet exemple, les composants de la plateforme de BI sont déployés sur les ordinateurs suivants :

● L'ordinateur boe_1 héberge l'Assistant de publication. L'Assistant de publication est un client lourd de la
plateforme de BI.
● L'ordinateur boe_2 héberge les serveurs de niveau Intelligence, notamment le CMS
(Central Management Server), l'Input File Repository Server, l'Output File Repository Server, et
l'Event Server.
● L'ordinateur boe_3 héberge les serveurs de niveau Traitement, notamment l'Adaptative Job Server, le
serveur de traitement Web Intelligence, le Report Application Server, le serveur de traitement Crystal Reports
et le Crystal Reports Cache Server.
● L'ordinateur Bases de données héberge les bases de données d'audit et système du CMS, ainsi que la base
de données de reporting. Notez que vous avez la possibilité de déployer les deux bases de données sur le
même serveur de base de données ou de déployer chaque base de données sur son propre serveur de base
de données. Dans cet exemple, toutes les bases de données du CMS et la base de données de reporting sont
déployées sur le même serveur de base de données.
Figure 11 : Rich Client et niveau base de données déployés sur des réseaux distincts

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 213
8.17.2.1 Pour configurer des niveaux séparés des serveurs de la
plateforme de BI par un pare-feu

Les étapes suivantes expliquent comment configurer cet exemple.

1. Appliquez la configuration suivante à cet exemple :

○ L'Assistant de publication doit pouvoir établir la communication avec le CMS™ sur ses deux ports.
○ L'Assistant de publication doit pouvoir établir la communication avec l'Input File Repository Server et
l'Output File Repository Server.
○ Le serveur de connexion, tous les processus enfant du Job Server et tous les serveurs de traitement
doivent avoir accès au port d'écoute sur le serveur de base de données de reporting.
○ Le CMS™ doit pouvoir accéder au port d'écoute de la base de données sur le serveur de base de données
du CMS™.
2. Configurez un port spécifique pour le CMS™, l'Input FRS et l'Output FRS. Notez que vous pouvez utiliser
n'importe quel port disponible compris entre 1025 et 65535.
Les numéros de port choisis pour cet exemple sont indiqués dans le tableau ci-dessous.

Table 22 :
Serveur Numéro de port

Central Management Server ™ 6411

Input File Repository Server 6415

Output File Repository Server 6416

3. Il n'est pas nécessaire de configurer une plage de ports pour les enfants du Job Server dans la mesure où le
pare-feu entre les Job Servers et les serveurs de base de données seront configurés de façon à permettre à
n'importe quel port d'établir la communication.

Business Intelligence Platform Administrator Guide

214 PUBLIC Securing the BI Platform
 4. Configurez <Pare-feu_1> de façon à permettre la communication avec les ports fixes des serveurs de la
plateforme configurés à l'étape précédente. Le port 6400 est le port de serveur de noms par défaut du CMS™
et n'a pas eu besoin d'être configuré explicitement à l'étape précédente.

Table 23 :
Port Ordinateur de destination Port Action

N'importe lequel boe_2 6400 Autoriser

N'importe lequel boe_2 6411 Autoriser

N'importe lequel boe_2 6415 Autoriser

N'importe lequel boe_2 6416 Autoriser

Configurez <Pare-feu_2 >de façon à permettre la communication avec le port d'écoute du serveur de base
de données. Le CMS™ (sur boe_2) doit pouvoir accéder à la base de données système et d'audit du CMS™ et les
Job Servers (sur boe_3) doivent pouvoir accéder aux bases de données système et d'audit. Notez qu'il n'a pas
été nécessaire de configurer une plage de ports pour les processus enfants du Job Server, car leur
communication avec le CMS n'est pas protégée par un pare-feu.

Table 24 :
Ordinateur source Port Ordinateur de desti­ Port Action
nation

boe_2 N'importe lequel Databases 3306 Autoriser

boe_3 N'importe lequel Databases 3306 Autoriser

5. Ce pare-feu n'étant pas configuré NAT, il n'est pas nécessaire de configurer le fichier hosts.

Informations associées

Description de la communication entre les composants de la plateforme de BI [page 191]

Configuration de la plateforme de BI pour les pare-feu [page 206]

8.18 Paramètres de pare-feu pour les environnements

intégrés

Cette section détaille les critères et paramètres de port spécifiques pour les déploiements de la plateforme de BI
s'intégrant aux environnements ERP suivants.

● SAP
● Oracle EBS
● Siebel
● JD Edwards
● PeopleSoft

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 215
Parmi les composants de la plateforme de BI figurent les clients navigateur, les clients enrichis, les serveurs et le
SDK hébergé sur le serveur d'applications Web. Les composants système peuvent être installés sur plusieurs
ordinateurs. Il est utile de comprendre les principes de base de la communication entre la plateforme de BI et les
composants ERP avant de configurer le système en vue d'une utilisation avec des pare-feu.

Ports requis pour les serveurs de la plateforme de BI

Vous trouverez ci-dessous la liste des ports requis pour chaque serveur de la plateforme de BI :

Table 25 :
Spécifications requises pour le port du serveur

● Port du serveur de noms du Central Management Server

● Port de requêtes du Central Management Server
● Port de requêtes de l'Input FRS
● Port de requêtes de l'Output FRS
● Port de requêtes du Report Application Server
● Port de requêtes du Crystal Reports Cache Server
● Port de requêtes du Page Server Crystal Reports
● Port de requêtes du serveur de traitement Crystal Reports

8.18.1 Instructions propres au pare-feu pour l'intégration SAP

Votre déploiement de la plateforme de BI doit observer les règles de communication suivantes :

● Le CMS doit être en mesure d'établir la communication avec le système SAP via le port de passerelle du
système SAP.
● L'Adaptive Job Server et le serveur de traitement Crystal Reports (ainsi que les composants d'accès aux
données) doivent être en mesure d'établir la communication avec le système SAP via le port de passerelle du
système SAP.
● Le composant BW Publisher doit être en mesure d'établir la communication avec le système SAP via le port
de passerelle du système SAP.
● Les composants de la plateforme de BI déployés au niveau du portail SAP Enterprise (par exemple, iViews et
KMC) doivent être en mesure d'établir la communication avec les applications Web de la plateforme de BI via
les ports HTTP/HTTPS.
● Le serveur d'applications Web doit être en mesure d'établir la communication au niveau du service de
passerelle du système SAP.
● Crystal Reports doit être en mesure d'établir la communication avec l'hôte SAP via le port de passerelle du
système SAP et le port de répartiteur du système SAP.

Le port de réception du service de passerelle SAP est celui spécifié lors de l'installation.

Remarque
Si un composant requiert un routeur SAP pour se connecter à un système SAP, vous pouvez configurer le
composant à l'aide de la chaîne de routeur SAP. Par exemple, lorsque vous configurez un système
d'autorisation SAP pour importer des rôles et des utilisateurs, la chaîne de routeur SAP peut remplacer le nom

Business Intelligence Platform Administrator Guide

216 PUBLIC Securing the BI Platform
 du serveur d'applications. Cela garantit que le CMS communiquera avec le système SAP par le biais du routeur
SAP.

Informations associées

Installation d'une passerelle SAP locale [page 913]

8.18.1.1 Spécifications détaillées requises pour le port

Ports requis pour SAP

La plateforme de BI utilise le Connecteur Java SAP (SAP JCO) pour communiquer avec SAP NetWeaver (ABAP).
Vous devez configurer les ports suivants et vous assurer de leur disponibilité :

● Port d'écoute du service de passerelle SAP (par exemple, 3300).

● Port d'écoute du service de répartiteur SAP (par exemple, 3200).

Le tableau suivant répertorie les configurations de port spécifiques dont vous avez besoin.

Ordinateur source Port Ordinateur de Port Action

destination

SAP N'importe lequel Serveur d'applications Port HTTP/HTTPS du Autoriser

Web de la plateforme service Web
de BI

SAP N'importe lequel CMS Port du serveur de Autoriser

noms du CMS

SAP N'importe lequel CMS Port du CMS requis Autoriser

Serveur d'applications N'importe lequel SAP Port du service de Autoriser

Web passerelle du système
SAP

Central Management N'importe lequel SAP Port du service de Autoriser

Server (CMS) passerelle du système
SAP

Crystal Reports™ N'importe lequel SAP Port du service de Autoriser

passerelle du système
SAP et port du
répartiteur du système
SAP

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 217
8.18.2 Configuration du pare-feu pour l'intégration JD Edwards
EnterpriseOne

Les déploiements de la plateforme de BI qui communiqueront avec le logiciel JD Edwards doivent être conformes
à ces règles de communication générales :

● Les applications Web de la Central Management Console doivent être en mesure d'établir la communication
avec JD Edwards EnterpriseOne par le biais du port JDENET et d'un port sélectionné de manière aléatoire.
● Crystal Reports avec le composant côté client Connectivité des données doit être en mesure d'établir la
communication avec JD Edwards EnterpriseOne par le biais du port JDNET. Pour l'extraction de données, le
côté JD Edwards EnterpriseOne doit être en mesure de communiquer avec le pilote via un port aléatoire qui
ne peut pas être contrôlé.
● Le CMS (Central Management Server) doit être en mesure d'établir la communication avec JD Edwards
EnterpriseOne par le biais du port JDENET et d'un port sélectionné de manière aléatoire.
● Le numéro du port JDENET se trouve dans le fichier de configuration du serveur d'applications JD Edwards
EnterpriseOne (JDE.INI) dans la section JDENET.

Ports requis pour les serveurs de la plateforme de BI

Table 26 :
Produit Spécifications requises pour le port du serveur

plateforme SAP ● Port du serveur de connexion de la plateforme de BI

BusinessObjects
Business Intelligence

Exigences en matière de ports pour JD Edwards EnterpriseOne

Table 27 :
Produit Configuration de port Description

JD Edwards EnterpriseOne Port JDENET et un port sélectionné de Utilisé pour la communication établie en­
manière aléatoire tre la plateforme de BI et le serveur d'ap­
plications JD Edwards EnterpriseOne.

Configuration du serveur d'applications Web pour communiquer avec JD

Edwards

Cette section explique comment configurer un pare-feu et la plateforme de BI afin qu'ils puissent fonctionner
ensemble dans un scénario de déploiement dans lequel le pare-feu sépare le serveur d'applications Web des
autres serveurs de la plateforme.

Pour obtenir des informations sur la configuration du pare-feu avec les clients et les serveurs de la plateforme de
BI, voir la section Configuration requise pour les ports de la plateforme de Business Intelligence de ce guide. Outre

Business Intelligence Platform Administrator Guide

218 PUBLIC Securing the BI Platform
la configuration standard des pare-feu, la communication avec les serveurs JD Edwards réclame d'ouvrir des
ports supplémentaires.

Table 28 : Pour JD Edwards EnterpriseOne Enterprise

Ordinateur source Port Ordinateur de destination Port Action

CMS avec fonction Connectivité de la N'importe JD Edwards EnterpriseOne N'importe lequel Autoriser
sécurité pour JD Edwards Enterpri­ lequel
seOne

Serveurs de la plateforme de BI avec N'importe JD Edwards EnterpriseOne N'importe lequel Autoriser

connectivité des données pour JD Ed­ lequel
wards EnterpriseOne

Crystal Reports avec connectivité des N'importe JD Edwards EnterpriseOne N'importe lequel Autoriser
données côté client pour JD Edwards lequel
EnterpriseOne

Serveur d'applications Web N'importe JD Edwards EnterpriseOne N'importe lequel Autoriser

lequel

8.18.3 Instructions propres au pare-feu pour Oracle EBS

Votre déploiement de la plateforme de BI doit permettre aux composants suivants d'établir la communication
avec le port d'écoute de la base de données Oracle :

● Composants Web de la plateforme de BI

● CMS (particulièrement le plug-in de sécurité Oracle EBS)
● Serveurs principaux de la plateforme de BI (particulièrement le composant d'accès aux données EBS)
● Crystal Reports (particulièrement le composant d'accès aux données EBS)

Remarque
Dans tous les cas cités ci-dessus, la valeur par défaut du port d'écoute de la base de données Oracle est 1521.

8.18.3.1 Spécifications détaillées requises pour le port

Outre la configuration de pare-feu standard pour la plateforme de BI, certains ports supplémentaires doivent être
ouverts pour fonctionner dans un environnement Oracle EBS intégré :

Table 29 :
Ordinateur source Port Ordinateur de destination Port Action

Serveur d'applications Web N'importe Oracle EBS Port de base de don­ Autoriser
lequel nées Oracle

CMS avec fonction Connectivité de la Quel­ Oracle EBS Port de base de don­ Autoriser
sécurité pour Oracle EBS conque nées Oracle

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 219
Ordinateur source Port Ordinateur de destination Port Action

Serveurs de la plateforme de BI avec la N'importe Oracle EBS Port de base de don­ Autoriser
fonction côté serveur Connectivité de lequel nées Oracle
données pour Oracle EBS

Crystal Reports avec la fonction côté N'importe Oracle EBS Port de base de don­ Autoriser
client Connectivité de données pour lequel nées Oracle
Oracle EBS

8.18.4 Configuration du pare-feu pour l'intégration PeopleSoft

Enterprise

Les déploiements de la plateforme de BI qui communiqueront avec PeopleSoft Enterprise doivent être conformes
aux règles de communication générales suivantes :

● Le CMS (Central Management Server) ayant le composant Connectivité de sécurité doit être en mesure
d'initier une communication avec le service Web PeopleSoft Query Access (QAS).
● Les serveurs de la plateforme de BI ayant le composant Connectivité de données doivent être en mesure
d'initier une communication avec le service Web PeopleSoft QAS.
● Les rapports Crystal ayant le composant côté client Connectivité de données doivent être en mesure d'initier
une communication avec le service Web PeopleSoft QAS.
● La passerelle Enterprise Management (EPM) doit être en mesure de communiquer avec le CMS et Input File
Repository Server.
● La passerelle EPM doit être en mesure de communiquer avec la base de données PeopleSoft via une
connexion ODBC.

Le numéro de port du service Web doit être celui spécifié dans le nom de domaine PeopleSoft Enterprise.

Ports requis pour les serveurs de la plateforme de BI

Table 30 :
Produit Spécifications requises pour le port du serveur

Plateforme SAP BI ● Port du serveur de connexion de la plateforme de BI

Business Intelligence Platform Administrator Guide

220 PUBLIC Securing the BI Platform
Configuration de port requise pour PeopleSoft

Table 31 :
Produit Configuration de port Description

PeopleSoft Enterprise : People Tools Port HTTP/HTTPS du service Web Ce port est requis lors de l'utilisation de
8.46 ou version ultérieure la connexion SOAP pour PeopleSoft En­
terprise for PeopleTools 8.46 et versions
ultérieures

Configuration de la plateforme de BI et de PeopleSoft pour les pare-feu

Cette section explique comment configurer la plateforme de BI et PeopleSoft Enterprise afin qu'ils puissent
fonctionner ensemble dans un scénario de déploiement dans lequel le pare-feu sépare le serveur d'applications
Web des autres serveurs de la plateforme de BI.

Pour une configuration de pare-feu avec serveurs et clients de la plateforme de BI, voir le Guide d'administration
de la plateforme de Business Intelligence.

Outre la configuration des pare-feu avec la plateforme de BI, vous devrez procédez à une configuration
supplémentaire.

Table 32 : For PeopleSoft Enterprise : PeopleTools 8.46 ou version ultérieure

Ordinateur source Port Ordinateur de destination Port Action

CMS avec fonction Connectivité de la N'importe PeopleSoft Port HTTP /HTTPS du Autoriser
sécurité pour PeopleSoft laquelle service Web PeopleSoft

Serveurs de la plateforme de BI avec la N'importe PeopleSoft Port HTTP /HTTPS du Autoriser

fonction Connectivité de données pour laquelle service Web PeopleSoft
PeopleSoft

Crystal Reports avec la fonction Con­ N'importe PeopleSoft Port HTTP /HTTPS du Autoriser
nectivité de données côté client pour laquelle service Web PeopleSoft
PeopleSoft

Passerelle EPM N'importe CMS Port du serveur de nom Autoriser

laquelle CMS

Passerelle EPM N'importe CMS Port du CMS requis Autoriser

laquelle

Passerelle EPM N'importe Input File Repository Server Port de l'Input FRS Autoriser
laquelle

Passerelle EPM N'importe PeopleSoft Port de la base de don­ Autoriser

laquelle nées PeopleSoft

8.18.5 Configuration du pare-feu pour l'intégration Siebel

Cette section présente les ports spécifiques utilisés pour la communication entre les systèmes de la plateforme
de BI et Siebel eBusiness Application lorsqu'ils sont séparés par des pare-feu.

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 221
● L'application Web doit être en mesure d'initier une communication avec le serveur de connexion de la
plateforme de BI pour Siebel. Le serveur de connexion BusinessObjects Enterprise pour Siebel requiert trois
ports :
1. Le port Echo (TCP) 7 qui vérifie l'accès au serveur de connexion.
2. Le port du serveur de connexion Enterprise pour Siebel (8448 par défaut) qui sert de port d'écoute
CORBA IOR.
3. Un port POA aléatoire de communication CORBA qui ne peut pas être contrôlé, donc tous les ports
doivent être ouverts.
● Le CMS doit être en mesure d'initier une communication avec le serveur de connexion de la plateforme de BI
pour Siebel. Un port d'écoute CORBA IOR configuré pour chaque serveur de connexion (par exemple 8448).
Vous devrez également ouvrir un numéro de port POA aléatoire qui ne sera pas connu tant que vous n'aurez
pas installé la plateforme de BI.
● Le serveur de connexion de la plateforme de BI pour Siebel doit être en mesure d'établir la communication
avec le port SCBroker (Siebel connection broker), par exemple 2321.
● Les serveurs principaux de la plateforme de BI (composant Siebel Data Access) doivent être en mesure
d'établir la communication avec le port SCBroker (Siebel connection broker), par exemple 2321.
● Crystal Reports (composant Siebel Data Access) doit être en mesure d'établir la communication avec le port
SCBroker (Siebel connection broker), par exemple 2321.

Description détaillée des ports

Cette section répertorie les ports utilisés par la plateforme de BI. Si vous déployez la plateforme de BI avec des
pare-feu, ces informations vous permettront d'ouvrir le nombre minimal de ports requis dans ces pare-feu
spécifiquement pour l'intégration à Siebel.

Table 33 : Ports requis pour les serveurs de la plateforme de BI

Produit Spécifications requises pour le port du serveur

Plateforme SAP BI ● Port du serveur de connexion de la plateforme de BI

Table 34 : Configuration de port pour Siebel

Produit Configuration de port Description

Application Siebel eBusiness 2321 Port SCBroker (service Broker pour les connexions Siebel) par défaut

Configuration des pare-feu de la plateforme de BI pour l'intégration à Siebel

Cette section explique comment configurer les pare-feu pour Siebel et la plateforme de BI afin qu'ils puissent
fonctionner ensemble dans un scénario de déploiement dans lequel le pare-feu sépare le serveur d'applications
Web des autres serveurs de la plateforme.

Business Intelligence Platform Administrator Guide

222 PUBLIC Securing the BI Platform
Table 35 :
Ordinateur source Port Ordinateur de destination Port Action

Serveur d'applications Web N'im­ Serveur de connexion de la plateforme de BI N'importe la­ Autoriser
porte la­ pour Siebel quelle
quelle

CMS N'im­ Serveur de connexion de la plateforme de BI N'importe la­ Autoriser

porte la­ pour Siebel quelle
quelle

Serveur de connexion de la plate­ N'im­ Siebel Port SCBroker Autoriser

forme de BI pour Siebel porte la­
quelle

Serveurs de la plateforme de BI N'im­ Siebel Port SCBroker Autoriser

avec connectivité de données côté porte la­
serveur pour Siebel quelle

Crystal Reports avec connectivité N'im­ Siebel Port SCBroker Autoriser

de données côté client pour Siebel porte la­
quelle

8.19 Plateforme de BI et serveurs proxy inverses

La plateforme de BI peut être déployée dans un environnement comportant un ou plusieurs serveurs proxy
inverses. Les serveurs proxy inverses sont généralement déployés devant les serveurs d'applications Web afin de
les masquer derrière une adresse IP unique. Cette configuration permet d'acheminer tout le trafic Internet
adressé aux serveurs d'applications Web privés via le serveur proxy inverse, masquant ainsi les adresses IP
privées.

Dans la mesure où le serveur proxy inverse traduit les URL publiques en URL internes, il doit être configuré avec
les URL des applications Web de la plateforme de BI déployées sur le réseau interne.

8.19.1 Serveurs proxy inverses pris en charge

La plateforme de BI prend en charge les serveurs proxy inverses suivants :

● IBM Tivoli Access Manager WebSEAL 6

● Apache 2.2
● Microsoft ISA 2006

8.19.2 Description du déploiement des applications Web

Les applications Web de la plateforme de BI sont déployées sur un serveur d'applications Web. Les applications
sont déployées automatiquement durant l'installation par le biais de l'outil Wdeploy. L'outil peut également être

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 223
utilisé pour déployer manuellement les applications après le déploiement de la plateforme de BI. Les applications
Web se trouvent dans le répertoire suivant dans une installation Windows par défaut :

C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI

4.0\warfiles\webapps

WDeploy est utilisé pour déployer les fichiers WAR suivants :

● BOE : inclut la CMC (Central Management Console), la zone de lancement BI et OpenDocument

● dswsbobje : contient l'application de services Web.

Si le serveur d'applications Web se trouve derrière un serveur proxy inverse, ce dernier doit être configuré avec les
chemins de contexte des fichiers WAR corrects. Pour exposer toutes les fonctionnalités de la plateforme de BI,
configurez un chemin de contexte pour chaque fichier WAR de la plateforme de BI déployé.

8.20 Configuration des serveurs proxy inverses pour les

applications Web de la plateforme de Business
Intelligence

Le serveur proxy inverse doit être configuré de façon à mapper les demandes d'URL entrantes à l'application Web
correcte dans les déploiements dans lesquels les applications Web de la plateforme de BI se trouvent derrière un
serveur proxy inverse.

Cette section contient des exemples de configuration spécifiques s'appliquant à certains serveurs proxy inverses
pris en charge. Pour en savoir plus, voir la documentation fournie avec le serveur proxy inverse.

8.20.1 Instructions détaillées relatives à la configuration des

serveurs proxy inverses

Configurer les fichiers WAR

Les applications Web de la plateforme de BI sont déployées sous forme de fichiers WAR situés sur un serveur
d'applications Web. Veillez à configurer une directive sur le serveur proxy inverse pour le fichier WAR requis par le
déploiement. Vous pouvez utiliser WDeploy pour déployer les fichiers WAR BOE ou dswbobje. Pour en savoir plus
sur WDeploy, voir le Guide de déploiement d'applications Web de la plateforme de BI.

Spécifier les propriétés BOE dans le répertoire de configuration

Les fichiers BOE.war contiennent les propriétés générales et propres à l'application. Si vous devez modifier les
propriétés, utilisez le répertoire de configuration personnalisé. Par défaut, le répertoire se trouve à l'emplacement
C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI
4.0\warfiles\webapps\BOE\WEB-INF\config\custom.

Business Intelligence Platform Administrator Guide

224 PUBLIC Securing the BI Platform
 Attention
Pour éviter d'écraser les fichiers du répertoire par défaut, ne modifiez pas les propriétés dans le répertoire
config\default. Les utilisateurs doivent utiliser le répertoire personnalisé.

Remarque
Sur certains serveurs d'applications Web comme la version Tomcat fournie avec la plateforme de BI, vous
pouvez accéder directement au fichier BOE.war. Dans ce type de scénario, vous pouvez définir directement
des paramètres personnalisés, sans annuler le déploiement du fichier WAR. Lorsque vous ne pouvez pas
accéder au fichier BOE.war, vous devez annuler le déploiement du fichier, le personnaliser, puis le redéployer.

Utilisation cohérente des barres obliques (/)

Définissez les chemins de contexte dans le serveur proxy inverse de la même façon que dans une URL de
navigateur. Par exemple, si la directive contient un caractère barre oblique (/) à la fin du chemin miroir sur le
serveur proxy inverse, saisissez-en un à la fin de l'URL du navigateur.

Veillez à ce que le caractère « / » soit utilisé de façon cohérente dans l'URL source et l'URL de destination dans la
directive du serveur proxy inverse. Si le caractère « / » est ajouté à la fin de l'URL source, il doit être placé au
même endroit dans l'URL de destination.

8.20.2 Pour configurer le serveur proxy inverse

Les étapes indiquées ci-dessous sont requises pour que les applications Web de la plateforme de BI fonctionnent
derrière un serveur proxy inverse pris en charge.

1. Assurez-vous que le serveur proxy inverse est correctement installé, selon les instructions du fournisseur et
la topologie réseau du déploiement.
2. Indiquez quel fichier WAR de la plateforme de BI est nécessaire.
3. Configurez le serveur proxy inverse pour chaque fichier WAR de la plateforme de BI. Notez que les règles sont
spécifiées différemment sur chaque type de serveur proxy inverse.
4. Effectuez les éventuelles configurations spéciales requises. Certaines applications Web requièrent une
configuration spéciale lorsqu'elles sont déployées sur certains serveurs d'applications Web.

8.20.3 Pour configurer le serveur proxy inverse Apache 2.2

pour la plateforme de BI

Cette section fournit un workflow permettant de configurer la plateforme de BI et Apache 2.2 afin qu'ils puissent
fonctionner ensemble.

1. Assurez-vous que la plateforme de BI et Apache 2.2 sont installés sur des ordinateurs distincts.

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 225
2. Assurez-vous qu'Apache 2.2 est installé et configuré en tant que serveur proxy inverse, tel que décrit dans la
documentation du fournisseur.
3. Configurez le ProxyPass pour chaque fichier WAR déployé derrière le serveur proxy inverse.
4. Configurez le ProxyPassReverseCookiePath pour chaque application Web déployée derrière le serveur
proxy inverse. Par exemple :

ProxyPass /C1/BOE/ http://<appservername>:80/BOE/

ProxyPassReverseCookiePath /BOE/C1/BOE/
ProxyPassReverse /C1/BOE/ http://<appservername>:80/BOE/
ProxyPass /C1/explorer/ http://<appservername>:80/explorer/
ProxyPassReverseCookiePath /BOE/C1/explorer/
ProxyPassReverse /C1/explorer/ http://<appservername>:80/explorer/

8.20.4 Pour configurer le serveur proxy inverse WebSEAL 6.0

pour la plateforme de BI

Cette section explique comment configurer la plateforme de BI et WebSEAL 6.0 afin qu'ils puissent fonctionner
ensemble.

La méthode de configuration recommandée consiste à créer une jonction standard unique qui mappe toutes les
applications Web de la plateforme de BI hébergées sur un serveur d'applications Web interne ou un serveur Web à
un point de montage unique.

1. Assurez-vous que la plateforme de BI et WebSEAL 6.0 sont installés sur des ordinateurs distincts.
Il est possible mais déconseillé de déployer la plateforme de BI et WebSEAL 6.0 sur le même ordinateur. Pour
obtenir les instructions de configuration de ce scénario de déploiement, consultez la documentation fournie
avec WebSEAL 6.0.
2. Assurez-vous que WebSEAL 6.0 est installé et configuré conformément à la documentation du fournisseur.
3. Lancez l'utilitaire de ligne de commande pdadmin de WebSeal. Connectez-vous à un domaine sécurisé tel que
sec_master en tant qu'utilisateur doté des droits d'administration.
4. A l'invite de commande pdadmin sec_master, saisissez la commande suivante :

server task <instance_name-webseald-host_name> create -t

<type> -h <host_name> -p <port> <junction_point>

Où :

○ <nom_instance-nom_hôte-webseald> désigne le nom de serveur complet de l'instance WebSEAL

installée. Utilisez le même format pour ce nom de serveur complet que celui affiché dans la sortie de la
commande server list.
○ <type> désigne le type de jonction. Utilisez tcp si la jonction mappe un port HTTP interne. Utilisez ssl si
la jonction mappe un port HTTPS interne.
○ <nom_hôte> désigne le nom d'hôte DNS ou l'adresse IP du serveur interne qui reçoit les demandes.
○ <port> désigne le port TCP du serveur interne qui reçoit les demandes.
○ <point_jointure> désigne le répertoire de l'espace d'objets protégé WebSEAL dans lequel l'espace de
documents du serveur interne est monté.

Business Intelligence Platform Administrator Guide

226 PUBLIC Securing the BI Platform
 Exemple

server task default-webseald-webseal.rp.sap.com

create -t tcp -h 10.50.130.123 -p 8080/hr

8.20.5 Pour configurer Microsoft ISA 2006 pour la plateforme

de BI
Cette section explique comment configurer la plateforme de BI et ISA 2006 afin qu'ils puissent fonctionner
ensemble.

La méthode de configuration recommandée consiste à créer une jonction standard unique qui mappe tous les
fichiers WAR de la plateforme de BI hébergés sur un serveur d'applications Web interne ou un serveur Web à un
point de montage unique. Selon votre serveur d'applications Web, vous devez procéder à des configurations
supplémentaires sur le serveur d'applications pour qu'il fonctionne avec ISA 2006.

1. Assurez-vous que la plateforme de BI et ISA 2006 sont installés sur des ordinateurs distincts.
Il est possible mais déconseillé de déployer la plateforme de BI et ISA 2006 sur le même ordinateur. Pour
obtenir les instructions de configuration de ce scénario de déploiement, consultez la documentation fournie
avec ISA 2006.
2. Assurez-vous qu'ISA 2006 est installé et configuré selon la documentation du fournisseur.
3. Lancer l'utilitaire Gestion ISA Server.
4. Utilisez le panneau de navigation pour lancer une nouvelle règle de publication
a. Accédez à

Arrays MachineName Firewall Policy New Web Site Publishing Rule (Tableaux >
NomOrdinateur > Stratégie de pare-feu> Nouvelle > Règle de publication Web)

N'oubliez pas
Remplacez MachineName (nom de l'ordinateur) par le nom de l'ordinateur sur lequel est installé
ISA 2006.

b. Saisissez un nom de règle dans Nom de la règle de publication Web et cliquez sur Suivant.
c. Sélectionnez Autoriser comme action de règle et cliquez sur Suivant.
d. Sélectionnez Publier un seul site Web ou un équilibreur de charge et cliquez sur Suivant.
e. Sélectionnez un type de connexion entre le ISA Server et le site Web publié, puis cliquez sur Suivant.
Par exemple, sélectionnez Utiliser une connexion non sécurisée pour la connexion au serveur Web publié
ou à la batterie de serveurs.
f. Saisissez le nom interne du site Web que vous publiez (par exemple, le nom de l'ordinateur hébergeant la
plateforme de BI) dans Nom du site interne et cliquez sur Suivant.

Remarque
Si l'ordinateur hébergeant ISA 2006 ne peut pas se connecter au serveur cible, sélectionnez Utiliser un
nom d'ordinateur ou une adresse IP pour établir la connexion avec le serveur publié et saisissez le nom
ou l'adresse IP dans le champ prévu à cet effet.

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 227
 g. Dans Informations sur les noms publics, sélectionnez le nom de domaine (N'importe quel nom de
domaine, par exemple) et spécifiez toutes les informations de publication interne (/*, par exemple).
Cliquez sur Suivant.
Vous devez à présent créer un port d'écoute Web pour surveiller les requêtes Web entrantes.
5. Cliquez sur Nouveau pour lancer l'Assistant Nouveau port d'écoute Web.
a. Saisissez un nom dans Nom du port d'écoute Web et cliquez sur Suivant.
b. Sélectionnez un type de connexion entre ISA Server et le site Web publié, puis cliquez sur Suivant.
Par exemple, sélectionnez Do not require SSL secured connections with clients (pas de connexions SSL
sécurisées obligatoires avec les client).
c. Dans la section Adresses IP des ports d'écoute, procédez aux sélections suivantes et cliquez sur Suivant.
○ Interne
○ Externe
○ Hôte local
○ Tous les réseaux
ISA Server est à présent configuré pour publier uniquement via HTTP.
d. Sélectionnez une option Paramètre d'authentification, cliquez sur Suivant, puis sur Terminer.
Le nouveau port d'écoute est à présent configuré pour la règle de publication Web.
6. Cliquez sur Suivant dans Ensembles d'utilisateurs, puis cliquez sur Terminer.
7. Cliquez sur Appliquer pour enregistrer tous les paramètres de la règle de publication Web et actualiser la
configuration d'ISA 2006.
Vous devez maintenant actualiser les propriétés de la règle de publication Web pour mapper les chemins
d'accès des applications Web.
8. Dans le panneau de navigation, cliquez avec le bouton droit de la souris sur la stratégie de pare-feu que vous
avez configurée et sélectionnez Propriétés.
9. Dans l'onglet Chemins, cliquez sur Ajouter pour mapper les chemins d'accès aux applications Web SAP
BusinessObjects.
10. Dans l'onglet Nom public, sélectionnez Demande pour les sites Web suivants et cliquez sur Ajouter.
11. Dans la boîte de dialogue Nom public, saisissez le nom de votre serveur ISA 2006 et cliquez sur OK.
12. Cliquez sur Appliquer pour enregistrer tous les paramètres de la règle de publication Web et actualiser la
configuration d'ISA 2006.
13. Vérifiez la connexion en accédant à l'URL suivante :
http://<Nom d'hôte ISA Server>:<numéro du port d'écoute Web>/<Chemin d'accès
externe de l'application>

Par exemple : http://myISAserver:80/Product/BOE/CMC

Remarque
Vous devrez peut-être actualiser plusieurs fois le navigateur.

Pour être sûr que vous pourrez vous connecter à la CMC, vous devez modifier la stratégie HTTP de la règle que
vous venez de créer. Cliquez avec le bouton droit de la souris sur la règle que vous avez créée dans l'utilitaire
Gestion ISA Server, et sélectionnez Configurer HTTP. Désélectionnez à présent Vérifier la normalisation dans la
zone Protection des URL.

Pour accéder à distance à la plateforme de BI, vous devez créer une règle d'accès.

Business Intelligence Platform Administrator Guide

228 PUBLIC Securing the BI Platform
8.21 Configuration spéciale de la plateforme de BI dans les
déploiements de serveurs proxy inverses

Afin de pouvoir fonctionner correctement dans les déploiements de serveurs proxy inverses, certains produits de
la plateforme de BI nécessitent une configuration supplémentaire. Cette section explique comment effectuer
cette configuration supplémentaire.

8.21.1 Activation du proxy inverse pour les services Web

Cette section décrit les procédures requises pour activer les proxys inverses pour les services Web.

8.21.1.1 Pour activer le proxy inverse sur Tomcat

Pour activer le proxy inverse sur le serveur d'applications Web Tomcat, vous devez modifier le fichier
server.xml. Les modifications requises comprennent l'affectation du port d'écoute du serveur proxy inverse au
paramètre proxyPort et l'ajout d'un nouvel attribut proxyName. Cette section explique la procédure à suivre.

1. Arrêtez Tomcat.
2. Ouvrez le fichier server.xml pour Tomcat.

Sous Windows, le fichier server.xml se trouve à l'emplacement suivant : C:\Program Files (x86)\SAP
BusinessObjects\Tomcat\conf

Sous UNIX, le fichier server.xml se trouve dans le dossier <RACINE_CATALINA>/conf. La valeur par
défaut de <RACINE_CATALINA> est <REP_INSTALL>/sap_bobj/tomcat.
3. Recherchez la section suivante dans le fichier server.xml :

<!-- Define a Proxied HTTP/1.1 Connector on port 8082 -->

<!--See proxy documentation for more information about using
this.-->
<!--
<Connector port="8082"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false"
acceptCount="100" debug="0" connectionTimeout="20000"
proxyPort="80" disableUploadTimeout="true" />
-->

4. Annulez la mise en commentaire de l'élément Connector en supprimant <!-- et -->.

5. Remplacez la valeur de proxyPort par le port d'écoute du serveur proxy inverse.
6. Ajoutez un nouvel attribut proxyName à la liste des attributs de Connector. La valeur de proxyName doit être
le nom du serveur proxy dont Tomcat doit déterminer l'adresse IP correcte.

Exemple :

<!--Define a Proxied HTTP/1.1 Connector on port 8082 -->

<!--See proxy documentation for more information about using
this.-->

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 229
 <Connector port="8082"
maxThreads="150" minSpareThreads="25"
maxSpareThreads="75"
enableLookups="false"
acceptCount="100" debug="0"
connectionTimeout="20000"
proxyName="my_reverse_proxy_server.domain.com"
proxyPort="ReverseProxyServerPort"
disableUploadTimeout="true" />

Où my_reverse_proxy_server.domain.com et ReverseProxyServerPort doivent être respectivement

remplacés par le nom du serveur proxy inverse et son port d'écoute.
7. Enregistrez et fermez le fichier server.xml.
8. Redémarrez Tomcat.
9. Vérifiez que le chemin virtuel du serveur proxy inverse est mappé au port du connecteur Tomcat adéquat.
Dans l'exemple ci-dessus, il s'agit du port 8082.

L'exemple suivant présente un exemple de configuration d'Apache HTTP Server 2.2 utilisé pour inverser le
proxy des services Web SAP BusinessObjects™ déployés sur Tomcat :

ProxyPass /XI3.0/dswsbobje http://internalServer:8082/dswsbobje

ProxyPassReverseCookiePath /dswsbobje /XI3.0/
dswsbobje

Pour activer les services Web, le nom de proxy et le numéro de port doivent être identifiés pour le connecteur.

8.21.1.2 Activation du proxy inverse pour les services Web sur

des serveurs d'applications Web autres que Tomcat
La procédure suivante nécessite de configurer correctement les applications Web de la plateforme de BI en
fonction du serveur d'applications Web choisi. Notez que les valeurs wsresources respectent la casse.

1. Arrêtez le serveur d'applications Web.

2. Indiquez l'URL externe des services Web dans le fichier dsws.properties.

Ce fichier se trouve dans l'application Web dswsbobje. Par exemple, si votre URL externe est http://
mon_serveur_proxy_inverse.domaine.com/dswsbobje/, mettez à jour les propriétés dans le fichier
dsws.properties :
○ wsresource1=ReportEngine|reportengine web service alone|http://
my_reverse_proxy_server.domain.com/SAP/dswsbobje/services/ReportEngine
○ wsresource2=BICatalog|bicatalog web service alone|http://
my_reverse_proxy_server.domain.com/SAP/dswsbobje/services/BICatalog
○ wsresource3=Publish|publish web service alone|http://
my_reverse_proxy_server.domain.com/SAP/dswsbobje/services/Publish
○ wsresource4=QueryService|query web service alone|http://
my_reverse_proxy_server.domain.com/SAP/dswsbobje/services/QueryService
○ wsresource5=BIPlatform|BIPlatform web service|http://
my_reverse_proxy_server.domain.com/SAP/dswsbobje/services/BIPlatform
○ wsresource6=LiveOffice|Live Office web service|http://
my_reverse_proxy_server.domain.com/SAP/dswsbobje/services/LiveOffice

Business Intelligence Platform Administrator Guide

230 PUBLIC Securing the BI Platform
 3. Enregistrez le fichier dsws.properties et fermez-le.
4. Redémarrez le serveur d'applications Web.
5. Vérifiez que le chemin virtuel du serveur proxy inverse est mappé au port de connecteur du serveur
d'applications Web adéquat. L'exemple suivant illustre une configuration d'Apache HTTP Server 2.2 utilisé
pour inverser les proxys des services Web de la plateforme de BI déployés sur le serveur d'applications Web
de votre choix :

ProxyPass /SAP/dswsbobje http://internalServer:<port d'écoute> /dswsbobje

ProxyPassReverseCookiePath /dswsbobje /SAP/dswsbobje

Où <port d'écoute> correspond au port d'écoute de votre serveur d'applications Web.

8.21.2 Activation du chemin racine des cookies de session

pour ISA 2006

Cette section décrit le mode de configuration des serveurs d'applications Web spécifiques pour activer le chemin
racine des cookies de session pour assurer la compatibilité avec ISA 2006 comme serveur proxy inverse.

8.21.2.1 Configuration d'Apache Tomcat

Pour configurer le chemin racine de façon à ce que les cookies de session fonctionnent avec ISA 2006 comme
serveur proxy inverse, ajoutez la chaîne suivante à l'élément <Connector> dans le fichier server.xml :

emptySessionPath="true"

1. Arrêtez Tomcat.
2. Ouvrez le fichier server.xml situé dans :
<CATALINA_HOME>\conf
3. Localisez la section suivante dans le fichier server.xml :

<!-- Define a Proxied HTTP/1.1 Connector on port 8082 -->

<!-- See proxy documentation for more information about using this -->
<!--
<Connector port="8082"
maxThreads="150" minSpareThreads="25" maxS
pareThreads="75" enableLookups="false"
acceptCount="100" debug="0" connectionTimeout="20000"
proxyPort="80" disableUploadTimeout="true" />
-->

4. Annulez la mise en commentaire de l'élément Connector en supprimant <!-- et -->.

5. Pour configurer le chemin racine de façon à ce que les cookies de session fonctionnent avec ISA 2006 comme
serveur proxy inverse, ajoutez la chaîne suivante à l'élément <Connector> dans le fichier server.xml :

emptySessionPath="true"

6. Remplacez la valeur de proxyPort par le port d'écoute du serveur proxy inverse.

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 231
7. Ajoutez un nouvel attribut proxyName à la liste des attributs de Connector. La valeur doit être le nom du
serveur de proxy dont Tomcat doit déterminer l'adresse IP correcte.
Par exemple :

<!--Define a Proxied HTTP/1.1 Connector on port 8082

-->
<!-- See proxy documentation for more information about using
this -->
<Connector port="8082"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" emptySessionPath="true"
acceptCount="100" debug="0" connectionTimeout="20000"
proxyName="my_reverse_proxy_server.domain.com"
proxyPort="ReverseProxyServerPort"
disableUploadTimeout="true" />

8. Enregistrez et fermez le fichier server.xml.

9. Redémarrez Tomcat.

Vérifiez que le chemin virtuel du serveur proxy inverse est mappé au port du connecteur Tomcat adéquat. Dans
l'exemple ci-dessus, il s'agit du port 8082.

8.21.2.2 Pour configurer Sun Java 8.2

Vous devez modifier le fichier sun-web.xml pour chaque application Web de la plateforme de BI.

1. Accédez à <<SUN_WEBAPP_DOMAIN>>\generated\xml\j2ee-modules\webapps\BOE\WEB-INF
2. Ouvrez le fichier sun-web.xml.
3. Après le conteneur <context-root>, ajoutez les chaînes suivantes :

<session-config>
<cookie-properties>
<property name="cookiePath" value="/" />
</cookie-properties>
</session-config>
<property name="reuseSessionID" value="true"/>

4. Enregistrez et fermez le fichier sun-web.xml.

5. Répétez les étapes de 1 à 4 pour chaque application Web.

8.21.2.3 Pour configurer Oracle Application Server 10gR3

Vous devez modifier le fichier global-web-application.xml ou orion-web.xml pour chaque répertoire de

déploiement de l'application Web de la plateforme de BI.

1. Accédez à <ORACLE_HOME>>\j2ee\home\config\
2. Ouvrez le fichier global-web-application.xml ou orion-web.xml.
3. Ajoutez la ligne suivante au conteneur <orion-web-app> :

<session-tracking cookie-path="/" />

Business Intelligence Platform Administrator Guide

232 PUBLIC Securing the BI Platform
 4. Enregistrez le fichier de configuration et fermez-le.
5. Connectez-vous à Oracle Admin Console :

a. Accédez à OC4J:home Administration Server Properties (Propriétés du serveur).

b. Sélectionnez Options sous Command Line Options (Options de ligne de commande).
c. Cliquez sur Add another Row (Ajouter une ligne) et saisissez la chaîne suivante :

Doracle.useSessionIDFromCookie=true

6. Redémarrez le serveur Oracle.

8.21.2.4 Pour configurer WebSphere Community Edition 2.0

1. Ouvrez WebSphere Community Edition 2.0 Admin Console.

2. Dans le panneau de navigation de gauche, recherchez Server (Serveur) et sélectionnez Web Server (Serveur
Web).
3. Sélectionnez les connecteurs et cliquez sur Modifier.
4. Sélectionnez la case à cocher emptySessionPath et cliquez sur Save (Enregistrer).
5. Saisissez le nom de votre serveur ISA dans ProxyName.
6. Saisissez le numéro du port d'écoute ISA dans ProxyPort.
7. Arrêtez et redémarrez le connecteur.

8.21.3 Activation du proxy inverse pour SAP BusinessObjects

Live Office

Pour activer la fonction Afficher l'objet dans le navigateur Web de SAP BusinessObjects Live Office pour les
proxys inverses, modifiez l'URL du visualiseur par défaut. Pour ce faire, utilisez la Central Management Console
(CMC) ou les options de Live Office.

Remarque
Cette section part du principe que vous avez activé des proxys inverses pour la zone de lancement BI et que les
services Web de la plateforme de BI ont été activés avec succès.

8.21.3.1 Modification de l'URL du visualiseur par défaut dans la

CMC

1. Connectez-vous à la CMC
2. Dans la page Applications, cliquez sur Central Management Console.

3. Sélectionnez Actions Paramètres de traitement .

Business Intelligence Platform Administrator Guide

Securing the BI Platform PUBLIC 233
4. Dans le champ URL, sélectionnez l'URL du visualiseur par défaut approprié et cliquez sur Enregistrer et
fermer.
Par exemple :

http://ReverseProxyServer:ReverseProxyServerPort/BOE/OpenDocument.jsp?
sIDType=CUID&iDocID=%SI_CUID%
ReverseProxyServer et ReverseProxyServerPort correspondent au nom du serveur proxy inverse et à
son port d'écoute.

Business Intelligence Platform Administrator Guide

234 PUBLIC Securing the BI Platform
9 Authentication

9.1 Options d'authentification dans la plateforme de BI

L'authentification est un processus consistant à vérifier l'identité d'un utilisateur qui tente d'accéder au système,
alors que la gestion des droits est un processus consistant à vérifier que des droits suffisants ont été octroyés à
l'utilisateur pour exécuter l'action demandée sur l'objet spécifié.

Les plug-ins de sécurité développent et personnalisent la manière dont la plateforme de BI authentifie les
utilisateurs. Ils facilitent la création et la gestion des comptes en permettant de mapper des comptes et des
groupes d'utilisateurs de systèmes tiers dans la plateforme. Vous pouvez mapper des comptes ou des groupes
d'utilisateurs tiers à des comptes ou des groupes d'utilisateurs de la plateforme de BI existants, ou créer de
nouveaux comptes ou groupes d'utilisateurs Enterprise qui correspondent à chaque entrée mappée dans le
système externe.

La version actuelle prend en charge les méthodes d'authentification suivantes :

● Enterprise
● LDAP
● Windows AD
● SAP
● Oracle EBS
● Siebel
● JD Edwards
● PeopleSoft

La plateforme de BI étant entièrement personnalisable, l'authentification et les processus peuvent varier d'un
système à l'autre.

9.1.1 Authentification primaire

L'authentification primaire intervient lorsqu'un utilisateur tente d'accéder pour la première fois au système. Les
deux choses suivantes peuvent l'une ou l'autre se produire pendant une authentification primaire :

● Si la connexion unique n'est pas configurée, l'utilisateur fournit ses références de connexion, telles que son
nom d'utilisateur, son mot de passe et le type d'authentification.
Ces détails sont saisis par les utilisateurs sur l'écran de connexion.

Remarque
Par défaut, seul le paramètre de mot de passe pour l'utilisation de caractères à casse mixte est activé, sauf
si l'administrateur le modifie. Le mot de passe doit contenir au moins un caractère en majuscule et un
caractère en minuscule. L'administrateur peut activer d'autres paramètres de mot de passe, si nécessaire.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 235
● Si une méthode de connexion unique est configurée, les références de connexion des utilisateurs sont
transmises de manière silencieuse.
Ces détails sont extraits en utilisant d'autres méthodes, telles que Kerberos ou SiteMinder.

Il peut s'agir de l'authentification Enterprise, LDAP Windows AD, SAP Oracle EBS, Siebel, JD Edwards
EntrepriseOne ou PeopleSoft Enterprise, selon le type d'authentification activé et configuré dans la zone de
gestion Authentification de la CMC (Central Management Console). Le navigateur Web de l'utilisateur envoie les
informations vers votre serveur Web via le protocole HTTP, qui les achemine à son tour vers le CMS ou le serveur
de la plateforme approprié.

Le serveur d'applications Web transmet les informations sur l'utilisateur via un script côté serveur. En interne, ce
script communique avec le SDK et, finalement, le plug-in de sécurité approprié pour authentifier l'utilisateur en
fonction de la base de données utilisateur.

Par exemple, si l'utilisateur se connecte à la zone de lancement BI et spécifie l'authentification Enterprise, le SDK
s'assure que le plug-in de sécurité de la plateforme de BI procède à l'authentification. Le CMS (Central
Management Server) utilise le plug-in de sécurité pour vérifier le nom d'utilisateur et le mot de passe en fonction
de la base de données système. Sinon, si l'utilisateur spécifie une méthode d'authentification différente, le SDK
utilise le plug-in de sécurité correspondant pour authentifier l'utilisateur.

Si le plug-in de sécurité reconnaît les références de connexion, le CMS accorde à l'utilisateur une identité active
sur le système, et les actions suivantes sont effectuées :

● Le CMS crée une session Enterprise pour l'utilisateur. Une fois active, cette session nécessite une licence
utilisateur sur le système.
● Le CMS génère et code un jeton de connexion qu'il envoie au serveur d'applications Web.
● Le serveur d'applications Web stocke les informations de l'utilisateur en mémoire dans une variable de
session. Une fois active, cette session stocke les informations qui permettent à la plateforme de BI de
répondre aux requêtes de l'utilisateur.

Remarque
La variable de session ne contient pas le mot de passe de l'utilisateur.

● Le serveur d'applications Web conserve le jeton de connexion dans un cookie sur le navigateur du client. Ce
cookie est uniquement utilisé à des fins de basculement, par exemple lorsque vous avez un CMS en cluster ou
lorsque la zone de lancement BI est mise en cluster pour l'affinité de la session.

Remarque
Il est possible de désactiver le jeton de connexion. Néanmoins, si vous le faites, vous désactivez aussi le
basculement.

9.1.2 Plug-ins de sécurité

Les plug-ins de sécurité développent et personnalisent la manière dont la plateforme de BI authentifie les
utilisateurs. La plateforme de BI comprend actuellement les plug-ins suivants :

● Enterprise
● LDAP

Business Intelligence Platform Administrator Guide

236 PUBLIC Authentication
 ● Windows AD
● SAP
● Oracle EBS
● Siebel
● JD Edwards
● PeopleSoft

Les plug-ins de sécurité facilitent la création et la gestion des comptes en permettant de mapper des comptes et
des groupes d'utilisateurs de systèmes tiers à la plateforme de BI. Vous pouvez mapper des comptes ou des
groupes d'utilisateurs tiers à des comptes ou des groupes d'utilisateurs de la plateforme de BI existants, ou créer
de nouveaux comptes ou groupes d'utilisateurs Enterprise qui correspondent à chaque entrée mappée dans le
système externe.

Les plug-ins de sécurité mettent dynamiquement à jour les listes d'utilisateurs et de groupes tiers. Ainsi, une fois
que vous avez mappé un groupe externe à la plateforme de BI, tous les utilisateurs appartenant à ce groupe
peuvent se connecter avec succès à la plateforme de BI. Lorsque vous apportez des modifications ultérieures à
l'appartenance d'un groupe tiers, vous n'avez pas besoin d'actualiser la liste sur la plateforme de BI. Par exemple,
si vous mappez un groupe LDAP à la plateforme de BI, puis que vous ajoutez un nouvel utilisateur au groupe, le
plug-in de sécurité crée dynamiquement un alias pour ce nouvel utilisateur lorsque ce dernier se connecte pour la
première fois à la plateforme de BI avec des références de connexion LDAP valides.

Par ailleurs, les plug-ins de sécurité vous permettent d'attribuer des droits aux utilisateurs et aux groupes de
manière cohérente, car les utilisateurs et les groupes mappés sont considérés comme des comptes Enterprise.
Par exemple, vous pouvez mapper des comptes et des groupes d'utilisateurs de Windows AD, et des comptes et
des groupes d'utilisateurs d'un serveur de répertoires LDAP. Ensuite, lorsque vous devez attribuer des droits ou
créer des groupes personnalisés sur la plateforme de BI, vous définissez tous vos paramètres dans la CMC.

Chaque plug-in de sécurité se comporte comme un fournisseur d'authentifications qui vérifie les références de
connexion de l'utilisateur par rapport à la base de données utilisateur appropriée. Lorsque les utilisateurs se
connectent à la plateforme de BI, ils choisissent parmi les types d'authentification disponibles que vous avez
activés et configurés dans la zone de gestion Authentification de la CMC.

Remarque
Le plug-in de sécurité Windows AD ne peut pas authentifier les utilisateurs si les composants du serveur de la
plateforme de BI sont exécutés sous UNIX.

9.1.3 Connexion unique à la plateforme de BI

La connexion unique à la plateforme de BI signifie qu'une fois les utilisateurs connectés au système d'exploitation,
ils peuvent accéder aux applications qui prennent en charge la connexion unique sans avoir à fournir de nouveau
leurs références de connexion. Lorsqu'un utilisateur se connecte, un contexte de sécurité est créé pour cet
utilisateur. Ce contexte peut être propagé à la plateforme de BI afin d'établir une connexion unique.

Le terme « connexion unique anonyme » désigne également la connexion unique à la plateforme de BI, mais il fait
plus particulièrement référence à la fonction de connexion unique pour le compte utilisateur Guest. Lorsque le
compte utilisateur Guest est activé, ce qui est le cas par défaut, n'importe qui peut se connecter à la plateforme
de BI en tant que Guest et obtient ainsi l'accès au système.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 237
9.1.3.1 Prise en charge de la connexion unique

Le terme de connexion unique est utilisé pour décrire différents scénarios. Au sens le plus général, ce terme fait
référence à une situation où l'utilisateur peut accéder à au moins deux applications ou systèmes tout en ne
fournissant qu'une seule fois ses références de connexion, ce qui facilite l'interaction avec le système.

La connexion unique à la zone de lancement BI peut être fournie par la plateforme de BI ou par différents outils
d'authentification en fonction du type de serveur d'applications et du système d'exploitation.

Ces méthodes de connexion unique sont disponibles si vous utilisez un serveur d'applications Java sous
Windows :

● Windows AD avec Kerberos

● Windows AD avec SiteMinder

Ces méthodes de connexion unique sont disponibles si vous utilisez IIS sous Windows :

● Windows AD avec Kerberos

● Windows AD avec NTLM
● Windows AD avec SiteMinder

Ces méthodes de connexion unique sont disponibles sous Windows ou UNIX, quel que soit le serveur
d'applications Web pris en charge par la plateforme.

● LDAP avec SiteMinder

● Authentification sécurisée
● Windows AD avec Kerberos
● LDAP via Kerberos sur SUSE 11
● Connexion unique SAP NetWeaver via l'authentification sécurisée

Remarque
Windows AD avec Kerberos est pris en charge si l'application Java se trouve sous UNIX. Cependant, les
services de la plateforme de BI doivent s'exécuter sur un serveur Windows.

Le tableau suivant décrit les méthodes disponibles de prise en charge de la connexion unique pour la zone de
lancement BI.

Mode d'authentification Serveur CMS Options Remarques

Windows AD Windows uniquement Windows AD avec Kerberos L'authentification

uniquement Windows AD pour la zone de
lancement BI et la CMC est
prête à l'emploi.

LDAP Toute plateforme prise en Serveurs de répertoires L'authentification LDAP pour

charge LDAP pris en charge, avec la zone de lancement BI et la
SiteMinder uniquement CMC est prête à l'emploi. La
connexion unique à la zone
de lancement BI et à la CMC
nécessite SiteMinder.

Enterprise Toute plateforme prise en Authentification sécurisée L'authentification Enterprise

charge pour la zone de lancement BI
et la CMC est prête à l'emploi.

Business Intelligence Platform Administrator Guide

238 PUBLIC Authentication
 Mode d'authentification Serveur CMS Options Remarques

La connexion unique avec

l'authentification Enterprise à
la zone de lancement BI et à
la CMC requiert
l'authentification sécurisée.

9.1.3.1.1 Activation de la connexion unique pour la CMC

Pour configurer la connexion unique sur la CMC, suivez les étapes mentionnées ci-dessous :

Du côté client, le cache doit être vidé avant la configuration initiale de la CMC. Sinon, la méthode d'authentification
Enterprise sera mise en cache.

Sur le serveur Tomcat, suivez la procédure ci-dessous :

1. Sur un système où la connexion unique est déjà configurée pour BILP, accédez à C:\Program Files
(x86)\SAP BusinessObjects\tomcat\webapps\BOE\WEB-INF\config\custom.
2. Créez un fichier CmcApp.properties et mentionnez

○ sso.supported.types=vintela, trustedIIS, trustedHeader, trustedParameter, trustedCookie,

trustedSession, trustedUserPrincipal, trustedVintela, trustedX509, sapSSO, siteminder
○ authentication.default=secWinAD

dans ce fichier.
3. Redémarrez Tomcat.
La connexion unique est activée pour la CMC.

Remarque
Après une expiration de session de la zone de lancement BI ou de la CMC, si la connexion unique est
activée dans les deux cas, l'utilisateur est invité à se connecter. Lors de l'actualisation de la page,
l'utilisateur est reconnecté sans avoir à fournir un mot de passe. Le ping ne doit pas être désactivé pendant
le processus.

9.1.3.2 Connexion unique à la base de données

Une fois les utilisateurs connectés à la plateforme de BI, la connexion unique à la base de données leur permet
d'effectuer des actions nécessitant un accès à la base de données, en particulier, l'affichage et l'actualisation de
rapports, sans devoir fournir à nouveau leurs références de connexion. La connexion unique à la base de données
peut être combinée à la connexion unique à la plateforme de BI pour permettre aux utilisateurs d'accéder encore
plus facilement aux ressources dont ils ont besoin.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 239
9.1.3.3 Connexion unique de bout en bout

La connexion unique de bout en bout fait référence à une configuration dans laquelle les utilisateurs disposent à la
fois de la connexion unique à la plateforme de BI au niveau interface client et de la connexion unique aux bases de
données. Ainsi, les utilisateurs ne doivent fournir leurs références de connexion qu'une seule fois, lorsqu'ils se
connectent au système d'exploitation, pour accéder à la plateforme de BI et effectuer des actions requérant un
accès à la base de données, telles que l'affichage de rapports.

Sur la plateforme de BI, la connexion unique de bout en bout est prise en charge par l'intermédiaire de
Windows AD et de Kerberos.

9.2 Enterprise authentication

9.2.1 Présentation de l'authentification Enterprise

L'authentification Enterprise est la méthode d'authentification par défaut pour la plateforme de BI, elle est
automatiquement activée lorsque vous installez le système pour la première fois, et ne peut pas être désactivée.
Lorsque vous ajoutez et gérez des utilisateurs et des groupes, la plateforme de BI conserve des informations
relatives à l'utilisateur et au groupe au sein de sa base de données.

Conseil
Utilisez l'authentification système par défaut Enterprise si vous préférez créer des comptes et des groupes
distincts à utiliser avec la plateforme de BI ou si vous n'avez pas encore configuré de hiérarchie d'utilisateurs et
de groupes dans un serveur de répertoires tiers.

Vous n'avez pas à configurer ni à activer l'authentification Enterprise. Vous pouvez cependant modifier les
paramètres de l'authentification Enterprise pour répondre aux besoins de sécurité particuliers de votre
organisation. Les paramètres d'authentification Enterprise peuvent être modifiés via la CMC (Central
Management Console).

9.2.2 Paramètres d'authentification Enterprise

Paramètres Options Description

Restrictions relatives aux mots de passe Appliquer des mots de passe à casse Cette option permet de s'assurer que
mixte les mots de passe contiennent au moins
un caractère en majuscule et un
caractère en minuscule.

Business Intelligence Platform Administrator Guide

240 PUBLIC Authentication
 Paramètres Options Description

Remarque
Par défaut, cette option est cochée.
Au besoin, elle peut être décochée
par l'administrateur.

Appliquer les chiffres dans les mots de Cette option permet de vérifier que les
passe mots de passe comportent au moins un
caractère numérique.

Appliquer les caractères spéciaux dans Cette option permet de vérifier que les
les mots de passe mots de passe comportent au moins un
caractère spécial.

Restrictions relatives aux utilisateurs Doit changer de mot de passe tous les Cette option permet que les mots de
N jours passe ne deviennent pas un problème et
qu'ils soient actualisés régulièrement.

Les N derniers mots de passe ne Cette option permet que les mots de
peuvent pas être réutilisés passe ne soient pas répétés par
habitude.

Le mot de passe peut être modifié après Cette option permet que les nouveaux
N minute(s) mots de passe ne puissent pas être
modifiés immédiatement après leur
saisie dans le système.

Restrictions relatives aux connexions Désactiver le compte après N échecs de Cette option de sécurité spécifie le
connexion nombre de tentatives de connexion
autorisées pour un utilisateur avant que
son compte ne soit désactivé.

Réinitialiser le nombre d'échecs de Cette option spécifie un intervalle de

connexion après N minute(s) temps avant la réinitialisation du
compteur de tentatives de connexion.

Réactiver le compte après N minute(s) Cette option spécifie la durée pour

laquelle un compte est suspendu après
N échecs de tentative de connexion.

Synchroniser les références de Activer et mettre à jour les références de Cette option active les références de
connexion à la source de données lors de connexion à la source de données de connexion aux sources de données
la connexion. l'utilisateur au moment de la connexion après que l'utilisateur se soit connecté.

Authentification sécurisée L'authentification sécurisée est activée Fournit les paramètres de configuration
de l'authentification sécurisée.

9.2.3 Modification des paramètres d'Enterprise

1. Accédez à la zone de gestion Authentification de la CMC.

2. Cliquez deux fois sur Enterprise.
La boîte de dialogue Enterprise s'affiche.
3. Modifiez les paramètres.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 241
 Conseil
Pour remplacer tous les paramètres par les valeurs par défaut, cliquez sur Réinitialiser.

4. Cliquez sur Mettre à jour pour enregistrer vos modifications.

9.2.3.1 Pour modifier les paramètres généraux de mot de

passe

Remarque
Les comptes non utilisés pendant une longue période ne sont pas désactivés automatiquement. Les
administrateurs doivent supprimer manuellement les comptes inactifs.

1. Accédez à la zone de gestion Authentification de la CMC.

2. Cliquez deux fois sur Enterprise.
La boîte de dialogue Enterprise s'affiche.
3. Activez la case à cocher pour chaque paramètre de mot de passe à utiliser et renseignez-la si nécessaire.

Le tableau suivant identifie les valeurs minimales et maximales pour chacun des paramètres concernant le
mot de passe que vous pouvez configurer.

Table 36 :

Paramètre de mot de passe Valeur minimale Valeur maximale recommandée

Doit comprendre N caractères au 0 caractère 64 caractères

minimum

Doit changer de mot de passe tous les 1 jour 100 jours

N jours

Les N derniers mots de passe ne 1 mot de passe 100 mots de passe

peuvent être réutilisés

Le mot de passe peut être modifié 0 minute 100 minutes

après N minute(s)

Désactiver le compte après N échecs 1 échec 100 échecs

de connexion

Réinitialiser le nombre d'échecs de 1 minute 100 minutes

connexion après N minute(s)

Réactiver le compte après N minute(s) 0 minute 100 minutes

4. Cliquez sur Mettre à jour.

Business Intelligence Platform Administrator Guide

242 PUBLIC Authentication
 Remarque
Les comptes inactifs Enterprise ne sont pas automatiquement désactivés. Les administrateurs système
doivent supprimer manuellement les comptes qui ne sont plus actifs.

9.2.4 Activation de l'authentification sécurisée

L'authentification sécurisée d'Enterprise est utilisée pour effectuer une connexion unique en s'appuyant sur le
serveur d'applications Web pour vérifier l'identité d'un utilisateur. Cette méthode d'authentification implique
l'établissement d'une sécurité entre le CMS (Central Management Server) et le serveur d'applications Web
hébergeant l'application Web de la plateforme de BI. Lorsque la sécurité est établie, le système abandonne la
vérification de l'identité d'un utilisateur au serveur d'applications Web. L'authentification sécurisée peut être
utilisée pour prendre en charge des méthodes d'authentification telles que SAML, x.509 et d'autres méthodes ne
disposant pas d'un plug-in d'authentification propre.

Les utilisateurs préfèrent se connecter une fois au système et ne pas avoir à entrer leurs mots de passe plusieurs
fois pendant une session. L'authentification sécurisée constitue une solution de connexion unique Java pour
intégrer la solution d'authentification de votre plateforme de BI aux solutions d'authentification tierces. Les
applications qui possèdent une sécurité établie avec le Central Management Server (CMS) peuvent utiliser
l'authentification sécurisée pour permettre aux utilisateurs de se connecter sans entrer leurs mots de passe.

Pour activer l'authentification sécurisée, vous devez configurer un secret partagé sur le serveur via les
paramètres d'authentification d'Enterprise, alors que le client est configuré via les propriétés spécifiées pour le
fichier WAR BOE.

Remarque
● Pour pouvoir utiliser l'authentification sécurisée, vous devez au préalable avoir créé des utilisateurs
Enterprise ou mappé les utilisateurs tiers que vous allez utiliser pour établir la connexion à la plateforme de
BI.

Informations associées

Pour configurer le serveur de manière à utiliser l'authentification sécurisée [page 243]

Pour configurer l'authentification sécurisée pour l'application Web [page 248]

9.2.4.1 Pour configurer le serveur de manière à utiliser

l'authentification sécurisée

Pour pouvoir configurer l'authentification sécurisée, vous devez avoir créé des utilisateurs Enterprise ou mappé
des utilisateurs tiers qui doivent se connecter à la plateforme de BI.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 243
1. Connectez-vous à la CMC
2. Accédez à la zone de gestion Authentification.
3. Cliquez sur l'option Enterprise.
La boîte de dialogue Enterprise s'affiche.
4. Sous Authentification sécurisée :
a. Cliquez sur L'authentification sécurisée est activée.
b. Cliquez sur Nouveau secret partagé.
Le message La clé du secret partagé est générée et prête au téléchargement s'affiche.
c. Cliquez sur Télécharger le secret partagé.
Le secret partagé est utilisé par le client et le CMS pour établir la fiabilité. Vous devez configurer le
serveur, puis le client, pour l'authentification sécurisée.
La boîte de dialogue de téléchargement de fichier s'affiche.
d. Cliquez sur Enregistrer et enregistrez le fichier TrustedPrincipal.conf dans l'un des répertoires
suivants :

Attention
Ne définissez pas l'expiration sur 0 (zéro). Une valeur 0 signifie que le décalage possible entre les deux
horloges est illimité, ce qui peut augmenter la vulnérabilité aux attaques répétées.

e. Dans le champ Période de validité du secret partagé, saisissez le nombre de jours de validité du secret
partagé.
f. Spécifiez la durée maximale, en millisecondes, de décalage entre l'horloge du client et l'horloge du CMS
pour les demandes d'authentification sécurisée.
g. Si vous comptez partager le secret via le fichier TrustedPrincipal.conf au lieu de la session Web, copiez-le
sur l'un des répertoires suivants :

○ <INSTALLDIR>\SAP BusinessObjects Enterprise XI 4.0\win64_x64\

○ <INSTALLDIR>\SAP BusinessObjects Enterprise XI 4.0\win32_x86\
5. Cliquez sur Mettre à jour pour activer le secret partagé.

La plateforme de BI n'effectue pas d'audit sur toutes les modifications des paramètres de l'authentification
sécurisée. Vous devez sauvegarder manuellement les informations de l'authentification sécurisée.

Le secret partagé est utilisé par le client et le CMS pour établir la fiabilité. L'étape suivante consiste à configurer le
client pour l'authentification sécurisée.

9.2.5 Configuration de l'authentification sécurisée pour

l'application Web
Pour configurer l'authentification sécurisée pour le client, vous devez modifier les propriétés globales du fichier
BOE.war ainsi que les propriétés spécifiques de la zone de lancement BI et des applications OpenDocument.

Utilisez une des méthodes suivantes pour transmettre le secret partagé au client :

● Option WEB_SESSION
● Fichier TrustedPrincipal.conf

Employez une des méthodes suivantes pour transmettre le nom d'utilisateur au client :

Business Intelligence Platform Administrator Guide

244 PUBLIC Authentication
 ● REMOTE_USER
● HTTP_HEADER
● COOKIE
● QUERY_STRING
● WEB_SESSION
● USER_PRINCIPAL

Quelle que soit le mode de transmission du secret partagé, la méthode utilisée doit être personnalisée dans les
propriétés globales de Trusted.auth.user.retrieval pour le fichier BOE.war.

9.2.5.1 Utilisation de l'authentification sécurisée pour la

connexion unique SAML

Le SAML (Security Assertion Markup Language) est un standard XML pour la communication d'informations
d'identité. Le SAML fournit une connexion sécurisée où l'identité et l'approbation sont communiquées par
activation d'un mécanisme de connexion unique qui élimine les connexions supplémentaires pour les utilisateurs
sécurisés tentant d'accéder à la plateforme de BI.

Activation de l'authentification SAML

Si votre serveur d'applications peut fonctionner comme fournisseur de service SAML, vous pouvez utiliser
l'authentification sécurisée pour fournir la connexion unique SAML à la plateforme de BI.

Pour ce faire, vous devez d'abord configurer le serveur d'applications Web pour l'authentification SAML.

Vous devez aussi utiliser l'une de ces méthodes pour transmettre le nom d'utilisateur au client :

● REMOTE_USER
● USER_PRINCIPAL

Voici un exemple de fichier web.xml configuré pour l'authentification SAML :

<security-constraint>
<web-resource-collection>
<web-resource-name>InfoView</web-resource-name>
<url-pattern>*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>j2ee-admin</role-name>
<role-name>j2ee-guest</role-name>
<role-name>j2ee-special</role-name>
</auth-constraint>
<user-data-constraint>
<transport-guarantee>NONE</transport-guarantee>
</user-data-constraint>
</security-constraint>
<login-config>
<auth-method>FORM</auth-method>
<realm-name>InfoView</realm-name>
<form-login-config>
<form-login-page>/logon.jsp</form-login-page>

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 245
 <form-error-page>/logon.jsp</form-error-page>
</form-login-config>
</login-config>
<security-role>
<description>Assigned to the SAP J2EE Engine System Administrators</
description>
<role-name>j2ee-admin</role-name>
</security-role>
<security-role>
<description>Assigned to all users</description>
<role-name>j2ee-guest</role-name>
</security-role>
<security-role>
<description>Assigned to a special group of users</description>
<role-name>j2ee-special</role-name>
</security-role>

Veuillez vous référer à la documentation du serveur d'applications pour davantage d'instructions sur la manière
de procéder car cela varie en fonction du serveur d'applications.

Utilisation de l'authentification sécurisée

Une fois configuré votre serveur d'applications pour fonctionner comme fournisseur de service SAML, vous
pouvez utiliser l'authentification sécurisée pour fournir la connexion unique SAML.

Remarque
Les utilisateurs doivent être importés sur la plateforme de BI ou disposer de comptes Enterprise.

La création dynamique d'alias est utilisée pour activer la connexion unique. Lorsqu'un utilisateur accède pour la
première fois à la page de connexion via SAML, il est invité à se connecter manuellement à l'aide de ses références
de compte existantes de la plateforme de BI. Une fois les références de connexion de l'utilisateur vérifiées, le
système crée un alias entre l'identité SAML de l'utilisateur et son compte de plateforme de BI. Les tentatives
ultérieures de connexion de l'utilisateur seront réalisées à l'aide de la connexion unique car le système aura fait
correspondre dynamiquement l'alias d'identité de l'utilisateur avec un compte existant.

Remarque
Une propriété spécifique pour le fichier war BOE (trusted.auth.user.namespace.enabled) doit être
activée pour que ce mécanisme fonctionne.

9.2.5.2 Propriétés d'authentification sécurisée pour les

applications Web

Le tableau suivant répertorie les paramètres d'authentification sécurisée dans les global.properties par
défaut pour le fichier BOE.war. Pour remplacer les paramètres, créez un fichier dans C:\Program Files
(x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE
\WEB-INF\config\custom.

Business Intelligence Platform Administrator Guide

246 PUBLIC Authentication
 Propriété Valeur par défaut Description

sso.enabled=true sso.enabled=false Active et désactive la connexion unique

(SSO) à la plateforme de BI. Définissez
sur true pour activer l'authentification
sécurisée.

trusted.auth.shared.secret Aucune Nom de variable de session utilisé pour

extraire le secret pour l'authentification
sécurisée. Uniquement d'application si
la session Web est utilisée pour
transmettre le secret partagé.

trusted.auth.user.param Aucune Spécifie la variable utilisée pour extraire

le nom d'utilisateur pour
l'authentification sécurisée.

trusted.auth.user.retrieval Aucune Spécifie la méthode utilisée pour

extraire le nom d'utilisateur pour
l'authentification sécurisée :

● REMOTE_USER
● HTTP_HEADER
● COOKIE
● QUERY_STRING
● WEB_SESSION
● USER_PRINCIPAL

Ne définissez aucune valeur pour

désactiver l'authentification sécurisée.

trusted.auth.user.namespace Aucun Active et désactive la liaison dynamique

.enabled
des alias aux comptes utilisateur
existants. Si le paramètre est défini sur
true, l'authentification sécurisée utilise
la liaison d'alias pour authentifier les
utilisateurs sur plateforme de BI. Avec la
liaison d'alias, votre serveur
d'applications peut fonctionner comme
un fournisseur de service SAML, en
activant l'authentification sécurisée
pour fournir une connexion unique
SAML au système.

Si le paramètre est vide,

l'authentification sécurisée utilisera la
correspondance de noms lors de
l'authentification des utilisateurs.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 247
9.2.5.3 Pour configurer l'authentification sécurisée pour
l'application Web

Si vous avez l'intention de stocker le secret partagé dans le fichier TrustedPrincipal.conf, assurez-vous de
stocker le fichier dans le répertoire de plateforme approprié :

Table 37 :

Plateforme Emplacement du fichier TrustedPrincipal.conf

Windows, installation par défaut ● <INSTALLDIR>\SAP BusinessObjects Enterprise XI

4.0\win32_x86\
● <INSTALLDIR>\SAP BusinessObjects Enterprise XI
4.0\win64_x64\

AIX <INSTALLDIR>/sap_bobj/enterprise_xi40/ aix_rs6000/

Solaris <INSTALLDIR>/sap_bobj/enterprise_xi40/ solaris_sparc/

Linux <INSTALLDIR>/sap_bobj/enterprise_xi40/linux_x86

Il existe plusieurs mécanismes remplissant la variable de nom d'utilisateur utilisée pour configurer
l'authentification sécurisée pour le client hébergeant des applications Web. Configurez votre serveur
d'applications Web de façon à ce que les noms d'utilisateur soient exposés avant d'utiliser les méthodes
d'extraction du nom d'utilisateur. Pour en savoir plus, voir http://java.sun.com/j2ee/1.4/docs/api/javax/servlet/
http/HttpServletRequest.html .

Pour configurer l'authentification sécurisée pour le client, vous devez accéder au fichier BOE.war et en modifier
les propriétés globales, y compris les propriétés générales et spécifiques de la zone de lancement BI et des
applications Web OpenDocument.

Remarque
En fonction de la méthode que vous comptez utiliser pour extraire le nom d'utilisateur ou le secret partagé, il
peut exister des étapes supplémentaires.

1. Accédez au dossier "custom" du fichier BOE.war sur l'ordinateur hébergeant les applications Web :
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF
\config\custom\.

Vous devez ensuite redéployer le fichier BOE.war modifié.

2. Créez un fichier à l'aide de Notepad ou d'un autre éditeur de texte.
3. Entrez les propriétés d'authentification sécurisée suivantes :

sso.enabled=true
trusted.auth.user.retrieval=<Method for user ID retrieval>
trusted.auth.user.param=<User Variable>
trusted.auth.shared.secret=<Secret Variable>

Pour la propriété trusted.auth.user.retrieval, sélectionnez l'une des options suivantes pour

l'extraction du nom d'utilisateur :

Business Intelligence Platform Administrator Guide

248 PUBLIC Authentication
 Table 38 :

Option Mode d'extraction du nom d'utilisateur

HTTP_HEADER Le nom d'utilisateur est extrait du contenu d'un en-tête

HTTP. Vous spécifiez l'en-tête HTTP à utiliser dans la pro­
priété trusted.auth.user.param.

QUERY_STRING Le nom d'utilisateur est extrait d'un paramètre de l'URL de

la requête. Vous spécifiez la chaîne de requête à utiliser
dans la propriété trusted.auth.user.param.

COOKIE Le nom d'utilisateur est extrait d'un cookie défini. Vous spé­
cifiez le cookie à utiliser dans la propriété
trusted.auth.user.param.

WEB_SESSION Le nom d'utilisateur est extrait du contenu d'une variable de

session définie. Vous spécifiez la variable de session Web à
utiliser dans la propriété trusted.auth.user.param
du fichier global.properties.

REMOTE_USER Le nom d'utilisateur est extrait d'un appel à

HttpServletRequest.getRemoteUser().

USER_PRINCIPAL Le nom d'utilisateur est extrait d'un appel à

getUserPrincipal().getName() sur l'objet
HttpServletRequest pour la requête en cours dans
un servlet ou un fichier JSP.

Recommandation
Lorsque vous utilisez la connexion unique basée sur HTTP_HEADER ou sur QUERY_STRING, assurez-vous
que les utilisateurs finaux (navigateurs) n'accèdent pas directement à BOE pour s'authentifier. Au lieu de
cela, SAP recommande que les utilisateurs finaux (navigateurs) accèdent à BOE via le portail ou
l'application personnalisée.

Remarque
Certains serveurs d'applications Web nécessitent que la variable d'environnement REMOTE_USER soit
définie sur true sur le serveur. Pour déterminer si cela est nécessaire, consultez la documentation de
votre serveur d'applications Web. Si cela est nécessaire, confirmez que la variable d'environnement est
définie sur true.

Remarque
Si vous utilisez USER_PRINCIPAL ou REMOTE_USER pour transmettre le nom d'utilisateur, laissez vide le
paramètre trusted.auth.user.param.

4. Enregistrez le fichier sous le nom global.properties.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 249
5. Redémarrez le serveur d'applications Web.

Les nouvelles propriétés s'appliquent uniquement lorsque l'application Web BOE est redéployée sur l'ordinateur
exécutant le serveur d'applications Web. Utilisez WDeploy pour redéployer le fichier WAR sur le serveur
d'applications Web. Pour en savoir plus sur l'utilisation de WDeploy, voir le Guide de déploiement d'applications
Web de la plateforme SAP BusinessObjects Business Intelligence.

9.2.5.3.1 Exemples de configuration

9.2.5.3.1.1 Pour transmettre le secret partagé par le biais du

fichier TrustedPrincipal.conf

Les informations utilisateur sont stockées et transmises par le biais de la session Web, le secret partagé est
transmis via le fichier TrustedPrincipal.conf, qui se trouve par défaut dans le répertoire C:\Program Files
(x86)\SAP BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\win64_x64. La version
fournie de Tomcat constitue le serveur d'applications Web.

1. Dans le répertoire <REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps

\BOE\WEB-INF\config\custom\, créez un fichier avec Notepad ou tout autre éditeur de texte.
2. Pour spécifier les paramètres de l'authentification sécurisée, saisissez les valeurs suivantes :

sso.enabled=true
trusted.auth.user.retrieval=<Method for user ID retrieval>
trusted.auth.user.param=<User Variable>

3. Enregistrez le fichier sous le nom global.properties.

4. Localisez le fichier custom.jsp dans le dossier web du fichier
com.businessobjects.webpath.InfoView.jar à l'emplacement C:\Program Files (x86)\SAP
BusinessObjects\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF
\eclipse\plugins.
5. Insérez le code Java personnalisé dans le fichier custom.jsp dans le fichier
com.businessobjects.webpath.InfoView.jar :

<%
//custom Java code
request.getSession().setAttribute("MyUser",
request.getUserPrinicipal().getName());
%>

6. Redémarrez le serveur d'applications Web.

7. Utilisez WDeploy pour redéployer le fichier WAR sur le serveur d'applications Web.
Pour en savoir plus sur l'utilisation de WDeploy, voir le Guide de déploiement d'applications Web de la
plateforme SAP BusinessObjects Business Intelligence.

Pour vérifier si vous avez correctement configuré l'authentification sécurisée, utilisez l'URL suivante pour accéder
à la zone de lancement BI : http://<[nom_cms]>:8080/BOE/BI/custom.jsp où <[nom_cms]> désigne le
nom de l'ordinateur hébergeant le CMS. Vous êtes invité à saisir votre nom d'utilisateur et votre mot de passe la
première fois. Une fois l'authentification réussie, vous êtes automatiquement redirigé vers la zone de lancement
BI.

Business Intelligence Platform Administrator Guide

250 PUBLIC Authentication
9.2.5.3.1.2 Pour transmettre le secret partagé par le biais de la
variable de session Web

Les informations utilisateur et le secret partagé seront stockés et transmis via une variable de session Web.
Ouvrez le fichier TrustedPrincipal.conf qui a précédemment été enregistré et notez le contenu du fichier. Dans cet
exemple de configuration, il est supposé que le secret partagé est le suivant :

9ecb0778edcff048edae0fcdde1a5db8211293486774a127ec949c1bdb98dae8e0ea388979edc6577384
1c8ae5d1f675a6bf5d7c66038b6a3f1345285b55a0a7

La version fournie de Tomcat constitue le serveur d'applications Web.

1. Accédez au répertoire suivant :

<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF
\config\custom\
2. Créez un fichier dans un éditeur de texte.
3. Spécifiez les propriétés de l'authentification sécurisée en saisissant les éléments suivants :

sso.enabled=true
trusted.auth.user.retrieval=WEB_SESSION
trusted.auth.user.param=MyUser
trusted.auth.shared.secret=MySecret

4. Enregistrez le fichier sous le nom suivant .

global.properties
5. Accédez au fichier suivant :
C:\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects
Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF\eclipse\plugins\webpath.InfoView\web
\custom.jsp
6. Modifiez le contenu du fichier pour inclure les éléments suivants :

<%
//custom Java code

request.getSession().setAttribute("MySecret","9ecb0778edcff048edae0fcdde1a5db8211
293486774a127ec949c1bdb98dae8e0ea388979edc65773841c8ae5d1f675a6bf5d7c66038b6a3f13
45285b55a0a7");
request.getSession().setAttribute("MyUser",
request.getUserPrinicipal().getName());
%>

7. Redémarrez le serveur d'applications Web.

8. Utilisez WDeploy pour redéployer le fichier WAR sur le serveur d'applications Web.
Pour en savoir plus sur l'utilisation de WDeploy, voir le Guide de déploiement d'applications Web de la
plateforme SAP BusinessObjects Business Intelligence.

Pour vérifier si vous avez correctement configuré l'authentification sécurisée, utilisez l'URL suivante pour accéder
à l'application de zone de lancement BI : http://[nom_cms]:8080/BOE/BI/custom.jsp où [nom_cms] est le
nom de l'ordinateur hébergeant le CMS. Vous êtes invité à saisir votre nom d'utilisateur et votre mot de passe la
première fois. Une fois l'authentification réussie, vous êtes automatiquement redirigé vers la zone de lancement
BI.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 251
9.2.5.3.1.3 Pour transmettre le nom d'utilisateur par le biais de
l'utilisateur principal

L'exemple de configuration suivant suppose qu'un utilisateur nommé « JohnDoe » a été créé sur la plateforme de
BI.

Les informations utilisateur sont stockées et transmises par le biais de l'option Utilisateur principal, le secret
partagé est transmis via le fichier TrustedPrincipal.conf, qui se trouve par défaut dans le répertoire C:
\Program Files (x86)\SAP BusinessObjects\SAP BusinessObjects
Enterprise XI 4.0\win32_x86 . La version fournie de Tomcat constitue le serveur d'applications Web.

1. Arrêtez le serveur Tomcat.

2. Ouvrez le fichier server.xml pour Tomcat, situé par défaut dans le répertoire C:\Program Files
(x86)\SAP BusinessObjects\Tomcat\conf\.
3. Recherchez le paramètre <Realm
className="org.apache.catalina.realm.UserDatabaseRealm"..../> et modifiez-le pour la valeur
suivante :

Realm className="orgapachecatalinarealmMemoryRealm".../

4. Ouvrez le fichier tomcat-users.xml, situé par défaut dans le répertoire C:\Program Files (x86)\SAP
BusinessObjects\Tomcat\conf\.
5. Cherchez la balise <tomcat-users> et modifiez la valeur suivante :

<user name=« JohnDoe » password=« password »

roles=« onjavauser »/>

6. Ouvrez le fichier web.xml dans le répertoire C:\Program Files (x86)\SAP BusinessObjects\SAP

BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF\.
7. Avant la balise </web-app>, ajoutez les valeurs suivantes :

<security-constraint>
<web-resource-collection>
<web-resource-name>OnJavaApplication</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>onjavauser</role-name>
</auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
<realm-name>OnJava Application</realm-name>
</login-config>

Saisissez une page spécifique pour le paramètre <url-pattern></url-pattern>. Habituellement, cette

page n'est pas l'URL par défaut de la zone de lancement BI ni d'aucune autre application Web.
8. Dans le fichier personnalisé global.properties, saisissez les valeurs suivantes :

trusted.auth.user.retrieval=USER_PRINCIPAL
trusted.auth.user.namespace.enabled=true

Business Intelligence Platform Administrator Guide

252 PUBLIC Authentication
 Remarque
La configuration de trusted.auth.user.namespace.enabled=true est facultative. Ajoutez le
paramètre lorsque vous voulez mapper un nom d'utilisateur externe à un nom d'utilisateur de la plateforme
de BI différent.

9. Redémarrez le serveur d'applications Web.

10. Utilisez WDeploy pour redéployer le fichier WAR sur le serveur d'applications Web.
Pour en savoir plus sur l'utilisation de WDeploy, voir le Guide de déploiement d'applications Web de la
plateforme SAP BusinessObjects Business Intelligence.

Les configurations sur le serveur d'applications Web sont les mêmes que si vous utilisiez la méthode Utilisateur
distant.

Pour vérifier si vous avez correctement configuré l'authentification sécurisée, utilisez l'URL suivante pour accéder
à la zone de lancement BI : http://<[nom_cms]>:8080/BOE/BI où <[nom_cms]> désigne le nom de
l'ordinateur hébergeant le CMS. Après un moment, une boîte de dialogue de connexion s'affiche.

9.3 LDAP authentication

9.3.1 Utilisation de l'authentification LDAP

Cette section fournit une description générale du fonctionnement de l'authentification LDAP avec la plateforme de
BI. Elle présente ensuite les outils d'administration qui vous permettent de gérer et de configurer les comptes
LDAP sur la plateforme.

Lorsque vous installez la plateforme de BI, le plug-in d'authentification LDAP est installé automatiquement, mais
n'est pas activé par défaut. Vous devez tout d'abord vérifier que votre répertoire LDAP est configuré afin d'utiliser
l'authentification LDAP. Pour obtenir davantage d'informations sur LDAP, reportez-vous à la documentation
relative à LDAP.

Le protocole LDAP (Lightweight Directory Access Protocol), un répertoire commun indépendant de toute
application, permet aux utilisateurs de partager des informations entre plusieurs applications. Basé sur un
standard ouvert, LDAP fournit un moyen d'accéder et de mettre à jour des informations dans un répertoire.

LDAP est basé sur le standard X.500, qui utilise un protocole d'accès aux répertoires (DAP) pour communiquer
entre un client répertoire et un serveur d'annuaire. LDAP est une alternative à DAP car il utilise moins de
ressources, simplifie et omet certaines opérations et fonctions X.500.

La structure de répertoires dans LDAP se compose d'entrées organisées selon un schéma spécifique. Chaque
entrée est identifiée par un nom distinctif correspondant (DN) ou un nom commun (CN). Les autres attributs
communs incluent le nom d'unité de l'organisation (OU) et le nom de l'organisation (O). Par exemple, un groupe
de membres peut se trouver dans une arborescence de répertoires comme suit : cn=Utilisateurs de la plateforme
de BI, ou=Utilisateurs Enterprise A, o=Recherche. Consultez votre documentation LDAP pour plus d'informations.

LDAP étant indépendant de toute application, tout client disposant des privilèges appropriés peut accéder à ses
répertoires. LDAP offre la possibilité de configurer des utilisateurs pour se connecter à la plateforme de BI par le
biais de l'authentification LDAP. Il fournit aux utilisateurs des droits d'accès aux objets du système. Tant que vous
disposez d'un serveur (ou de serveurs) LDAP en cours d'exécution, et que vous utilisez LDAP dans vos systèmes

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 253
existants reliés en réseau, vous pouvez utiliser l'authentification LDAP (en même temps que les authentifications
Enterprise et Windows AD).

Si vous le souhaitez, le plug-in de sécurité LDAP fourni avec la plateforme de BI peut communiquer avec votre
serveur LDAP via une connexion SSL établie à l'aide d'une authentification serveur ou d'une authentification
mutuelle. Dans le cadre d'une authentification serveur, le serveur LDAP possède un certificat de sécurité que la
plateforme de BI utilise pour vérifier si elle approuve le serveur, tandis que le serveur LDAP autorise les
connexions depuis des clients anonymes. Dans le cadre d'une authentification mutuelle, le serveur LDAP et la
plateforme de BI disposent de certificats de sécurité et le serveur LDAP doit également vérifier le certificat client
pour qu'une connexion puisse être établie.

Le plug-in de sécurité LDAP fourni avec la plateforme de BI peut être configuré de manière à communiquer avec
votre serveur LDAP via SSL, mais il effectue toujours une authentification de base lors de la vérification des
références de connexion des utilisateurs. Avant de déployer l'authentification LDAP conjointement avec la
plateforme de BI, assurez-vous que vous êtes familiarisé avec les différences entre ces types d'authentification
LDAP. Pour en savoir plus, voir RFC2251, à présent disponible à l'adresse http://www.faqs.org/rfcs/rfc2251.html
.

Informations associées

Configuration de l'authentification LDAP [page 255]

Mappage des groupes LDAP [page 265]

9.3.1.1 Plug-in de sécurité LDAP

Le plug-in de sécurité LDAP vous permet de mapper des comptes et des groupes d'utilisateurs de votre serveur
de répertoires LDAP vers la plateforme de BI ; il permet également au système de vérifier toutes les demandes de
connexion qui spécifient l'authentification LDAP. Les utilisateurs sont authentifiés par rapport au serveur de
répertoire LDAP et leur appartenance à un groupe LDAP mappé est vérifiée avant que le CMS ne leur accorde une
session de plateforme de BI active. Les listes d'utilisateurs et les appartenances à des groupes sont mises à jour
dynamiquement par le système. Si vous souhaitez renforcer la sécurité, vous pouvez spécifier que la plateforme
doit utiliser une connexion SSL (Secure Sockets Layer) pour communiquer avec le serveur d'annuaire LDAP.

L'authentification LDAP pour la plateforme de BI est similaire à l'authentification Windows AD en ce sens que vous
pouvez mapper des groupes et configurer l'authentification, les droits d'accès et la création d'alias. En outre,
comme dans l'authentification NT ou AD, vous pouvez créer des comptes Enterprise pour les utilisateurs LDAP
existants et attribuer des alias LDAP aux utilisateurs existants si les noms d'utilisateur correspondent aux noms
d'utilisateur Enterprise. En outre, vous pouvez procéder aux opérations suivantes :

● Mapper les utilisateurs et les groupes depuis le service de répertoire LDAP.

● Mapper LDAP par rapport à AD. Un certain nombre de restrictions s'appliquent si vous configurez LDAP par
rapport à AD.
● Spécifier des noms d'hôtes multiples et les ports associés.
● Configurer LDAP avec SiteMinder.

Une fois que vous avez mappé vos utilisateurs et vos groupes LDAP, tous les outils client de la plateforme de BI
prennent en charge l'authentification LDAP. Vous pouvez également créer vos propres applications prenant en
charge l'authentification LDAP.

Business Intelligence Platform Administrator Guide

254 PUBLIC Authentication
Informations associées

Configuration des paramètres SSL pour l'authentification mutuelle ou l'authentification du serveur LDAP [page
259]
Mappage de LDAP par rapport à Windows AD [page 268]
Configuration du plug-in LDAP pour SiteMinder [page 264]

9.3.2 Configuration de l'authentification LDAP

Pour simplifier la gestion, la plateforme de BI prend en charge l'authentification LDAP pour les comptes
d'utilisateurs et de groupes. Pour que les utilisateurs puissent utiliser leur nom d'utilisateur et leur mot de passe
LDAP afin de se connecter au système, vous devez mapper leur compte LDAP à la plateforme de BI. Lorsque vous
mappez un compte LDAP, vous pouvez choisir de créer un compte ou d'établir un lien vers un compte de la
plateforme de BI existant.

Avant de configurer et d'activer l'authentification LDAP, vérifiez que le répertoire LDAP est configuré. Pour en
savoir plus, reportez-vous à la documentation relative à LDAP.

La configuration de l'authentification LDAP comprend les tâches suivantes :

● Configuration de l'hôte LDAP

● Préparation du serveur LDAP pour SSL (si nécessaire)
● Configuration du plug-in LDAP pour SiteMinder (si nécessaire)

Remarque
Si vous configurez LDAP par rapport à AD, vous pourrez mapper vos utilisateurs, mais vous ne serez pas en
mesure de configurer une connexion unique AD ou une connexion unique à la base de données. Cependant, les
méthodes de connexion unique LDAP telles que SiteMinder et l'authentification sécurisée seront toujours
disponibles.

9.3.2.1 Pour configurer l'hôte LDAP

Il est conseillé d'installer et d'exécuter le serveur LDAP avant de configurer l'hôte LDAP.

1. Dans la liste de navigation, sélectionnez Authentification pour accéder à la zone de gestion Authentification de
la CMC.
2. Cliquez deux fois sur LDAP.
3. Si vous configurez l'authentification LDAP pour la première fois, cliquez sur Démarrer l'Assistant de
configuration LDAP.
4. Saisissez le nom et le numéro de port de vos hôtes LDAP dans le champ Ajouter un hôte LDAP (nomhôte:port)
(par exemple, "monserveur:123"), cliquez sur Ajouter, puis sur Suivant.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 255
 Conseil
Répétez cette étape pour ajouter d'autres hôtes LDAP appartenant au même type de serveur, qui feront
office de serveurs de basculement. Si vous voulez supprimer un hôte, mettez en surbrillance le nom de
l'hôte et cliquez sur Supprimer.

5. Sélectionnez votre type de serveur dans la liste Type de serveur LDAP.

Remarque
Si vous mappez LDAP à AD, sélectionnez le type de serveur Serveur d'applications Microsoft Active
Directory.

6. Si vous souhaitez afficher ou modifier les mappages des attributs du serveur LDAP ou les attributs de
recherche LDAP par défaut, cliquez sur Afficher les mappages des attributs.

Par défaut, les mappages des attributs du serveur et les attributs de recherche de chaque type de serveur
pris en charge sont définis.
7. Cliquez sur Suivant.
8. Dans le champ Nom distinctif LDAP de base, saisissez le nom distinctif (par exemple, o=UneBase) du serveur
LDAP, puis cliquez sur Suivant.
9. Dans la zone Références d'administration du serveur LDAP, indiquez le nom distinctif et le mot de passe d'un
compte utilisateur disposant d'un accès en lecture au répertoire.
Les références d'administrateur ne sont pas requises.

Si votre serveur LDAP permet la liaison anonyme, ne renseignez pas cette zone. Les serveurs et les clients de
la plateforme de BI se connecteront à l'hôte principal via une connexion anonyme.
10. Si vous avez configuré des références sur l'hôte LDAP, saisissez les informations d'authentification dans la
zone Références de connexion LDAP, puis saisissez le nombre de tronçons de référence dans le champ
Nombre maximal de tronçons de référence.
Vous devez configurer la zone Références LDAP si tous les critères suivants s'appliquent :
○ L'hôte principal a été configuré pour faire référence à un autre serveur d'annuaire qui traite les requêtes
concernant les entrées dans une base spécifiée.
○ L'hôte auquel il est fait référence a été configuré de manière à ne pas autoriser la liaison anonyme.
○ Un groupe de l'hôte auquel il est fait référence sera mappé à la plateforme de BI.

Remarque
Les groupes peuvent être mappés à partir de plusieurs hôtes mais seul un ensemble de références de
connexion peut être défini. Par conséquent, si vous disposez de plusieurs hôtes de référence, vous devez
créer un compte d'utilisateur sur chaque hôte qui utilise les mêmes nom distinctif et mot de passe.

Remarque
Si le Nombre maximal de tronçons de référence est défini sur zéro, aucune référence n'est autorisée.

11. Cliquez sur Suivant.

12. Sélectionnez le type d'authentification SSL (Secure Sockets Layer) utilisé :
○ De base (non SSL)
○ Authentification du serveur

Business Intelligence Platform Administrator Guide

256 PUBLIC Authentication
 ○ Authentification mutuelle

Les informations et prérequis pour l'authentification du serveur et l'authentification mutuelle sont abordés
dans une section ultérieure. Pour configurer l'authentification LDAP à l'aide d'un des types de SSL, consultez
Configuration des paramètres SSL pour l'authentification mutuelle ou l'authentification du serveur LDAP dans
ce document avant de poursuivre la procédure.
13. Cliquez sur Suivant, puis sélectionnez un mode d'authentification de connexion unique LDAP :
○ De base (pas de connexion unique)
○ SiteMinder
14. Cliquez sur Suivant, puis sélectionnez le mode de mappage des alias et utilisateurs aux comptes de la
plateforme de BI.
a. Dans la zone Options de nouvel alias, sélectionnez le mode de mappage des nouveaux alias aux comptes
Enterprise :
○ Affecter à un même compte chaque alias LDAP ajouté
Utilisez cette option lorsque vous savez que certains utilisateurs possèdent un compte Enterprise
portant le même nom ; cela signifie que les alias LDAP seront affectés aux utilisateurs existants (la
création d'alias automatique est activée). Les utilisateurs dépourvus de compte Enterprise, ou ne
portant pas le même nom dans leur compte Enterprise et LDAP, sont ajoutés en tant que nouveaux
utilisateurs.
○ Créer un nouveau compte pour chaque alias LDAP ajouté
Utilisez cette option pour créer un compte pour chaque utilisateur.
b. Dans la zone Options de mise à jour des alias, sélectionnez le mode de gestion des mises à jour des alias
pour les comptes Enterprise :
○ Créer de nouveaux alias lors de la mise à jour des alias
Utilisez cette option pour créer automatiquement un nouvel alias pour chaque utilisateur LDAP
mappé à la plateforme de BI. De nouveaux comptes LDAP sont ajoutés pour les utilisateurs
dépourvus de comptes de la plateforme de BI, ou pour tous les utilisateurs si vous avez sélectionné
l'option Créer un nouveau compte pour chaque alias LDAP ajouté.
○ Créer de nouveaux alias uniquement lorsque l'utilisateur se connecte
Sélectionnez cette option si l'annuaire LDAP que vous mappez contient de nombreux utilisateurs
dont seulement quelques-uns utiliseront la plateforme de BI. Le système ne crée pas
automatiquement d'alias ni de comptes Enterprise pour tous les utilisateurs. Il crée plutôt des alias
(et des comptes, le cas échéant) uniquement pour les utilisateurs qui se connectent à la plateforme
de BI.
c. Dans la zone Options de nouvel utilisateur, indiquez le nombre d'utilisateurs créés :
○ Les nouveaux utilisateurs sont créés en tant qu'utilisateurs nommés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences Utilisateurs
nommés. Les licences Utilisateur nommé sont associées à des utilisateurs particuliers qui peuvent
accéder au système en saisissant un nom d'utilisateur et un mot de passe. Ainsi, les utilisateurs
nommés peuvent accéder au système, quel que soit le nombre de personnes connectées. Il faut
qu'une licence Utilisateurs nommés soit disponible pour chaque compte d'utilisateur créé à l'aide de
cette option.

Remarque
Le nombre de sessions ouvertes simultanément est limité à 10 pour un utilisateur nommé créé à
l'aide d'une licence Utilisateur nommé. Si un tel utilisateur nommé essaie de se connecter à une
11ème session simultanée, le système affiche un message d'erreur correspondant. Vous devez
libérer une des sessions existantes pour pouvoir vous connecter.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 257
 Cependant, le nombre de sessions ouvertes simultanément n'est pas limité pour un utilisateur
créé à l'aide d'une licence Processeur et d'une licence Document public.

○ Les nouveaux utilisateurs sont créés en tant qu'utilisateurs simultanés

Les nouveaux comptes utilisateur sont configurés de manière à utiliser des licences d'utilisateurs
simultanés. Les licences d'accès simultanés spécifient le nombre d'utilisateurs pouvant se connecter
en même temps à la plateforme de BI. Cette licence est tout à fait adaptée dans la mesure où elle
peut accepter de nombreux utilisateurs. Par exemple, suivant la fréquence et la durée des connexions
des utilisateurs à la plateforme, une licence pour 100 utilisateurs simultanés peut prendre en charge
250, 500 ou 700 utilisateurs.
15. Suivez cette étape si vous configurez des mappages d'attributs utilisateur ou si vous prévoyez d'importer des
adresses électroniques depuis le serveur LDAP. Dans la zone Options de liaison d'attributs, spécifiez la priorité
de liaison d'attributs pour le plug-in AD :
a. Cliquez dans la zone Importer le nom complet, l'adresse électronique et d'autres attributs.
Les noms complets et les descriptions des comptes LDAP sont importés et stockés avec les objets
utilisateur dans le système.
b. Spécifiez une option pour Rendre la liaison d'attributs LDAP prioritaire par rapport aux autres liaisons
d'attributs.

Remarque
Si l'option est définie sur 1, les attributs LDAP sont prioritaires dans les scénarios où LDAP et les autres
plug-ins (Windows AD et SAP) sont activés. Si l'option est définie sur 3, les attributs des autres plug-ins
sont prioritaires.

16. Cliquez sur Terminer.

Informations associées

Configuration des paramètres SSL pour l'authentification mutuelle ou l'authentification du serveur LDAP [page
259]
Configuration du plug-in LDAP pour SiteMinder [page 264]

9.3.2.2 Gestion des hôtes LDAP multiples

Lors de l'utilisation de LDAP et de la plateforme de BI, vous pouvez rendre votre système tolérant aux pannes en
ajoutant plusieurs hôtes LDAP. Le système utilise comme hôte LDAP principal le premier hôte que vous ajoutez.
Les hôtes suivants sont traités en tant qu'hôtes de basculement.

L'hôte LDAP principal et tous les hôtes de basculement doivent être configurés exactement de la même façon, et
chaque hôte LDAP doit faire référence à tous les autres hôtes à partir desquels vous souhaitez mapper des
groupes. Pour obtenir davantage d'informations sur les hôtes et les références LDAP, reportez-vous à la
documentation relative à LDAP.

Pour ajouter plusieurs hôtes LDAP, saisissez-les lorsque vous configurez LDAP à l'aide de l'Assistant de
configuration LDAP (voir pour plus d'informations). Si vous avez déjà configuré LDAP, vous pouvez accéder à la

Business Intelligence Platform Administrator Guide

258 PUBLIC Authentication
zone de gestion Authentification de la Central Management Console puis cliquer sur l'onglet LDAP. Dans la zone
Résumé de la configuration du serveur LDAP, cliquez sur le nom de l'hôte LDAP pour ouvrir la page qui vous
permet d'ajouter ou de supprimer des hôtes.

Remarque
Assurez-vous d'ajouter en premier l'hôte principal, suivi des autres hôtes de basculement.

Remarque
Si vous recourez à des hôtes LDAP de basculement, vous ne pouvez pas utiliser le niveau le plus élevé de
sécurité SSL (en d'autres termes, vous ne pouvez pas sélectionner l'option "Accepter le certificat du serveur s'il
provient d'une autorité de certification fiable et si l'attribut CN du certificat correspond au nom d'hôte DNS du
serveur").

Informations associées

Configuration de l'authentification LDAP [page 255]

9.3.2.3 Configuration des paramètres SSL pour

l'authentification mutuelle ou l'authentification du
serveur LDAP

Cette section contient des informations détaillées sur l'authentification mutuelle ou l'authentification du serveur
LDAP par SSL. La configuration d'une authentification par SSL requiert des étapes préliminaires. Cette section
fournit aussi des informations spécifiques à la configuration SSL avec l'authentification mutuelle et
l'authentification du serveur LDAP dans la CMC. Il est supposé que vous avez configuré l'hôte LDAP et que vous
avez sélectionné l'une des options suivantes pour votre authentification SSL :

Pour en savoir plus ou pour obtenir des informations sur la configuration du serveur hôte LDAP, reportez-vous à la
documentation de votre fournisseur LDAP.

Informations associées

Pour configurer l'hôte LDAP [page 255]

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 259
9.3.2.3.1 Pour configurer l'authentification serveur ou
mutuelle LDAP

Ressources Effectuez les actions suivantes avant de démarrer cette tâche

Certificat CA Cette action est requise pour l'authentification serveur et

mutuelle avec SSL.

1. Obtenez la génération d'un certificat CA par une autorité

de certification.
2. Ajoutez le certificat à votre serveur LDAP.
Pour en savoir plus, voir la documentation de votre
fournisseur de contenus LDAP.

Certificat de serveur Cette action est requise pour l'authentification serveur et

mutuelle avec SSL.

1. Demandez puis générez un certificat de serveur.

2. Autorisez le certificat, puis ajoutez-le au serveur LDAP.

cert7.db ou cert8.db, key3.db Ces fichiers sont requis pour l'authentification serveur et
mutuelle avec SSL.

1. Téléchargez l'application certutil qui génère un fichier

cert7.db ou cert8.db (selon vos besoins) depuis
l'adresse : https://developer.mozilla.org/en-US/
docs/NSS/tools .
2. Copiez le certificat CA dans le même répertoire que
l'application certutil.
3. Utilisez la commande suivante pour générer les fichiers
cert7.db ou cert8.db, key3.db et secmod.db :

certutil -N -d .

4. Utilisez la commande suivante pour ajouter le certificat

CA au fichier cert7.db ou cert8.db :

certutil -A -n <CA_alias_name> -t
CT -d . -I cacert.cer

5. Stockez les trois fichiers dans un répertoire de

l'ordinateur hébergeant la plateforme de BI.

cacerts Ce fichier est requis pour l'authentification serveur ou

mutuelle avec SSL pour les applications Java comme la zone
de lancement BI.

1. Recherchez le fichier keytool dans votre répertoire

bin Java.
2. Utilisez la commande suivante pour créer le fichier
cacerts :

keytool -import -v -alias

<CA_alias_name> -file
<CA_certificate_name> -trustcacerts
-keystore

Business Intelligence Platform Administrator Guide

260 PUBLIC Authentication
 Ressources Effectuez les actions suivantes avant de démarrer cette tâche

3. Stockez le fichier cacerts dans le même répertorie

que les fichiers cert7.db ou cert8.db et key3.db.

Certificat client 1. Créez des demandes client distinctes pour les fichiers
cert7.db ou cert8.db et .keystore :
○ Pour configurer le plug-in LDAP, utilisez l'application
certutil pour générer une demande de certificat
client.
○ Utilisez la commande suivante pour générer la
demande de certificat client :

certutil -R -s "<client_dn>" -a -
o <certificate_request_name> -d .

<client_dn> inclut des informations telles que

"CN=<client_name>, OU=<org unit>,
O=<Companyname>, L=<city>, ST=<province>,
and C=<country>.
2. Utilisez le CA pour authentifier la demande de certificat.
Utilisez la commande suivante pour retrouver le
certificat et l'insérer dans le fichier cert7.db ou
cert8.db :

certutil -A -n <client_name> -t Pu
-d . -I <client_certificate_name>

3. Pour faciliter l'authentification Java avec SSL :

○ Utilisez l'utilitaire keytool dans le répertoire Java
bin pour générer une demande de certificat client.
○ Utilisez la commande suivante pour générer une
paire clé :

keytool -genkey -
keystore .keystore

4. Après avoir spécifié les informations sur votre client,

utilisez la commande suivante pour générer une
demande de certificat client :

keytool -certreq -file

<certificate_request_name> -
keystore .keystore

5. Une fois la demande de certificat client authentifiée par

l'autorité de certification (CA), utilisez la commande
suivante pour ajouter le certificat CA au
fichier .keystore :

keytool -import -v -alias

<CA_alias_name> -file
<ca_certificate_name> -trustcacerts
-keystore .keystore

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 261
Ressources Effectuez les actions suivantes avant de démarrer cette tâche

6. Extrayez la demande de certificat client de l'autorité de

certification (CA) et utilisez la commande suivante pour
l'ajouter au fichier .keystore :

keytool -import -v -file

<client_certificate_name> -
trustcacerts -keystore .keystore

7. Stockez le fichier .keystore dans le même répertoire

que les fichiers cert7.db ou cert8.db et cacerts
sur l'ordinateur hébergeant la plateforme de BI.

1. Sélectionnez le niveau de sécurité SSL à utiliser.

Si vous utilisez l'Assistant de configuration LDAP pour configurer l'authentification LDAP pour la première
fois, sélectionnez Authentification mutuelle dans la liste Type d'authentification SSL, puis cliquez sur Suivant.
Sinon, si vous reconfigurez la configuration de l'authentification LDAP, accédez à la zone Authentification de la
CMC, puis cliquez deux fois sur LDAP. La page Résumé de la configuration du serveur LDAP s'affiche. Cliquez
sur la valeur Type SSL, puis sélectionnez Authentification mutuelle dans la liste Type d'authentification SSL.

○ Toujours accepter le certificat du serveur

Cette option offre le niveau de sécurité le plus faible. Avant que la plateforme de BI ne puisse établir une
connexion SSL avec l'hôte LDAP (pour authentifier les utilisateurs et groupes LDAP), elle doit recevoir et
vérifier un certificat de sécurité envoyé par l'hôte LDAP. La plateforme de BI ne vérifie pas le certificat
qu'elle reçoit.
○ Accepter le certificat du serveur s'il provient d'une autorité de certification fiable
Cette option offre un niveau de sécurité moyen. Avant que la plateforme de BI ne puisse établir une
connexion SSL avec l'hôte LDAP (pour authentifier les utilisateurs et groupes LDAP), elle doit recevoir et
vérifier un certificat de sécurité envoyé par l'hôte LDAP. Pour vérifier le certificat, le système doit
rechercher l'autorité de certification ayant émis le certificat dans sa base de données des certificats.
○ Accepter le certificat du serveur s'il provient d'une autorité de certification fiable et si l'attribut CN du
certificat correspond au nom d'hôte DNS du serveur
Cette option offre le niveau de sécurité le plus élevé. Avant que la plateforme de BI ne puisse établir une
connexion SSL avec l'hôte LDAP (pour authentifier les utilisateurs et groupes LDAP), elle doit recevoir et
vérifier un certificat de sécurité envoyé par l'hôte LDAP. Pour vérifier le certificat, la plateforme de BI doit
rechercher l'autorité de certification ayant émis le certificat dans sa base de données des certificats et
pouvoir confirmer que l'attribut CN du certificat du serveur correspond exactement au nom d'hôte LDAP
saisi dans la zone Ajouter un hôte LDAP lors de la première étape de l'Assistant, si vous avez entré le nom
d'hôte LDAP sous la forme ABALONE.rd.crystald.net:389. (L'utilisation de CN =ABALONE:389 dans
le certificat ne fonctionne pas.) .
Le nom d'hôte associé au certificat de sécurité du serveur est le nom d'hôte LDAP principal. Si vous
sélectionnez cette option, vous ne pouvez pas utiliser un hôte LDAP de basculement.

Remarque
Les applications Java ignorent les premier et dernier paramètres et acceptent le certificat du serveur
uniquement si celui-ci provient d'une autorité de certification de confiance.

2. Dans la zone Hôte SSL, saisissez le nom d'hôte de chaque ordinateur, puis cliquez sur Ajouter.

Business Intelligence Platform Administrator Guide

262 PUBLIC Authentication
 Ensuite, vous devez ajouter le nom d'hôte de chaque ordinateur du déploiement de la plateforme BI qui utilise
son SDK. (Cela concerne l'ordinateur sur lequel s'exécute le CMS (Central Management Server) et celui sur
lequel s'exécute le serveur d'applications Web.)
3. Spécifiez les paramètres SSL pour chaque hôte SSL ajouté à la liste :
a. Sélectionnez Par défaut dans la liste SSL.
b. Décochez les cases Utiliser la valeur par défaut.
c. Saisissez une valeur dans les zones Chemin d'accès aux fichiers de certificats et de base de données de
clés et Mot de passe d'accès à la base de données des clés.
d. Si vous spécifiez les paramètres d'une authentification mutuelle, saisissez une valeur dans la zone
Surnom du certificat du client dans la base de données de certificats.

Remarque
Les paramètres par défaut seront utilisés (pour toute définition) pour n'importe quel hôte où la case
Utiliser la valeur par défaut est cochée ou pour tout ordinateur dont le nom n'est pas ajouté à la liste des
hôtes SSL.

4. Spécifiez les paramètres par défaut de chaque hôte qui n'apparaît pas dans la liste, puis cliquez sur Suivant.
Pour spécifier les paramètres d'un autre hôte, sélectionnez le nom d'hôte dans la liste de gauche, puis
saisissez les valeurs dans les zones de droite.

Remarque
Les paramètres par défaut seront utilisés (pour toute définition) pour n'importe quel hôte où la case
Utiliser la valeur par défaut est cochée ou pour tout ordinateur dont le nom n'est pas ajouté à la liste des
hôtes SSL.

5. Sélectionnez De base (pas de connexion unique) ou SiteMinder comme mode d'authentification de connexion
unique LDAP.
6. Choisissez le mode de création de nouveaux utilisateurs et alias LDAP.
7. Cliquez sur Terminer.

Informations associées

Configuration du plug-in LDAP pour SiteMinder [page 264]

9.3.2.4 Modification des paramètres de configuration LDAP

Après avoir configuré l'authentification LDAP à l'aide de l'Assistant de configuration LDAP, vous pouvez modifier
les paramètres de connexion et les groupes de membres LDAP sur la page Résumé de la configuration du serveur
LDAP.

1. Accédez à la zone de gestion Authentification de la CMC.

2. Cliquez deux fois sur LDAP.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 263
 Si l'authentification LDAP est configurée, la page Résumé de la configuration du serveur LDAP s'affiche. Sur
cette page, vous pouvez modifier toutes les zones ou les champs des paramètres de connexion et les options
de la zone Groupes des membres LDAP mappés.
3. Supprimez les groupes mappés actuellement qui ne seront plus accessibles selon les nouveaux paramètres
de connexion, puis cliquez sur Mettre à jour.
Vous pouvez supprimer les groupes mappés en sélectionnant le groupe d'utilisateurs, puis en cliquant sur le
bouton Supprimer dans la section Groupes des membres LDAP mappés.
4. Modifiez les paramètres de connexion, puis cliquez sur Mettre à jour.
5. Si nécessaire, modifiez les Options de nouvel alias, Options de mise à jour des alias et Options de nouvel
utilisateur, puis cliquez sur Mettre à jour.
6. Mappez les nouveaux groupes de membres LDAP, puis cliquez sur Mettre à jour.

9.3.2.5 Configuration du plug-in LDAP pour SiteMinder

Cette section explique comment configurer la CMC pour utiliser LDAP avec SiteMinder. SiteMinder est un outil
tiers qui permet l'authentification et l'accès des utilisateurs et qui peut être employé avec le plug-in de sécurité
LDAP pour créer une connexion unique à la plateforme de BI.

Pour utiliser SiteMinder et LDAP avec la plateforme de BI, vous devez apporter des modifications de configuration
à deux endroits :

● Plug-in LDAP via la CMC

● Propriétés du fichier BOE.war

Remarque
Vérifiez que l'administrateur SiteMinder a activé la prise en charge des agents 4.x. Cette activation doit être
effectuée quelle que soit la version SiteMinder prise en charge que vous utilisez. Pour en savoir plus sur
SiteMinder et sur son installation, reportez-vous à sa documentation.

Informations associées

Pour configurer l'hôte LDAP [page 255]

9.3.2.5.1 Pour configurer LDAP pour la connexion unique

avec SiteMinder

1. Ouvrez l'écran Configurez les paramètres SiteMinder à l'aide d'une des méthodes suivantes :

○ Sélectionnez SiteMinder dans l'écran Choisissez un mode d'authentification de connexion unique LDAP de
l'Assistant de configuration LDAP.
○ Sélectionnez Type de connexion unique dans l'écran d'authentification LDAP, disponible si vous avez déjà
configuré LDAP et que vous ajoutez maintenant la connexion unique.

Business Intelligence Platform Administrator Guide

264 PUBLIC Authentication
 2. Dans la zone Hôte serveur de règles, saisissez le nom de chaque serveur de règles, puis cliquez sur Ajouter.
3. Pour chaque hôte serveur de règles, indiquez le numéro des ports de comptabilisation, d'Authentification et
d'autorisation.
4. Saisissez le Nom de l'agent et le Secret partagé. Saisissez à nouveau le secret partagé dans la zone Confirmer
le secret partagé.
5. Cliquez sur Suivant.
6. Poursuivez par la configuration des options LDAP.

9.3.2.5.2 Pour activer LDAP et SiteMinder dans le fichier

BOE.war

Outre la spécification des paramètres SiteMinder pour le plug-in de sécurité LDAP, les paramètres SiteMinder
doivent être spécifiés pour les propriétés du fichier BOE.war.

1. Accédez au répertoire <REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles

\webapps\BOE\WEB-INF\config\custom\ de l'installation de la plateforme de BI.
2. Créez un fichier à l'aide de Notepad ou d'un autre éditeur de texte.
3. Entrez l'instruction suivante :

siteminder.authentication=secLDAP
siteminder.enabled=true

4. Fermez le fichier et enregistrez-le sous le nom global.properties, sans extension de fichier.

5. Créez un autre fichier dans le même répertoire.
6. Entrez l'instruction suivante :

authentication.default=secLDAP
cms.default=[<your cms name>]:[<the CMS port number>]

Par exemple :

authentication.default=secLDAP
cms.default=mycms:6400

7. Fermez le fichier et enregistrez-le sous le nom bilaunchpad.properties.

Les nouvelles propriétés ne prennent effet que lorsque l'application Web BOE modifiée est redéployée sur
l'ordinateur exécutant le serveur d'applications Web. Utilisez WDeploy pour redéployer le fichier WAR sur le
serveur d'applications Web. Pour en savoir plus sur l'utilisation de WDeploy, voir le Guide de déploiement
d'applications Web de la plateforme SAP BusinessObjects Business Intelligence.

9.3.3 Mappage des groupes LDAP

Après avoir configuré l'hôte LDAP à l'aide de l'Assistant de configuration LDAP, vous pouvez mapper les groupes
LDAP aux groupes Enterprise.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 265
Après avoir mappé les groupes LDAP, vous pouvez les afficher en cliquant sur les options LDAP dans la zone de
gestion Authentification. Si l'authentification LDAP est configurée, la zone Groupes des membres LDAP mappés
affiche les groupes LDAP mappés à la plateforme de BI.

Remarque
Vous pouvez également mapper les groupes Windows AD pour qu'ils soient authentifiés dans la plateforme de
BI via le plug-in de sécurité LDAP.

Remarque
Si vous avez configuré LDAP par rapport à AD, cette procédure mappera vos groupes AD.

9.3.3.1 Pour mapper des groupes LDAP à l'aide de la

plateforme de BI.

1. Accédez à la zone de gestion Authentification de la CMC.

2. Cliquez deux fois sur LDAP.

Si l'authentification LDAP est configurée, la page de résumé LDAP apparaît.

3. Dans la zone Groupes des membres LDAP mappés, spécifiez votre groupe LDAP (soit par un nom commun ou
un nom distinct) dans le champ Ajouter un groupe LDAP (par cn ou dn) et cliquez sur Ajouter.

Répétez cette étape pour chaque groupe LDAP que vous souhaitez ajouter. Pour supprimer un groupe,
mettez-le en surbrillance et cliquez sur Supprimer.
4. Dans la zone Options de nouvel alias, sélectionnez le mode de mappage des alias LDAP aux comptes
Enterprise :
○ Affecter à un même compte chaque alias LDAP ajouté
Utilisez cette option lorsque vous savez que certains utilisateurs possèdent un compte Enterprise portant
le même nom ; cela signifie que les alias LDAP seront affectés aux utilisateurs existants (la création d'alias
automatique est activée). Les utilisateurs dépourvus de compte Enterprise, ou ne portant pas le même
nom dans leur compte Enterprise et LDAP, sont ajoutés en tant que nouveaux utilisateurs LDAP.
○ Créer un nouveau compte pour chaque alias LDAP ajouté
Utilisez cette option pour créer un compte pour chaque utilisateur.
5. Dans la zone Options de mise à jour des alias, sélectionnez une option pour déterminer si les alias LDAP sont
automatiquement créés pour les nouveaux utilisateurs :
○ Créer de nouveaux alias lors de la mise à jour des alias
Utilisez cette option pour créer automatiquement un nouvel alias pour chaque utilisateur LDAP mappé à
la plateforme de BI. De nouveaux comptes LDAP sont ajoutés pour les utilisateurs dépourvus de compte
de la plateforme de BI, ou pour tous les utilisateurs si vous avez sélectionné l'option Créer un nouveau
compte pour chaque alias LDAP ajouté et cliqué sur Mettre à jour.
○ Créer de nouveaux alias uniquement lorsque l'utilisateur se connecte
Sélectionnez cette option si l'annuaire LDAP que vous mappez contient de nombreux utilisateurs dont
seulement quelques-uns utiliseront la plateforme de BI. Le système ne crée pas automatiquement d'alias
ni de comptes Enterprise pour tous les utilisateurs. Il crée plutôt des alias (et des comptes, le cas
échéant) uniquement pour les utilisateurs qui se connectent à la plateforme de BI.

Business Intelligence Platform Administrator Guide

266 PUBLIC Authentication
 6. Si votre licence de plateforme de BI est basée sur les rôles utilisateur, sélectionnez une option dans la zone
Options de nouvel utilisateur pour indiquer les propriétés des nouveaux comptes Enterprise créés à mapper
aux comptes LDAP :
○ Les nouveaux utilisateurs sont créés en tant qu'utilisateurs nommés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences Utilisateurs
nommés. Les licences Utilisateur nommé sont associées à des utilisateurs particuliers qui peuvent
accéder au système en saisissant un nom d'utilisateur et un mot de passe. Ainsi, les utilisateurs nommés
peuvent accéder au système, quel que soit le nombre de personnes connectées. Il faut qu'une licence
Utilisateurs nommés soit disponible pour chaque compte d'utilisateur créé à l'aide de cette option.

Remarque
Le nombre de sessions ouvertes simultanément est limité à 10 pour un utilisateur nommé créé à l'aide
d'une licence Utilisateur nommé. Si un tel utilisateur nommé essaie de se connecter à une 11ème
session simultanée, le système affiche un message d'erreur correspondant. Vous devez libérer une des
sessions existantes pour pouvoir vous connecter.

Cependant, le nombre de sessions ouvertes simultanément n'est pas limité pour un utilisateur créé à
l'aide d'une licence Processeur et d'une licence Document public.

○ Les nouveaux utilisateurs sont créés en tant qu'utilisateurs simultanés

Les nouveaux comptes utilisateur sont configurés de manière à utiliser des licences d'utilisateurs
simultanés. Les licences d'accès simultanés spécifient le nombre d'utilisateurs pouvant se connecter en
même temps à la plateforme de BI. Cette licence est tout à fait adaptée dans la mesure où elle peut
accepter de nombreux utilisateurs. Par exemple, suivant la fréquence et la durée des connexions des
utilisateurs au système, une licence pour 100 utilisateurs simultanés peut prendre en charge 250, 500 ou
700 utilisateurs.
7. Cliquez sur Mettre à jour.

9.3.3.2 Pour démapper les groupes LDAP à l'aide de la

plateforme de BI

1. Accédez à la zone de gestion Authentification de la CMC.

2. Cliquez deux fois sur LDAP.

Si l'authentification LDAP est configurée, la page de résumé LDAP apparaît.

3. Dans la zone "Groupes des membres LDAP mappés", sélectionnez le groupe LDAP que vous voulez
supprimer.
4. Cliquez sur Supprimer, puis sur Mettre à jour.

Les utilisateurs appartenant à ce groupe ne pourront pas accéder à la plateforme de BI.

Remarque
La seule exception possible se produit lorsqu'un utilisateur dispose d'un alias pour un compte Enterprise.
Pour limiter l'accès, désactivez ou supprimez le compte Enterprise de l'utilisateur.

Pour refuser l'authentification LDAP pour tous les groupes, décochez la case "L'authentification LDAP est
activée", puis cliquez sur Mettre à jour.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 267
9.3.3.3 Mappage de LDAP par rapport à Windows AD

Si vous configurez LDAP par rapport à AD (Windows AD), tenez compte des restrictions suivantes :

● Si vous configurez LDAP par rapport à AD, vous pourrez mapper vos utilisateurs, mais vous ne serez pas en
mesure de configurer une connexion unique AD ou une connexion unique à la base de données. Cependant,
les méthodes de connexion unique LDAP telles que SiteMinder et l'authentification sécurisée seront toujours
disponibles.
● Les utilisateurs qui sont uniquement membres de groupes par défaut d'AD ne pourront pas se connecter. Ils
doivent également être membres d'un autre groupe AD créé explicitement et ce groupe doit en plus être
mappé. Le groupe "utilisateurs du domaine" est un exemple de ce type de groupe.
● Si un groupe local de domaine mappé contient un utilisateur provenant d'un domaine différent de la forêt,
l'utilisateur de ce domaine différent ne sera pas en mesure de se connecter.
● Les utilisateurs d'un groupe universel dont le domaine est différent du contrôleur de domaine spécifié comme
hôte LDAP ne pourront pas se connecter.
● Vous ne pouvez pas utiliser le plug-in LDAP pour mapper les utilisateurs et les groupes de forêts AD situés à
l'extérieur de la forêt dans laquelle la plateforme de BI est installée.
● Vous ne pouvez pas mapper le groupe Utilisateurs du domaine dans AD.
● Vous ne pouvez pas mapper un groupe local de l'ordinateur.
● Si vous utilisez le contrôleur de domaine de catalogue global, vous devez tenir compte des remarques
supplémentaires suivantes lors du mappage de LDAP à AD :

Table 39 :

Situation Remarques

Plusieurs domaines lors du pointage vers le Vous pouvez effectuer un mappage dans :
contrôleur de domaine de catalogue global ○ les groupes universels d'un domaine enfant,
○ les groupes du même domaine contenant des groupes universels
d'un domaine enfant, et
○ les groupes universels inter-domaines.

Vous ne pouvez pas effectuer de mappage dans :

○ les groupes globaux d'un domaine enfant,

○ les groupes locaux d'un domaine enfant,
○ les groupes du même domaine contenant un groupe global du do­
maine enfant, et
○ les groupes globaux inter-domaines.

Généralement, si le groupe est un groupe universel, il prendra en charge

les utilisateurs inter-domaines et ceux des domaines enfants. Les au­
tres groupes ne seront pas mappés s'ils contiennent des utilisateurs in­
ter-domaines ou de domaines enfants. Dans le domaine vers lequel
vous pointez, vous pouvez mapper les groupes locaux, globaux et uni­
versels du domaine.

Business Intelligence Platform Administrator Guide

268 PUBLIC Authentication
 Situation Remarques

Mappage dans les groupes universels Pour effectuer un mappage dans les groupes universels, vous devez
pointer vers le contrôleur de domaine de catalogue global. Vous devez
également utiliser le numéro de port 3268 au lieu du port 389 par dé­
faut.

● Si vous utilisez plusieurs domaines mais que vous ne pointez pas vers le contrôleur de domaine de catalogue
global, vous ne pouvez effectuer de mappage dans aucun type de groupe inter-domaines ou de domaines
enfant. Vous pouvez effectuer un mappage dans tous les types de groupe du domaine spécifique vers lequel
vous pointez uniquement.

9.3.3.4 Utilisation du plug-in LDAP pour configurer la

connexion unique à la base de données SAP HANA

Cette section présente aux administrateurs les étapes requises pour définir et configurer la connexion unique
(SSO) entre la plateforme de BI s'exécutant sur SUSE Linux 11 et la base de données SAP HANA.
L'authentification LDAP à l'aide de Kerberos permet aux utilisateurs AD d'être authentifiés sur une plateforme de
BI exécutée sur Linux (spécifiquement SUSE). Ce scénario prend également en charge la connexion unique à SAP
HANA comme base de données de reporting.

Remarque
Pour en savoir plus sur la manière de configurer la base de données SAP HANA, voir Base de données SAP
HANA - Guide d'installation et de mise à jour des serveurs. Pour en savoir plus sur la manière de configurer le
composant d'accès aux données de SAP HANA, voir le Guide d'accès aux données.

Vue d'ensemble de l'implémentation

Les composants suivants doivent être installés pour que la connexion unique Kerberos fonctionne.

Table 40 :
Composant Configuration requise

Contrôleur de domaine Hébergé par le même ordinateur qu'Active Directory pour utiliser l'authentification Kerberos.

Central Management Server Installé et exécuté sur un ordinateur utilisant SUSE Linux Enterprise 11 (SUSE).

Client Kerberos V5 Installé avec les utilitaires et bibliothèques requis sur l'hôte SUSE.

Remarque
Utilise la dernière version du client Kerberos V5. Ajoutez les dossiers bin et lib aux varia­
bles d'environnement PATH et LD_LIBRARY_PATH.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 269
Composant Configuration requise

Plug-in d'authentification Activé sur l'hôte SUSE.

LDAP

Fichier de configuration de Créé sur l'ordinateur hébergeant le serveur d'applications Web.

connexion Kerberos

Workflow d'implémentation

Les tâches suivantes doivent être effectuées pour permettre aux utilisateurs de la plateforme de BI une connexion
unique à SAP HANA à l'aide de l'authentification Kerberos via JDBC.

1. Configuration de l'hôte AD.

2. Création des comptes et fichiers keytab pour l'hôte SUSE et la plateforme de BI sur l'hôte AD.
3. Installation des ressources Kerberos sur l'hôte SUSE.
4. Configuration de l'hôte SUSE pour l'authentification Kerberos.
5. Configuration des options de l'authentification Kerberos dans le plug-in d'authentification LDAP.
6. Création d'un fichier de configuration de connexion Kerberos pour l'hôte des applications Web.

9.3.3.4.1 Configuration du contrôleur de domaine

Vous pouvez avoir besoin de configurer une relation sécurisée entre l'hôte SUSE et le contrôleur de domaine. Si
l'hôte SUSE est dans le contrôleur de domaine Windows, vous n'avez pas à configurer la relation sécurisée.
Cependant, si le déploiement de la plateforme de BI et le contrôleur de domaine sont dans des domaines
différents, vous pouvez avoir besoin de configurer une relation sécurisée entre l'ordinateur Linux SUSE et le
contrôleur de domaine. Cette action requiert les éléments suivants :

1. Créez un compte utilisateur pour l'ordinateur SUSE exécutant la plateforme de BI.

2. Créez un nom principal du service (SPN) pour l'hôte.

Remarque
Le SPN doit être mis en forme selon les conventions Windows AD : hôte/<nom
d'hôte>@<NOM_DOMAINE_DNS>. Utilisez un nom de domaine entièrement qualifié, en minuscules, pour /
<nom d'hôte>. Le <NOM_DOMAINE_DNS> doit être spécifié en majuscules.

3. Exécutez la commande de configuration Keytab Kerberos ktpass pour associer le SPN au compte
utilisateur :

c:\> ktpass -princ host/<hostname>@<DNS_REALM_NAME>-mapuser <username> -pass

Password1 -crypto RC4-HMAC-NT -out <username>base.keytab

Les étapes suivantes doivent être effectuées sur l'ordinateur hébergeant le contrôleur de domaine.

1. Créez un compte utilisateur pour le service exécutant la plateforme de BI.

2. Dans la page Comptes utilisateurs, cliquez avec le bouton droit sur le nouveau compte de service et
sélectionnez Propriétés Délégation .

Business Intelligence Platform Administrator Guide

270 PUBLIC Authentication
 3. Sélectionnez Approuver cet utilisateur pour la délégation à tous les services (Kerberos uniquement).
4. Exécutez la commande de configuration Keytab Kerberos ktpass pour créer un compte SPN pour le nouveau
compte de service :

c:\>ktpass -princ <sianame>/<service_name>@<DNS_REALM_NAME> -mapuser

<service_name> -pass <password> -ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT -
out <sianame>.keytab

Remarque
Le SPN doit être mis en forme selon les conventions Windows AD : nomsia/
<nom_service>@<NOM_DOMAINE_DNS>. Indiquez le <nom du service> en minuscules, sinon la
plateforme SUSE ne pourra pas le résoudre. Le <NOM_DOMAINE_DNS> doit être spécifié en majuscules.

Table 41 :
Paramètre Description

-princ Spécifie le nom principal pour l'authentification Kerberos.

-out Spécifie le nom du fichier keytab Kerberos à générer. Il doit correspondre au <nomsia> utilisé
dans -princ.

-mapuser Spécifie le nom du compte utilisateur auquel le SPN est mappé. Le Server Intelligence Agent
s'exécute sur ce compte.

-pass Indique le mot de passe utilisé par le compte de service.

-ptype Spécifie le type principal.

-ptype KRB5_NT_PRINCIPAL

-crypto Spécifie le type de cryptage à utiliser avec le compte de service :

-crypto RC4-HMAC-NT

Vous avez généré les fichiers keytab requis pour la relation sécurisée entre l'ordinateur SUSE et le contrôleur de
domaine.

Vous devez transférer le ou les fichiers keytab sur l'ordinateur SUSE et les stocker dans le répertoire /etc.

9.3.3.4.2 Configuration de l'ordinateur SUSE Linux

Enterprise 11

Les ressources suivantes sont requises pour configurer Kerberos sur l'ordinateur Linux SUSE exécutant la
plateforme de BI :

● Fichiers keytab créés sur le contrôleur de domaine. Le fichier keytab créé pour le service de la palteforme de
BI est obligatoire. Le fichier keytab pour l'hôte SUSE est recommandé, en particulier pour les scénarios où
l'hôte de la plateforme de BI et le contrôleur de domaine sont dans des domaines différents.
● La dernière bibliothèque Kerberos V5 (y compris le client Kerberos) doit être installée sur l'hôte SUSE. Vous
devez ajouter l'emplacement des fichiers binaires aux variables d'environnement PATH et

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 271
 LD_LIBRARY_PATH . Pour vérifier que le client Kerberos est correctement installé et configuré, assurez-vous
que les utilitaires et bibliothèques suivants sont présents sur l'hôte SUSE :
○ kinit
○ ktutil
○ kdestroy
○ klist
○ /lib64/libgssapi_krb5.so.2.2
○ /lib64/libkrb5.so.3.3
○ /lib/libkrb5support.so.0.1
○ /lib64/libk5crypto.so.3
○ /lib64/libcom_err.so.2

Conseil
Exécutez rpm -qa | grep krb pour contrôler la version de ces bibliothèques. Pour en savoir plus sur le
dernier client Kerberos, les bibliothèques et la configuration de l'hôte UNIX, voir http://web.mit.edu/
Kerberos/krb5-1.9/krb5-1.9.2/doc/krb5-install.html#Installing%20Kerberos%20V5 .

Une fois que toutes les ressources requises sont disponibles sur l'hôte SUSE, suivez les instructions ci-dessous
pour configurer l'authentification Kerberos.

Remarque
Pour effectuer ces étapes, vous devez disposer des droits root.

1. Pour fusionner les fichiers keytab, exécutez la commande suivante :

> ktutil
ktutil: rkt <susemachine>.keytab
ktutil: rkt <BI platform service>.keytab
ktutil: wkt /etc/krb5.keytab
ktutil:q

2. Modifiez le fichier /etc/kerb5.conf pour qu'il fasse référence au contrôleur de domaine (sur la plateforme
Windows) comme étant le contrôleur de domaine Kerberos (KDC, Kerberos Domain Controller).
Utilisez l'exemple ci-dessous :

[domain_realm]
.name.mycompany.corp = DOMAINNAME.COM
name.mycompany.corp = DOMAINNAME.COM

[libdefaults]
forwardable = true
default_realm = DOMAINNAME.COM
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac

[realms]
DOMAINNAME.COM = {
kdc = machinename.domainname.com
}

Business Intelligence Platform Administrator Guide

272 PUBLIC Authentication
 Remarque
Le fichier krb5.conf contient les informations de configuration Kerberos, y compris les emplacements
des KDC et serveurs des domaines Kerberos importants, les applications Kerberos et les mappages des
noms d'hôte dans les domaines Kerberos. Normalement, le fichier krb5.conf est installé dans le
répertoire /etc.

3. Ajoutez le contrôleur de domaine à /etc/hosts afin que l'hôte SUSE puisse localiser le KDC.
4. Exécutez le programme kinit à partir du répertoire /usr/local/bin pour vérifier que Kerberos a été
configuré correctement. Vérifiez qu'un compte utilisateur de compte AD peut se connecter à l'ordinateur
SUSE.

Conseil
Le KDC doit émettre un Ticket Granting Ticket (TGT) pouvant être visualisé dans le cache. Utilisez le
programme klist pour visualiser le TGT.

Exemple

> kinit <AD user>

Password for <AD user>@<domain>: <AD user password>
> klist
Ticket cache: FILE:/tmp/krb5cc_0Default principal: <AD user>@<domain>
Valid starting Expires Service principal08/10/11 17:33:43 08/11/11 03:33:46
krbtgt/<domain>@<domain>renew until 08/11/11 17:33:43
Kerberos 4 ticket cache: /tmp/tkt0klist: You have no tickets cached
>klist -k
Keytab name: FILE:/etc/krb5.keytabKVNO Principal-3hdb/<FQDN>@<Domain>

Utilisez également kinit pour tester les SPN.

9.3.3.4.3 Configuration des options d'authentification

Kerberos pour LDAP

Avant de configurer l'authentification Kerberos pour LDAP, vous devez activer et configurer le plug-in
d'authentification LDAP de la plateforme de BI pour vous connecter au répertoire AD. Pour utiliser
l'authentification LDAP, vous devez d'abord vérifier que votre répertoire LDAP respectif est configuré.

Remarque
Lors de l'exécution de l'Assistant de configuration LDAP, vous devez spécifier le serveur d'applications Microsoft
Active Directory et fournir les informations de configuration demandés.

Une fois l'authentification LDAP activée et connectée au serveur d'applications Microsoft Active Directory, la zone
Activer l'authentification Kerberos s'affiche sur la page Résumé de la configuration du serveur LDAP. Utilisez cette
zone pour configurer l'authentification Kerberos, qui est requise pour la connexion unique à la base de données
SAP HANA depuis un déploiement de la plateforme de BI sur SUSE.

1. Accédez à la zone de gestion Authentification de la CMC.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 273
2. Cliquez deux fois sur LDAP.

La page Résumé de la configuration du serveur LDAP s'affiche, vous pouvez y modifier n'importe quel
paramètre de connexion ou champ.
3. Pour configurer l'authentification Kerberos, suivez ces étapes dans la zone Activer l'authentification Kerberos :
a. Cliquez sur Activer l'authentification Kerberos.
b. Cliquez sur Contexte de sécurité de la mémoire cache (obligatoire pour une connexion unique à la base de
données).

Remarque
L'activation du contexte de sécurité du cache est spécialement requise pour la connexion unique à SAP
HANA.

c. Spécifiez le SPN (Service Principal Name) du compte de la plateforme de BI dans Nom principal du
service.
Le format pour spécifier le SPN est <nomsia/service>@<NOM_DOMAINE_DNS>, où

Table 42 :
<nomsia> Nom du Server Intelligence Agent

<service > Nom du compte de service utilisé pour exécuter la plateforme de BI

NOM_DOMAINE_DNS Nom de domaine du contrôleur de domaine en majuscules

Conseil
En spécifiant le SPN, souvenez-vous que <nomsia/service> est sensible à la casse.

d. Spécifiez le domaine du contrôleur de domaine dans Domaine Kerberos par défaut.

e. Spécifiez userPrincipalName dans Nom principal de l'utilisateur.
Cette valeur est utilisée par l'application d'authentification LDAP pour fournir les valeurs d'ID utilisateur
requises par Kerberos. La valeur indiquée doit correspondre au nom fourni lors de la création des fichiers
keytab.

4. Cliquez sur Mettre à jour pour envoyer et enregistrer les modifications.

Vous avez configuré les options d'authentification Kerberos pour faire référence aux comptes utilisateur dans le
répertoire AD.

Vous devez créer un fichier de configuration de connexion Kerberos - bscLogin.conf - pour activer la connexion
Kerberos et la connexion unique.

Informations associées

Configuration de l'authentification LDAP [page 255]

Business Intelligence Platform Administrator Guide

274 PUBLIC Authentication
9.3.3.4.4 Création d'un fichier de configuration de connexion
Kerberos

Pour activer la connexion Kerberos et la connexion unique, vous devez ajouter un fichier de configuration de
connexion sur l'ordinateur hébergeant le serveur d'applications Web de la plateforme de BI.

1. Créez un fichier nommé bscLogin.conf et stockez-le dans le répertoire /etc.

Remarque
Vous pouvez stocker ce fichier à un emplacement différent. Toutefois, si vous le faites, vous devrez
spécifier son emplacement dans vos options Java. Il est conseillé de placer le fichier bscLogin.conf et les
fichiers keytab Kerberos dans le même répertoire. Dans un déploiement réparti, il faut ajouter un fichier
bscLogin.conf pour chaque ordinateur hébergeant un serveur d'applications Web.

2. Ajoutez le code suivant au fichier de configuration de connexion bscLogin.conf :

com.businessobjects.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required;
};
com.businessobjects.security.jgss.accept {
com.sun.security.auth.module.Krb5LoginModule required
storeKey=true
useKeyTab=true
keyTab="/etc/krb5.keytab"
principal="<nom principal>";
};

Remarque
La section suivante est particulièrement requise pour la connexion unique :

com.businessobjects.security.jgss.accept {
com.sun.security.auth.module.Krb5LoginModule required
storeKey=true
useKeyTab=true
keyTab="/etc/krb5.keytab"
principal="<nom principal>";
};

3. Enregistrez le fichier et fermez-le.

9.3.3.5 Dépannage des nouveaux comptes LDAP

● Si vous créez un compte utilisateur LDAP qui n'appartient pas à un compte de groupe mappé à la plateforme
de BI, mappez le groupe ou ajoutez le nouveau compte utilisateur LDAP à un groupe déjà mappé au système.
● Si vous créez un compte utilisateur LDAP qui appartient à un compte de groupe mappé à la plateforme de BI,
actualisez la liste des utilisateurs.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 275
Informations associées

Configuration de l'authentification LDAP [page 255]

Mappage des groupes LDAP [page 265]

9.4 Windows AD authentication

9.4.1 Using Windows AD authentication

9.4.1.1 Exigences de prise en charge Windows AD et

configuration initiale

Cette section vous guide à travers le processus de configuration de l'authentification Windows Active Directory
(AD) pour une utilisation sur la plateforme de BI. L'ensemble des workflows de bout en bout requis que vous
devez exécuter sont présentés ensemble avec des tests de validation et les vérifications des prérequis.

Remarque
Pour en savoir plus sur la configuration de l'authentification Windows AD, voir l'article KBA 1631734 de la Base
de connaissances SAP sur https://service.sap.com/sap/support/notes/1631734 .

Exigences de prise en charge

Pour faciliter l'authentification AD sur la plateforme de BI, vous devez tenir compte des exigences de prise en
charge suivantes.

● Le CMS doit toujours être installé sur une plateforme Windows prise en charge.
● Bien que Windows 2008 soit une plateforme prise en charge pour l'authentification Kerberos et
l'authentification NTLM, il est possible que certaines applications de la plateforme de BI n'utilisent qu'une
méthode d'authentification spécifique. Par exemple, des applications telles que la zone de lancement BI et la
Central Management Console ne prennent en charge que Kerberos.

Workflow de configuration AD recommandé

Pour configurer initialement l'authentification AD manuelle avec la plateforme de BI, utilisez le workflow suivant :

1. Configurez le contrôleur de domaine.

2. Configurez l'authentification AD dans la CMC.
3. Configurez le compte utilisateur AD sur le Server Intelligence Agent (SIA).

Business Intelligence Platform Administrator Guide

276 PUBLIC Authentication
 4. Configurez votre serveur d'applications Web pour l'authentification AD avec Kerberos

Remarque
Utilisez ce workflow, que vous ayez besoin ou non de la connexion unique. Le workflow décrit dans les sections
suivantes vous permettra d'abord de vous connecter manuellement (à l'aide d'un nom d'utilisateur et d'un mot
de passe AD) à la plateforme de BI. Une fois l'authentification AD manuelle correctement configurée, une
section détaillée vous guide à travers le processus de configuration de la connexion unique pour
l'authentification AD.

9.4.2 Preparing the Domain Controller

9.4.2.1 Configuration d'un compte de service pour

l'authentification AD avec Kerberos

Pour configurer la plateforme de BI de sorte à pouvoir utiliser l'authentification Windows AD (Kerberos), vous avez
besoin d'un compte de service. Vous pouvez utiliser un compte de domaine existant ou en créer un nouveau. Le
compte de service sera utilisé pour exécuter les serveurs de la plateforme de BI. Après avoir configuré le compte,
vous devez configurer un SPN pour celui-ci. Ce SPN sert à importer des groupes d'utilisateurs AD sur la
plateforme de BI.

Remarque
Pour utiliser AD avec la connexion unique, vous devrez revoir ultérieurement la configuration du compte de
service de sorte à lui accorder les droits appropriés et à le configurer pour une restriction de délégation.

9.4.2.1.1 Pour configurer le compte de service sur un

domaine Windows 2008

Vous devez configurer un nouveau compte de service pour activer correctement l'authentification Windows AD à
l'aide du protocole Kerberos. Ce compte de service sera utilisé principalement pour permettre aux utilisateurs
d'un groupe AD précis de se connecter à la zone de lancement BI. La tâche suivante est effectuée sur l'ordinateur
du contrôleur de domaine AD.

1. Créez un compte de service avec un mot de passe sur le contrôleur de domaine principal.
2. Utilisez la commande setspn -a pour ajouter les noms principaux de service (SPN) au compte de service
créé au cours de l'étape 1. Indiquez les noms principaux de service (SPN) du compte de service ainsi que du
serveur, du serveur de domaine complet et l'adresse IP de l'ordinateur sur lequel est déployée la zone de
lancement BI.
Par exemple :

setspn –a BICMS/service_account_name.domain.com serviceaccountname

setspn -a HTTP/<nomserveur> <nomservice>
setspn -a HTTP/<nomserveur.domaine.com> <nomservice>
setspn -a HTTP/<adresse ip du serveur> <nomservice>

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 277
 BICMS est le nom de l'ordinateur sur lequel s'exécute le SIA, <nomserveur> est le nom du serveur sur lequel
est déployée la zone de lancement BI, <domainenomserveur> est son nom de domaine complet.
3. Exécutez setspn -l <nomservice> pour vérifier que les noms de service principaux ont été ajoutés au
compte de service.
Le résultat affiché de la commande doit inclure tous les SPN enregistrés, comme illustré ci-dessous :

Registered ServicePrincipalNames for

CN=bo.service,OU=boe,OU=BIP,OU=PG,DC=DOMAIN,DC=com:
HTTP/<ip address of server>
HTTP/<nomserveur>.DOMAIN.com
HTTP/<nomserveur>
<nomserveur>/<nomservice>DOMAIN.com

Vous trouverez ci-dessous un exemple de résultat :

C:\Users\Admin>setspn -L bossosvcacct
Registered ServicePrincipalNames for
CN=bossosvcacct,OU=svcaccts,DC=domain,DC=com:
BICMS/bossosvcacct.domain.com
HTTP/Tomcat HTTP/Tomcat.domain.com
HTTP/Load_Balancer.domain.com

Une fois créé, des droits doivent être affectés au compte de service et celui-ci doit être ajouté au groupe
Administrateurs local du serveur. Le SPN servira à importer des groupes AD dans la section suivante.

9.4.3 Configuring AD Authentication in the CMC

9.4.3.1 Plug-in de sécurité Windows AD

Le plug-in de sécurité Windows AD permet de mapper des comptes et des groupes d'utilisateurs de la base de
données utilisateur AD 2008 à la plateforme de BI. Il permet également au système de vérifier toutes les requêtes
de connexion qui spécifient l'authentification AD. Les utilisateurs sont authentifiés par rapport à la base de
données utilisateur AD et leur appartenance à un groupe AD mappé est vérifiée avant que le CMS (Central
Management Server) ne leur accorde une session active. Vous pouvez utiliser le plug-in pour configurer les mises
à jour des groupes AD importés.

Business Intelligence Platform Administrator Guide

278 PUBLIC Authentication
Le plug-in de sécurité de Windows AD vous permet de procéder à la configuration suivante :

● Authentification Windows AD avec Kerberos

● Authentification Windows AD avec NTLM
● Authentification Windows AD avec SiteMinder pour une connexion unique

Le plug-in de sécurité AD est compatible avec les domaines AD 2008 exécutés en mode natif ou mixte.

Une fois que vous avez mappé vos utilisateurs et groupes AD, ils peuvent accéder aux outils client de la
plateforme de BI à l'aide de l'option d'authentification Windows AD.

● L'authentification Windows AD fonctionne si le CMS s'exécute sous Windows ou Linux. Pour que la connexion
unique à une base de données fonctionne, les serveurs de reporting doivent également s'exécuter sous
Windows. Dans le cas contraire, tous les autres serveurs et services peuvent s'exécuter sur toutes les
plateformes prises en charge par la plateforme de BI.

Remarque
La configuration a été effectuée et testée avec SUSE linux Enterprise 11 uniquement.

● Le plug-in Windows AD pour la plateforme de BI prend en charge les domaines dans plusieurs forêts.

9.4.3.2 Pour mapper des utilisateurs et groupes Windows AD

Pour pouvoir importer des groupes d'utilisateurs AD sur la plateforme de BI, vous devez avoir rempli les
conditions préalables suivantes :

● Un compte de service a été créé sur le contrôleur de domaine pour la plateforme de BI. Le compte sera utilisé
pour exécuter les serveurs de la plateforme de BI.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 279
 Remarque
Pour activer l'authentification AD avec la connexion unique Vintela, vous devez fournir un SPN configuré à
cette fin. Les étapes présentées ci-dessous concernent la configuration de l'authentification AD manuelle
sur la plateforme de BI. Une fois l'authentification AD manuelle configurée, reportez-vous à la section
Configuration de la connexion unique de ce chapitre pour savoir comment ajouter la connexion unique à
votre configuration d'authentification AD.

● Vous vous êtes assuré que le SPN contenant le nom de l'ordinateur sur lequel s'exécute le SIA a été ajouté au
compte de service.

Les étapes 1 à 11 indiquées ci-après sont obligatoires pour importer des groupes AD sur la plateforme de BI.

1. Accédez à la zone de gestion Authentification de la CMC.

2. Cliquez deux fois sur Windows AD.
3. Cochez la case Activer Windows Active Directory (AD).
4. Dans la zone Synthèse de configuration d'AD, cliquez sur le lien en regard de Nom d'administration AD.

Remarque
Avant que le plug-in de Windows AD ne soit configuré, ce lien apparaît sous forme de guillemets. Après
enregistrement de la configuration, le lien est rempli avec les noms d'administration AD.

5. Saisissez le nom et le mot de passe d'un compte d'utilisateur du domaine activé.

Les références de connexion d'administration peuvent utiliser l'un des formats suivants :
○ Nom NT (NomDomaine\NomUtilisateur)
○ UPN (utilisateur@nom_domaine_DNS)

La plateforme de BI utilise ce compte pour demander des informations à AD. La plateforme ne modifie,
n'ajoute ou ne supprime aucun contenu d'AD. Etant donné qu'elle lit uniquement les informations, seuls les
droits correspondants sont requis.

Business Intelligence Platform Administrator Guide

280 PUBLIC Authentication
 Remarque
L'authentification AD sera interrompue si le compte utilisé pour lire l'annuaire AD devient non valide (par
exemple, si le mot de passe du compte est modifié ou expire ou si le compte est désactivé).

6. Saisissez le domaine AD dans la zone Domaine AD par défaut.

Le domaine doit être spécifié comme NOM DE DOMAINE COMPLET, TOUT EN MAJUSCULES, ou comme
nom de domaine enfant d'où la plupart des utilisateurs se connectent à la plateforme de BI. Cela doit
correspondre au domaine par défaut spécifié dans les fichiers de configuration Kerberos utilisés pour
configurer le serveur d'applications. Vous pouvez mapper les groupes du domaine par défaut sans spécifier le
préfixe du nom de domaine. Si vous saisissez un nom de domaine AD par défaut, les utilisateurs du domaine
par défaut n'ont pas à le spécifier lorsqu'ils se connectent à la plateforme de BI à l'aide de l'authentification
AD.
7. Dans la zone Groupes de membres AD mappés, saisissez le domaine\groupe AD dans la zone Ajouter un
groupe AD (domaine\groupe) à l'aide d'un des formats suivants pour mapper les groupes :
○ nom de compte du gestionnaire de comptes de sécurité (SAM, Security Account Manager), également
appelé nom NT (NomDomaine\NomGroupe)
○ DN (cn=GroupName, ......, dc=DomainName, dc=com)

Remarque
Si vous souhaitez mapper un groupe local, utilisez uniquement le format de nom NT : \\<NomServeur>
\<NomGroupe>. AD ne prend pas en charge les utilisateurs locaux ; ceux qui appartiennent à un groupe
local mappé ne seront pas mappés à la plateforme de BI. Ils ne peuvent donc pas accéder au système.

Conseil
En cas de connexion manuelle à la zone de lancement BI, les utilisateurs issus d'autres domaines doivent
faire suivre leur nom d'utilisateur du nom du domaine en majuscules. Par exemple,
CHILD.PARENTDOMAIN.COM est le domaine dans

[email protected]

8. Cliquez sur Ajouter.

Le groupe est ajouté dans la liste sous Groupes de membres AD mappés.

9. Sous Options d'authentification, sélectionnez Utiliser l'authentification Kerberos.
10. Dans la zone Nom principal du service, saisissez le SPN mappé au compte de service que vous avez créé pour
exécuter les serveurs de la plateforme de BI.

Remarque
Vous devez spécifier le SPN pour le compte de service exécutant le SIA. Par exemple : BICMS/
bossosvcacct.domain.com.

11. Cliquez sur Mettre à jour.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 281
 Attention
Ne continuez pas si le mappage des utilisateurs et/ou groupes ne s'effectue pas correctement ! Pour
résoudre des problèmes de mappage de groupe AD spécifiques, reportez-vous à la note SAP 1631734.

Remarque
Si vous avez correctement mappé les comptes de groupes AD et ne désirez pas configurer les options
d'authentification AD ou les mises à jour de groupes AD, ignorez les étapes 12 à 19. Vous pouvez configurer
ces paramètres facultatifs après avoir configuré l'authentification Kerberos AD manuelle.

12. Si votre configuration requiert une connexion unique à la base de données, sélectionnez Contexte de sécurité
de la mémoire cache.

Remarque
S'il s'agit de votre configuration initiale de l'authentification AD, il est recommandé de configurer
l'authentification AD manuelle avant d'envisager la configuration supplémentaire requise pour la connexion
unique.

13. Sélectionnez Activez la connexion unique pour le mode d'authentification sélectionné si vous avez besoin de la
connexion unique pour la configuration de l'authentification AD.
14. Dans la zone Synchronisation des références de connexion, sélectionnez une option pour activer et mettre à
jour les références de connexion à la source de données de l'utilisateur AD.
Cette option synchronise la source de données avec les références de connexion actuelles de l'utilisateur,
permettant ainsi l'exécution de rapports planifiés lorsque l'utilisateur n'est pas connecté à la plateforme de BI
et que la connexion unique Kerberos n'est pas disponible.
15. Dans la zone Options d'alias AD, indiquez comment les nouveaux alias sont ajoutés et mis à jour sur la
plateforme de BI.
a. Dans la zone Options de nouvel alias, sélectionnez le mode de mappage des nouveaux alias aux comptes
Enterprise :
○ Affecter chaque nouvel alias AD à un compte utilisateur existant portant le même nom
Sélectionnez cette option si des utilisateurs possèdent un compte Enterprise portant le même nom ;
en d'autres termes, les alias AD seront affectés aux utilisateurs existants (la création automatique
d'alias est activée). Les utilisateurs dépourvus de compte Enterprise, ou ne portant pas le même nom
dans leurs comptes Enterprise et AD, sont ajoutés en tant que nouveaux utilisateurs.
○ Créer un nouveau compte utilisateur pour chaque nouvel alias AD
Sélectionnez cette option pour créer un nouveau compte pour chaque utilisateur.
b. Dans Options de mise à jour des alias, sélectionnez le mode de gestion des mises à jour d'alias pour les
comptes Enterprise :
○ Créer de nouveaux alias lors de la mise à jour des alias
Sélectionnez cette option pour créer automatiquement un alias pour chaque utilisateur AD mappé à
la plateforme de BI. De nouveaux comptes AD sont ajoutés pour les utilisateurs dépourvus de compte
pour la plateforme de BI ou pour tous les utilisateurs si vous avez sélectionné l'option Créer un
nouveau compte utilisateur pour chaque nouvel alias AD et cliqué sur Mettre à jour.
○ Créer de nouveaux alias uniquement lorsque l'utilisateur se connecte
Sélectionnez cette option si l'annuaire AD que vous mappez contient de nombreux utilisateurs dont
seulement quelques-uns utiliseront la plateforme de BI. La plateforme ne crée pas automatiquement

Business Intelligence Platform Administrator Guide

282 PUBLIC Authentication
 d'alias et de comptes Enterprise pour tous les utilisateurs. Il crée plutôt des alias (et des comptes, le
cas échéant) uniquement pour les utilisateurs qui se connectent à la plateforme de BI.

c. Dans la zone Options de nouvel utilisateur, sélectionnez le mode de création des utilisateurs :
○ Les nouveaux utilisateurs sont créés en tant qu'utilisateurs nommés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences Utilisateurs
nommés. Les licences Utilisateur nommé sont associées à des utilisateurs particuliers et permettent
d'accéder à la plateforme de BI en saisissant un nom d'utilisateur et un mot de passe. Ainsi, les
utilisateurs nommés peuvent accéder au système, quel que soit le nombre de personnes connectées.
Il faut qu'une licence Utilisateurs nommés soit disponible pour chaque compte d'utilisateur créé à
l'aide de cette option.

Remarque
Le nombre de sessions ouvertes simultanément est limité à 10 pour un utilisateur nommé créé à
l'aide d'une licence Utilisateur nommé. Si un tel utilisateur nommé essaie de se connecter à une
11ème session simultanée, le système affiche un message d'erreur correspondant. Vous devez
libérer une des sessions existantes pour pouvoir vous connecter.

Cependant, le nombre de sessions ouvertes simultanément n'est pas limité pour un utilisateur
créé à l'aide d'une licence Processeur et d'une licence Document public.

○ Les nouveaux utilisateurs sont créés en tant qu'utilisateurs simultanés

Les nouveaux comptes utilisateur sont configurés de manière à utiliser des licences Utilisateur
simultané. Les licences d'accès simultanés spécifient le nombre d'utilisateurs pouvant se connecter
en même temps à la plateforme de BI. Cette licence est tout à fait adaptée dans la mesure où elle
peut accepter de nombreux utilisateurs. Par exemple, suivant la fréquence et la durée des connexions
des utilisateurs au système, une licence pour 100 utilisateurs simultanés peut prendre en charge 250,
500 ou 700 utilisateurs.
16. Pour configurer le mode de planification des mises à jour d'alias AD, cliquez sur Planifier.
a. Dans la boîte de dialogue Planifier, sélectionnez une récurrence dans la liste Exécuter l'objet.
b. Définissez les autres options et paramètres de planification selon vos besoins.
c. Cliquez sur Planifier.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 283
 Lorsque la mise à jour des alias se produit, les informations sur le groupe sont également mises à jour.
17. Dans la zone Options de liaison d'attributs, spécifiez la priorité de liaison d'attributs pour le plug-in AD :
a. Cochez la case Importer le nom complet, l'adresse électronique et d'autres attributs.
Les noms complets et les descriptions utilisés dans les comptes AD sont importés et stockés avec les
objets utilisateur sur la plateforme de BI.
b. Spécifiez une option pour Rendre la liaison d'attributs AD prioritaire par rapport aux autres liaisons
d'attributs.
Si l'option est définie sur 1, les attributs AD sont prioritaires lorsqu'AD et les autres plug-ins (LDAP et
SAP) sont activés. Si l'option est définie sur 3, les attributs des autres plug-ins sont prioritaires. Les
liaisons doivent être définies sur des valeurs différentes. La définition de plusieurs plug-ins
d'authentification sur la même valeur de liaison conduit à des résultats inattendus.
18. Dans la zone Options du groupe AD, configurez les mises à jour du groupe AD :
a. Cliquez sur Planifier.
La boîte de dialogue Planifier s'affiche.
b. Sélectionnez une récurrence dans la liste Exécuter l'objet.
c. Définissez les autres options et paramètres de planification selon vos besoins.
d. Cliquez sur Planifier.
Le système planifie la mise à jour et l'exécute conformément à la planification que vous avez définie. La
prochaine mise à jour planifiée pour les comptes du groupe AD est affichée sous Options du groupe AD.
19. Dans la zone Mise à jour d'AD à la demande, sélectionnez l'une des options suivantes :

○ Mettre à jour les groupes AD maintenant

Sélectionnez cette option pour démarrer la mise à jour de tous les groupes AD planifiés lorsque vous
cliquez sur Mettre à jour. La prochaine mise à jour planifiée du groupe AD est répertoriée sous Options du
diagramme de groupe AD.
○ Mettre à jour les alias et les groupes AD maintenant
Sélectionnez cette option pour démarrer la mise à jour de tous les alias utilisateur et groupes AD planifiés
lorsque vous cliquez sur Mettre à jour. Les prochaines mises à jour planifiées sont répertoriées sous
Options du groupe AD et Options d'alias AD.
○ Ne pas mettre à jour les alias et les groupes AD maintenant
Aucun alias utilisateur ou groupe AD ne sera mis à jour lorsque vous cliquerez sur Mettre à jour.
20.Cliquez sur Mettre à jour, puis sur OK.

Pour vérifier que vous avez bien importé les comptes utilisateur AD, accédez à CMC Utilisateurs et groupes
Hiérarchie de groupe et sélectionnez le groupe AD que vous avez mappé pour voir les utilisateurs de ce groupe.
Les utilisateurs actuels et imbriqués du groupe AD s'afficheront.

Informations associées

Création d'un fichier de configuration Kerberos [page 289]

Business Intelligence Platform Administrator Guide

284 PUBLIC Authentication
9.4.3.3 Planification des mises à jour des groupes Windows
AD
La plateforme de BI permet aux administrateurs de planifier des mises à jour pour des groupes et alias
d'utilisateurs AD. Cette fonction est disponible pour l'authentification AD avec Kerberos ou NTLM. La CMC vous
permet également de visualiser la date et l'heure d'exécution de la dernière mise à jour.

Remarque
Pour que l'authentification AD fonctionne sur la plateforme de BI, vous devez configurer la méthode de mise à
jour des groupes et alias AD.

Lorsque vous planifiez une mise à jour, vous pouvez choisir une des périodicités récapitulées dans le tableau
suivant :

Table 43 :
Schéma de périodicité Description

Toutes les heures La mise à jour s'exécutera toutes les heures. Vous pouvez spécifier l'heure à la­
quelle l'exécution démarrera, de même que sa date de début et sa date de fin.

Tous les jours La mise à jour s'exécutera tous les jours ou tous les N jours. Vous pouvez préciser
l'heure à laquelle l'exécution aura lieu, de même que sa date de début et sa date
de fin.

Toutes les semaines La mise à jour s'exécutera toutes les semaines. Elle peut être exécutée une ou plu­
sieurs fois par semaine. Vous pouvez préciser les jours et l'heure auxquels l'exé­
cution doit avoir lieu, ainsi qu'une date de début et une date de fin.

Tous les mois La mise à jour s'exécutera tous les mois ou tous les N mois. Vous pouvez préciser
l'heure à laquelle l'exécution aura lieu, de même que sa date de début et sa date
de fin.

Nième jour du mois La mise à jour sera exécutée un jour spécifique du mois. Vous pouvez préciser le
jour du mois et l'heure auxquels l'exécution aura lieu, ainsi que sa date de début et
sa date de fin.

1er lundi du mois La mise à jour sera exécutée le premier lundi de chaque mois. Vous pouvez préci­
ser l'heure à laquelle l'exécution aura lieu, de même que sa date de début et sa
date de fin.

Dernier jour du mois La mise à jour sera exécutée le dernier jour de chaque mois. Vous pouvez préciser
l'heure à laquelle l'exécution aura lieu, de même que sa date de début et sa date
de fin.

Jour X de la Nième semaine du mois La mise à jour sera exécutée le jour indiqué de la semaine indiquée du mois. Vous
pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que sa date de
début et sa date de fin.

Calendrier La mise à jour sera exécutée aux dates spécifiées dans un calendrier précédem­
ment créé.

Planification des mises à jour de groupe AD

La plateforme de BI s'appuie sur AD pour les informations utilisateur et les informations de groupe. Pour limiter le
volume des requêtes envoyées à AD, le plug-in AD met en cache les informations sur les groupes, leurs relations,

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 285
et l'appartenance des utilisateurs aux groupes. La mise à jour ne s'effectue pas si aucune planification spécifique
n'est définie.

Vous devez utiliser la CMC pour configurer la récurrence de l'actualisation de la mise à jour de groupe. La
planification doit refléter la fréquence à laquelle vous voulez modifier les informations d'appartenance aux
groupes.

Planification des mises à jour des alias d'utilisateur AD

Les objets utilisateur peuvent avoir un alias dans un compte AD, ce qui permet aux utilisateurs d'utiliser leurs
références de connexion AD pour se connecter à la plateforme de BI. Les mises à jour des comptes AD sont
propagées sur la plateforme de BI par le plug-in AD. Les comptes créés, supprimés ou désactivés dans AD le sont
aussi sur la plateforme de BI.

Si vous ne planifiez pas les mises à jour des alias AD, elles se produiront uniquement dans les cas suivants :

● Un utilisateur se connecte : l'alias AD est mis à jour.

● Un administrateur sélectionne l'option Mettre à jour les alias et les groupes AD maintenant dans la zone Mise à
jour d'AD à la demande de la CMC.

Remarque
Aucun mot de passe AD n'est stocké dans l'alias utilisateur.

9.4.4 Configuring the BI platform service to run the SIA

9.4.4.1 Exécution du SIA sous le compte de service de la

plateforme de BI

Pour une prise en charge de l'authentification AD Kerberos pour la plateforme de BI, vous devez accorder au
compte de service le droit d'agir dans le cadre du système d'exploitation. Vous devez le faire sur chaque
ordinateur exécutant un SIA (Server Intelligence Agent) avec le CMS (Central Management Server).

Pour permettre au compte de service d'exécuter ou de démarrer le SIA, vous devez configurer des paramètres de
système d'exploitation spécifiques décrits dans cette section.

Remarque
Si vous avez besoin d'une connexion unique à la base de données, le SIA doit inclure les serveurs suivants :

● Crystal Reports Processing Server

● Report Application Server
● Web Intelligence Processing Server

Business Intelligence Platform Administrator Guide

286 PUBLIC Authentication
9.4.4.2 Configuration du SIA pour une exécution sous le
compte de service

Avant de configurer le compte SIA pour une exécution sous le compte de service de la plateforme de BI, vous
devez remplir les conditions préalables suivantes :

● Un compte de service a été créé sur le contrôleur de domaine pour la plateforme de BI.
● Vous vous êtes assuré que les noms principaux du service (SPN) requis ont été ajoutés au compte de service.
● Vous avez mappé les groupes d'utilisateurs AD à la plateforme de BI.

Effectuez cette tâche pour tout SIA (Server Intelligence Agent) exécutant les services utilisés par le compte de
service.

1. Pour lancer le CCM, sélectionnez Programmes SAP Business Intelligence Plateforme SAP
BusinessObjects BI 4 Central Configuration Manager .
La page d'accueil du CCM s'ouvre.
2. Dans le CCM, cliquez avec le bouton droit de la souris sur le Server Intelligence Agent (SIA) et sélectionnez
Arrêter.

Remarque
Lorsque vous arrêtez le SIA, tous les services gérés par celui-ci sont arrêtés.

3. Cliquez avec le bouton droit sur le SIA et sélectionnez Propriétés.

4. Désactivez la case à cocher Compte de système.

5. Saisissez les références de connexion du compte de service (<NOMDOMAINE>\<nom du service>) et
cliquez sur OK.

Le compte de service doit disposer des droits suivants sur l'ordinateur exécutant le SIA :

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 287
 ○ Le compte doit disposer spécifiquement du droit « Agir en tant que partie du système d'exploitation ».
○ Le compte doit disposer spécifiquement du droit « Se connecter en tant que service ».
○ Droits de contrôle total sur le dossier où est installée la plateforme de BI.
○ Droits de contrôle total sur « HKEY_LOCAL_MACHINE\SOFTWARE\SAP BusinessObjects » dans le
répertoire système.
6. Cliquez sur Démarrer > Panneau de configuration > Outils d'administration > Stratégie de sécurité locale.
7. Développez Stratégies locales, puis cliquez sur Attribution des droits utilisateur.
8. Cliquez deux fois sur Agir en tant que partie du système d'exploitation.
9. Cliquez sur Ajouter, saisissez le nom du compte de service créé, puis cliquez sur OK.
10. Répétez les étapes ci-dessus pour chaque ordinateur sur lequel est installé un serveur de la plateforme de BI.

Remarque
Il est important que l'option Droits effectifs soit activée après la sélection de l'option Agir en tant que partie
du système d'exploitation. En règle générale, vous devez redémarrer le serveur pour ce faire. Si, une fois le
serveur redémarré, cette option n'est toujours pas activée, vos paramètres de stratégie locale sont écrasés
par vos paramètres de stratégie de domaine.

11. Redémarrez le SIA.

12. Si nécessaire, répétez les étapes 1 à 5 pour chaque SIA exécutant un service à configurer.

Vous devez à présent être en mesure de vous connecter au CCM à l'aide des références de connexion AD.

9.4.4.3 Test des références de connexion AD sur le CCM

Pour effectuer cette tâche, vous devez avoir mappé un groupe d'utilisateurs AD à la plateforme de BI.

1. Ouvrez le CCM, puis cliquez sur l'icône Gérer les serveurs.

2. Assurez-vous que les bonnes informations sont affichées dans le champ Système.
3. Sélectionnez Windows AD dans la liste des options d'authentification.
Une boîte de dialogue de connexion s'ouvre.
4. Connectez-vous à l'aide d'un compte AD existant du groupe AD que vous avez mappé à la plateforme de BI.

Remarque
Si vous utilisez un compte AD qui ne se trouve pas dans le domaine par défaut, connectez-vous en tant que
domaine\nom d'utilisateur.

Vous ne devriez pas recevoir de message d'erreur. Vous devez pouvoir vous connecter via le CCM à l'aide d'un
compte AD mappé avant de passer à la section suivante.

Conseil
Si vous recevez un message d'erreur, accédez à CMC Authentification Windows AD . Sous Options
d'authentification, remplacez Utiliser l'authentification Kerberos par Utiliser l'authentification NTLM, puis cliquez
sur Mettre à jour. Répétez les étapes 1 à 4 ci-dessus. Si cela fonctionne, un problème existe avec votre
configuration Kerberos.

Business Intelligence Platform Administrator Guide

288 PUBLIC Authentication
9.4.5 Configuring the web application server for AD
Authentication

9.4.5.1 Préparation du serveur d'applications à

l'authentification Windows AD (Kerberos)

La procédure de configuration de Kerberos pour un serveur d'applications Web diffère légèrement en fonction du
type de serveur d'applications spécifique utilisé. Toutefois, la procédure générale de configuration de Kerberos
comprend les étapes suivantes :

● Création du fichier de configuration Kerberos (krb5.ini).

● Création du fichier de configuration de connexion JAAS bscLogin.conf.

Remarque
Cette étape n'est pas requise pour le serveur d'applications Java de SAP NetWeaver 7.3. Cependant, vous
devrez ajouter le LoginModule à votre serveur SAP NetWeaver.

● Modification des options Java pour votre serveur d'applications.

● Remplacement des propriétés du fichier BOE.war pour l'authentification Windows AD.
● Redémarrage du serveur d'applications Java.

Cette section présente les informations de configuration de Kerberos pour une utilisation avec les serveurs
d'applications suivants :

● Tomcat
● WebSphere
● WebLogic
● Oracle Application Server
● SAP NetWeaver 7.3

9.4.5.1.1 Creating Kerberos configuration files

9.4.5.1.1.1 Création d'un fichier de configuration Kerberos

Avant de poursuivre, assurez-vous d'avoir exécuté les tâches de prérequis suivantes :

● Un compte de service a été créé sur le contrôleur de domaine pour la plateforme de BI.
● Vous vous êtes assuré que les noms principaux du service (SPN) ont été ajoutés au compte de service.
● Vous avez mappé les groupes d'utilisateurs AD à la plateforme de BI.
● Vous avez testé les références de connexion AD sur le CCM.

Procédez comme suit pour créer le fichier de configuration Kerberos si vous utilisez SAP NetWeaver 7.3, Tomcat,
Oracle Application Server, WebSphere ou WebLogic comme serveur d'applications Web pour le déploiement de
votre plateforme de BI.

1. Créez le fichier krb5.ini si nécessaire et stockez-le sous C:\Windows pour Windows.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 289
 Remarque
Si le serveur d'applications est installé sous UNIX, utilisez les répertoires suivants :

Solaris : /etc/krb5/krb5.conf

Linux : /etc/krb5.conf

Remarque
Vous pouvez stocker ce fichier à un autre emplacement, mais vous devrez le spécifier dans vos options
Java. Pour en savoir plus sur krb5.ini, consultez la page http://docs.sun.com/app/docs/doc/
816-0219/6m6njqb94?a=view .

2. Ajoutez les informations requises suivantes dans le fichier de configuration Kerberos :

[libdefaults]
default_realm = DOMAIN.COM
dns_lookup_kdc = true
dns_lookup_realm = true
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
[domain_realm]
.domain.com = DOMAIN.COM
domain.com = DOMAIN.COM
.domain2.com = DOMAIN2.COM
domain2.com = DOMAIN2.COM
[realms]
DOMAIN.COM = {
default_domain = DOMAIN.COM
kdc = HOSTNAME.DOMAIN.COM
}
DOMAIN2.COM = {
default_domain = DOMAIN2.COM
kdc = HOSTNAME.DOMAIN2.COM
}
[capaths]
DOMAIN2.COM = {
DOMAIN.COM =
}

Remarque
Les principaux paramètres sont expliqués dans le tableau ci-dessous.

Table 44 :

DOMAINE.COM Nom DNS du domaine. Vous devez le saisir en majuscules

au format FQDN.

kdc Nom d'hôte du contrôleur de domaine.

[capath] Définit l'approbation entre les domaines faisant partie

d'une autre forêt AD. Dans l'exemple ci-dessus,
DOMAINE2.COM est un domaine d'une forêt externe et
bénéficie d'une approbation directe transitive bidirection­
nelle à DOMAINE.COM.

Business Intelligence Platform Administrator Guide

290 PUBLIC Authentication
 default_realm Dans une configuration comportant plusieurs domaines,
sous [libdefaults], la valeur default_realm
peut correspondre à tout domaine source. La meilleure
solution consiste à utiliser le domaine comportant le plus
grand nombre d'utilisateurs qui seront authentifiés à l'aide
de leurs comptes AD. Si aucun suffixe UPN n'est fourni à
la connexion, la valeur par défaut default_realm est
utilisée. Cette valeur doit être cohérente avec le paramè­
tre de domaine par défaut dans la CMC. Tous les domai­
nes doivent être indiqués en majuscules comme l'illustre
l'exemple ci-dessus.

9.4.5.1.2 Creating a JAAS login configuration file

9.4.5.1.2.1 Création d'un fichier de configuration de connexion

JAAS Tomcat ou WebLogic

Le fichier bscLogin.conf sert à charger le module de connexion Java et est nécessaire à l'authentification AD
Kerberos sur les serveurs d'applications Web Java.

L'emplacement par défaut des fichiers est : C:\Windows.

1. Créez un fichier nommé bscLogin.conf si nécessaire, puis stockez-le sous C:\Windows.

Remarque
Vous pouvez stocker ce fichier à un emplacement différent. Toutefois, si vous le faites, vous devrez
spécifier son emplacement dans vos options Java.

2. Ajoutez le code suivant au fichier de configuration JAAS bscLogin.conf :

com.businessobjects.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required;
};

3. Enregistrez le fichier et fermez-le.

9.4.5.1.2.2 Création d'un fichier de configuration de connexion

JAAS Oracle

1. Recherchez le fichier jazn-data.xml.

Remarque
L'emplacement par défaut de ce fichier est C:\OraHome_1\j2ee\home\config. Si vous avez installé un
serveur d'applications Oracle à un autre emplacement, recherchez le fichier spécifique à votre installation.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 291
2. Ajoutez le contenu suivant au fichier entre les balises <jazn-loginconfig> :

<application>
<name>com.businessobjects.security.jgss.initiate</name>
<login-modules>
<login-module>
<class>com.sun.security.auth.module.Krb5LoginModule</class>
<control-flag>required</control-flag>
</login-module>
</login-modules>
</application>

3. Enregistrez et fermez le fichier jazn-data.xml.

9.4.5.1.2.3 Pour créer un fichier de configuration de connexion

JAAS Websphere

1. Créez un fichier nommé bscLogin.conf si nécessaire, puis stockez-le à l'emplacement par défaut : C:
\Windows
2. Ajoutez le code suivant au fichier de configuration bscLogin.conf :

com.businessobjects.security.jgss.initiate {
com.ibm.security.auth.module.Krb5LoginModule required;
};

3. Enregistrez le fichier et fermez-le.

9.4.5.1.2.4 Pour ajouter un LoginModule à SAP NetWeaver AS

Pour utiliser Kerberos et SAP NetWeaver AS 7.3, configurez le système comme si vous utilisiez le serveur
d'applications Web Tomcat. Vous n'aurez pas à créer de fichier bscLogin.conf.

Une fois cette opération effectuée, vous devez ajouter un LoginModule et mettre à jour certains paramètres Java
sur SAP NetWeaver AS 7.3.

Pour mapper com.sun.security.auth.module.Krb5LoginModule à

com.businessobjects.security.jgss.initiate, vous devez ajouter manuellement un LoginModule à SAP
NetWeaver AS 7.3.

1. Ouvrez l'administrateur SAP NetWeaver en entrant l'adresse suivante dans un navigateur Web : http://
<nom de l'ordinateur>:<port>/nwa.

2. Cliquez sur Configuration Management (Gestion de configuration) Security (Sécurité) Authentication

(Authentification) Login Modules (Modules de connexion) Edit (Modifier) .
3. Ajoutez un nouveau module de connexion avec les informations suivantes :

Nom d'affichage Krb5LoginModule

Nom de la classe com.sun.security.auth.module.Krb5LoginMo

dule

Business Intelligence Platform Administrator Guide

292 PUBLIC Authentication
 4. Cliquez sur Enregistrer.
SAP NetWeaver crée le module.

5. Cliquez sur Components (Composants) Edit (Modifier) .

6. Ajoutez une nouvelle police nommée com.businessobjects.security.jgss.initiate.
7. Dans Pile d'authentification, ajoutez le module de connexion créé à l'étape 3 et définissez-le sur Requis.
8. Vérifiez qu'il n'existe aucune autre entrée dans les Options du module de connexion sélectionné. Si vous en
trouvez, supprimez-les.
9. Cliquez sur Save (Enregistrer).
10. Déconnectez-vous de l'administrateur SAP NetWeaver.

9.4.5.1.3 Modifying the application server Java settings to

load configuration files

9.4.5.1.3.1 Pour modifier les options Java pour Kerberos sur

Tomcat

1. Dans le menu Démarrer, sélectionnez Programmes >Tomcat > Configuration Tomcat.

2. Cliquez sur l'onglet Java.
3. Ajoutez les options suivantes :

-Djava.security.auth.login.config=C:\XXXX\bscLogin.conf
-Djava.security.krb5.conf=C:\XXXX\krb5.ini

Remplacez XXXX par l'emplacement de stockage du fichier bscLogin.conf.

4. Fermez le fichier de configuration Tomcat.
5. Redémarrez Tomcat.

9.4.5.1.3.2 Modification des options Java de SAP NetWeaver

AS 7.3

1. Accédez à l'outil de configuration Java (qui se trouve par défaut sous C:\usr\sap\<ID NetWeaver>
\<instance>\j2ee\configtool\) et cliquez deux fois sur configtool.bat.
L'outil de configuration s'ouvre.

2. Cliquez sur View (Afficher) Mode Expert (Mode expert) .

3. Développez Cluster Data (Données de cluster) Template (Modèle) .

4. Sélectionnez l'instance qui correspond à votre SAP NetWeaver AS (par exemple Instance - <ID
système><nom de l'ordinateur>).
5. Cliquez sur Paramètres VM.
6. Sélectionnez SAP dans la liste Fournisseur et GLOBAL dans la liste Plateforme.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 293
7. Cliquez sur système et ajoutez les informations des paramètres personnalisés suivants :

java.security.krb5.conf <chemin vers le fichier krb5.ini comprenant

le nom de fichier>

javax.security.auth.useSubjectCredsOnly false

8. Cliquez sur Enregistrer, puis cliquez sur Editeur de configuration.

9. Cliquez sur Configurations Security (Sécurité) Configurations

com.businessobjects.security.jgss.initiate Securitty (Sécurité) Authentication (Authentification) .
10. Cliquez sur Mode Edition.
11. Cliquez avec le bouton droit sur le nœud Authentification et sélectionnez Créer un sous-nœud.
12. Sélectionnez Saisie de valeurs dans la liste supérieure.
13. Saisissez les informations suivantes :

Nom create_security_session

Valeur false

14. Cliquez sur Créer, puis fermez la fenêtre.

15. Cliquez sur Outil de configuration, puis sur Enregistrer.

Après la mise à jour de votre configuration, redémarrez SAP NetWeaver AS.

9.4.5.1.3.3 Pour modifier les options Java pour Kerberos sur

WebLogic

Si vous utilisez Kerberos avec WebLogic, vous devez modifier les options Java pour indiquer l'emplacement du
fichier de configuration Kerberos, ainsi que le module de connexion Kerberos.

1. Arrêtez le domaine WebLogic qui exécute les applications de la plateforme de BI.

2. Ouvrez le script qui démarre le domaine de WebLogic exécutant les applications de votre plateforme de BI
(startWeblogic.cmd pour Windows, startWebLogic.sh pour UNIX).
3. Ajoutez les informations suivantes à la section Java_Options du fichier :

set JAVA_OPTIONS=-Djava.security.auth.login.config=C:/XXXX/bscLogin.conf
-Djava.security.krb5.conf=C:/XXX/krb5.ini

Remplacez XXX par l'emplacement de stockage du fichier.

4. Redémarrez le domaine de WebLogic qui exécute les applications de la plateforme de BI.

9.4.5.1.3.4 Pour modifier les options Java pour Kerberos sur

Oracle Application Server

Si vous utilisez Kerberos avec Oracle Application Server, vous devez modifier les options Java pour indiquer
l'emplacement du fichier de configuration Kerberos.

Business Intelligence Platform Administrator Guide

294 PUBLIC Authentication
 1. Connectez-vous à la console d'administration d'Oracle Application Server.
2. Cliquez sur le nom de l'instance OC4J qui exécute les applications de la plateforme de BI.
3. Sélectionnez Server Properties (propriétés du serveur).
4. Accédez à la section Multiple VM Configuration (configuration VM multiple).
5. Dans la section Command Line Options (options de ligne de commande), ajoutez le texte suivant à la fin du
champ de texte Java Options (options Java) : -Djava.security.krb5.conf=C:/XXXX/krb5.ini en
remplaçant XXXX par l'emplacement de stockage du fichier.
6. Redémarrez votre instance d'OC4J.

9.4.5.1.3.5 Pour modifier les options Java pour Kerberos sur

WebSphere

1. Connectez-vous à la console d'administration de WebSphere.

Pour IBM WebSphere 5,1, saisissez http://nomserveur:9090/admin. Pour IBM WebSphere 6.0, saisissez
http://nomserveur:9060/admin/
2. Développez Serveur, cliquez sur Serveurs d'applications, puis sur le nom du serveur d'applications que vous
avez créé pour l'utiliser avec la plateforme de BI.
3. Accédez à la page JVM.

Si vous utilisez WebSphere 5.1, effectuez les étapes suivantes pour accéder à la page JVM.
1. Faites défiler la page du serveur vers le bas jusqu'à ce qu'apparaisse Définition de processus dans la
colonne Autres propriétés.
2. Cliquez sur Définition de processus.
3. Faites défiler l'écran vers le bas et cliquez sur Machine virtuelle Java.

Si vous utilisez WebSphere 6.0, effectuez les étapes suivantes pour accéder à la page JVM.
1. Dans la page du serveur, sélectionnez Gestion de processus et Java.
2. Sélectionnez Définition de processus.
3. Sélectionnez Machine virtuelle Java.
4. Cliquez sur Generic JVM arguments (Arguments JVM génériques), puis spécifiez l'emplacement du fichier
Krb5.ini et du fichier bscLogin.conf comme illustré ci-dessous.

-Djava.security.auth.login.config=C:\XXXX\bscLogin.conf

-Djava.security.krb5.conf=C:\XXXX\krb5.ini

Remplacez XXX par l'emplacement de stockage du fichier.

5. Cliquez sur Appliquer, puis sur Enregistrer.
6. Arrêtez puis redémarrez le serveur.

9.4.5.1.4 Vérification concernant la réception du ticket

Kerberos par Java

Avant de tester si Java a reçu le ticket Kerberos, vous devez respecter les actions pré-requises suivantes :

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 295
● Créez le fichier bscLogin.conf pour votre serveur d'applications.
● Créez le fichier krb5.ini.

1. Accédez à l'invite de commande et au répertoire jdk\bin de votre installation de la plateforme de BI.

Par défaut, il se trouve à l'emplacement suivant : C:\Program Files (x86)\SAP BusinessObjects
\SAP BusinessObjects Enterprise XI 4.0\win64_x64\jdk\bin.
2. Exécutez kinit <nom d'utilisateur>.
3. Appuyez sur Entrée .
4. Tapez votre mot de passe.

Si le fichier krb5.ini a été correctement configuré et que le module de connexion Java a été chargé, vous
devez voir le message suivant :
Le nouveau ticket est stocké dans le fichier cache C:\Users\Administrator\krb5cc_Administrator

Ne poursuivez pas la configuration AD tant que vous n'avez pas reçu de ticket Kerberos.

Si vous ne pouvez pas recevoir de ticket, envisagez les solutions suivantes :

● Consultez la section de dépannage à la fin de ce chapitre.

● Pour les problèmes concernant le KDC, les fichiers de configuration Kerberos et les références de connexion
utilisateur non disponibles dans la base de données Kerberos, voir les articles KBA 1476374 et KBA 1245178
de la Base de connaissances SAP.

9.4.5.1.5 Configuration de la zone de lancement BI pour une

connexion AD manuelle

Avant de configurer les applications de la plateforme de BI pour la connexion AD manuelle, vous devez avoir
respecté les actions prérequises suivantes :

● Vous avez créé un compte de service sur le contrôleur de domaine pour la plateforme de BI.
● Vous vous êtes assuré que les noms principaux du service (SPN) HTTP ont été ajoutés au compte de service.
● Vous avez mappé les groupes d'utilisateurs AD à la plateforme de BI.
● Vous avez testé les références de connexion AD sur le CCM.
● Vous avez créé, configuré et testé les fichiers de configuration requis pour votre serveur d'applications Web.
● Les paramètres Java de votre serveur d'applications ont été modifiés pour charger les fichiers de
configuration.

Pour activer l'option d'authentification Windows AD pour la zone de lancement BI, procédez comme suit :

1. Accédez au dossier personnalisé pour l'application Web BOE sur l'ordinateur hébergeant le serveur
d'applications Web.
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF
\config\custom\.

Business Intelligence Platform Administrator Guide

296 PUBLIC Authentication
 Effectuez vos modifications dans le répertoire config\custom et non dans config\default. Sinon, vos
modifications seront remplacées lorsque de futurs correctifs seront appliqués à votre déploiement.

Vous devrez redéployer ultérieurement l'application Web BOE modifiée.

2. Créez un fichier.

Remarque
Utilisez Notepad ou tout autre éditeur de texte.

3. Enregistrez le fichier sous BIlaunchpad.properties.

4. Saisissez ce qui suit :

authentication.visible=true
authentication.default=secWinAD

5. Enregistrez le fichier et fermez-le.

6. Redémarrez le serveur d'applications Web.

Vous devez désormais pouvoir vous connecter manuellement à la zone de lancement BI. Accédez à l'une des
applications et sélectionnez Windows AD dans la liste des options d'authentification.

Remarque
Ne poursuivez pas la configuration de Windows AD tant que vous ne pouvez pas vous connecter manuellement
à la zone de lancement BI à l'aide d'un compte AD existant.

Les nouvelles propriétés ne prendront effet qu'après le redéploiement de l'application Web BOE sur l'ordinateur
exécutant le serveur d'applications Web. Utilisez Wdeploy pour redéployer BOE sur le serveur d'applications Web.
Pour en savoir plus sur l'utilisation de WDeploy pour annuler le déploiement d'applications Web, voir le Guide de
déploiement d'applications Web de la plateforme SAP BusinessObjects de Business Intelligence.

Remarque
Si votre déploiement utilise un pare-feu, pensez à ouvrir tous les ports requis, sans quoi les applications Web
ne parviendront pas à se connecter aux serveurs de la plateforme de BI.

9.4.6 Single Sign-On Setup

9.4.6.1 Connexion unique à la plateforme de BI avec

l'authentification AD

Options de la connexion unique utilisant Windows AD

Trois méthodes sont prises en charge pour configurer la connexion unique pour l'authentification Windows AD
avec la plateforme de BI :

● Vintela : cette option ne peut être utilisée qu'avec Kerberos.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 297
● SiteMinder : cette option ne peut être utilisée qu'avec Kerberos.

Connexion unique à la base de données

La connexion unique à la base de données permet aux utilisateurs connectés d'effectuer des actions nécessitant
un accès à la base de données, en particulier, l'affichage et l'actualisation de rapports, sans devoir spécifier à
nouveau leurs références de connexion. Bien que la restriction de délégation soit facultative pour la connexion
unique Vintela et l'authentification AD, elle est requise pour les scénarios de déploiement impliquant une
connexion unique à la base de données système.

Connexion unique de bout en bout

Sur la plateforme de BI, la connexion unique de bout en bout est prise en charge par l'intermédiaire de
Windows AD et de Kerberos. Dans ce scénario, les utilisateurs disposent à la fois de la connexion unique à la
plateforme de BI au niveau interface client et de la connexion unique aux bases de données principales. Ainsi, les
utilisateurs ne doivent fournir leurs références de connexion qu'une seule fois, lorsqu'ils se connectent au
système d'exploitation, pour accéder à la plateforme de BI et effectuer des actions requérant un accès à la base
de données, telles que l'affichage de rapports.

Configuration de l'authentification AD manuelle ou par connexion unique

Une fois votre déploiement correctement configuré pour permettre aux comptes AD de se connecter
manuellement à la zone de lancement BI, vous devez revoir la configuration de l'authentification AD pour activer
certaines conditions de connexion unique. Les conditions requises varient selon la méthode de connexion unique
choisie.

9.4.6.2 Using Vintela SSO

9.4.6.2.1 Liste de contrôle pour la configuration de la

connexion unique Vintela

Pour configurer la plateforme de BI de sorte à pouvoir utiliser la connexion unique Vintela, vous devez exécuter les
tâches suivantes :

1. Configurer votre compte de service spécifiquement pour la connexion unique Vintela.

2. Configurer la restriction de délégation (facultatif).
3. Configurer les options d'authentification de la connexion unique Windows AD dans la CMC.
4. Configurer les propriétés générales et les propriétés spécifiques à la zone de lancement BI pour la connexion
unique Vintela.

Business Intelligence Platform Administrator Guide

298 PUBLIC Authentication
 5. Si vous utilisez Tomcat comme serveur d'applications Web sur votre déploiement, vous devez augmenter la
taille limite d'en-tête.
6. Configurez les navigateurs Internet pour Vintela.

9.4.6.2.2 Configuration du compte de service pour la

connexion unique Vintela

L'outil de ligne de commande Ktpass configure le nom principal de serveur pour l'hôte ou le service d'Active
Directory et génère un fichier "keytab" Kerberos contenant la clé de secret partagé du compte de service. Cet outil
se trouve généralement sur les contrôleurs de domaine ou peut être téléchargé depuis le site de support de
Microsoft : http://support.microsoft.com/kb/892777 .

Votre compte de service doit être configuré spécifiquement pour permettre aux utilisateurs d'un groupe Windows
AD donné de s'authentifier automatiquement auprès de la zone de lancement BI à l'aide de leurs références de
connexion. Vous pouvez reconfigurer le compte de service créé pour l'authentification AD Kerberos sur le
contrôleur de domaine.

Lorsqu'un client tente de se connecter à la zone de lancement BI, une requête au serveur générant les tickets
Kerberos est initiée. Pour faciliter cette requête, le compte de service créé pour la plateforme de BI doit avoir un
SPN correspondant à l'URL du serveur d'applications. Procédez comme suit sur l'ordinateur hébergeant le
contrôleur de domaine.

1. Exécutez la commande de configuration keytab de Kerberos ktpass pour créer et placer un fichier keytab.
Spécifiez les paramètres ktpass répertoriés dans le tableau suivant :

Table 45 :
Paramètre Description

-out Spécifie le nom du fichier keytab Kerberos à générer.

-princ Spécifie le nom principal utilisé pour le compte de service au format SPN :< MYSIAMYSERVER>/
<sbo.service.domain.com>@<DOMAIN>.COM, où <MYSIAMYSERVER> est le nom du Service Intel­
ligence Agent spécifié dans le CCM (Central Configuration Manager).

Remarque
Le nom de votre compte de service respecte la casse. Le SPN inclut le nom de l'ordinateur hôte sur le­
quel l'instance de service est exécutée.

Conseil
Le SPN doit être unique dans la forêt dans laquelle il est enregistré. Pour vérifier, utilisez l'outil de sup­
port Windows Ldp.exe pour rechercher le SPN.

-pass Indique le mot de passe utilisé par le compte de service.

-ptype Spécifie le type principal.

-ptype KRB5_NT_PRINCIPAL

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 299
 Paramètre Description

-crypto Spécifie le type de cryptage à utiliser avec le compte de service :

-crypto RC4-HMAC-NT

Par exemple :

ktpass -out <keytab_filename>.keytab -princ <MYSIAMYSERVER>/

[email protected]
-pass password -kvno 255 -ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT

Le résultat de la commande ktpass doit confirmer le contrôleur de domaine cible et la création d'un fichier
keytab Kerberos contenant le secret partagé. La commande mappe également le nom principal du compte
de service (local).

2. Cliquez avec le bouton droit de la souris sur le compte de service et sélectionnez Propriétés Délégation .
3. Cliquez sur Approuver cet utilisateur pour la délégation à tous les services (Kerberos uniquement).

Business Intelligence Platform Administrator Guide

300 PUBLIC Authentication
 4. Cliquez sur OK pour enregistrer vos paramètres.

Ce compte de service a désormais tous les noms principaux de service nécessaires à la connexion unique Vintela
et vous avez généré un fichier Keytab avec le mot de passe crypté pour le compte de service.

Remarque
Pour la connexion unique de bout en bout ou la connexion unique aux bases de données avec des scénarios de
fichier Keytab :

Si des échecs sont résolus en modifiant KVNO dans le fichier Keytab, il est probable que l'attribut KVNO dans le
compte de service soit supérieur au KVNO utilisé dans la création du fichier Keytab (lors de ktpass). Pour en
savoir plus sur l'obtention du KV correct, voir http://service.sap.com/sap/support/notes/1853668

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 301
9.4.6.2.2.1 Configuration d'une restriction de délégation pour
la connexion unique Vintela

La restriction de délégation est facultative pour la configuration de la connexion unique Vintela. Elle est toutefois
requise pour les déploiements exigeant une connexion unique à la base de données système.

1. Sur l'ordinateur du contrôleur de domaine AD, ouvrez le composant enfichable Utilisateurs et ordinateurs
Active Directory.
2. Cliquez avec le bouton droit de la souris sur le compte de service créé dans la section précédente, puis cliquez
sur Propriétés Délégation .
3. Sélectionnez N'approuver cet ordinateur que pour la délégation aux services spécifiés.
4. Sélectionnez Utiliser uniquement Kerberos.

5. Cliquez sur Ajouter Utilisateurs ou ordinateurs .

6. Saisissez le nom du compte de service et cliquez sur OK.
Une liste de services s'affiche.
7. Sélectionnez les services suivants, puis cliquez sur OK.

○ Le service HTTP
○ Le service utilisé pour exécuter le SIA (Service Intelligence Agent) sur l'ordinateur hébergeant la
plateforme de BI.

Les services sont ajoutés à la liste de services pouvant être délégués pour le compte de service.

Vous devrez modifier les propriétés de l'application Web pour justifier cette modification.

9.4.6.2.3 Configuration des paramètres de connexion unique

dans la CMC

1. Accédez à la zone de gestion Authentification de la CMC.

2. Cliquez deux fois sur Windows AD.
3. Vérifiez que la case Activer Windows Active Directory (AD) est cochée.
4. Sous Options d'authentification, assurez-vous que l'option Utiliser l'authentification Kerberos est sélectionnée.
5. Si votre configuration requiert une connexion unique à la base de données, sélectionnez Contexte de sécurité
de la mémoire cache.
6. Sélectionnez Activez la connexion unique pour le mode d'authentification sélectionné.
7. Cliquez sur Mettre à jour.

9.4.6.2.4 Activation de la connexion unique Vintela pour la

zone de lancement BI et OpenDocument

Cette procédure doit être utilisée pour la zone de lancement BI ou OpenDocument. Pour activer la connexion
unique aux applications Web de la plateforme de BI, vous devez spécifier les propriétés propres à Vintela et à la

Business Intelligence Platform Administrator Guide

302 PUBLIC Authentication
connexion unique dans le fichier BOE.war. Pour des raisons de configuration de la connexion unique, il est
recommandé de se focaliser sur l'activation de la connexion unique à la zone de lancement BI pour les comptes
AD avant de traiter d'autres applications.

1. Accédez au dossier personnalisé pour l'application Web BOE sur l'ordinateur hébergeant le serveur
d'applications Web.
<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF
\config\custom\.

Effectuez vos modifications dans le répertoire config\custom et non dans le répertoire config\default.
Sinon, vos modifications seront remplacées lorsque de futurs correctifs seront appliqués à votre
déploiement.

Vous devrez redéployer ultérieurement l'application Web BOE modifiée.

2. Créez un fichier dans un éditeur de texte.
3. Saisissez les informations suivantes :

sso.enabled=true
siteminder.enabled=false
vintela.enabled=true
idm.realm=DOMAIN.COM
idm.princ=MYSIAMYSERVER/[email protected]
idm.allowUnsecured=true
idm.allowNTLM=false
idm.logger.name=simple
idm.keytab=C:/WIN/filename.keytab
idm.logger.props=error-log.properties

Remarque
Les paramètres idm.realm et idm.princ requièrent des valeurs valides. idm.realm doit comporter la
même valeur que celle définie lors de la configuration de default_realm dans votre fichier krb5.ini.
Cette valeur doit être en majuscules. Le paramètre idm.princ est le SPN utilisé pour le compte de service
créé pour la connexion unique Vintela.

Remarque
Les barres obliques sont obligatoires pour spécifier l'emplacement du fichier Keytab.

Passez l'étape suivante si vous ne souhaitez pas utiliser de restriction de délégation pour l'authentification
Windows AD et la connexion unique Vintela.
4. Pour utiliser l'ajout de restriction de délégation, ajoutez :

idm.allowS4U=true

5. Fermez le fichier et enregistrez-le sous le nom global.properties :

Remarque
Vérifiez que le nom de fichier n'est pas enregistré sous une autre extension telle que .txt.

6. Créez un autre fichier dans le même répertoire. Enregistrez le fichier sous OpenDocument.properties ou
BIlaunchpad.properties selon vos besoins.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 303
7. Saisissez ce qui suit :

authentication.default=secWinAD
cms.default=[enter your cms name]:[Enter the CMS port number]

Par exemple :

authentication.default=secWinAD
cms.default=mycms:6400

8. Enregistrez le fichier et fermez-le.

9. Redémarrez le serveur d'applications Web.

Les nouvelles propriétés ne prendront effet qu'après le redéploiement de l'application Web BOE sur l'ordinateur
exécutant le serveur d'applications Web. Utilisez Wdeploy pour redéployer BOE sur le serveur d'applications Web.
Pour en savoir plus sur l'utilisation de WDeploy pour annuler le déploiement d'applications Web, voir le Guide de
déploiement d'applications Web de la plateforme SAP BusinessObjects de Business Intelligence.

Remarque
Si votre déploiement utilise un pare-feu, pensez à ouvrir tous les ports requis, sans quoi les applications Web
ne parviendront pas à se connecter aux serveurs de la plateforme de BI.

9.4.6.2.5 Pour activer la connexion unique Vintela pour les

services Web

Certains outils client nécessitent une authentification par les services Web. Suivez ces étapes pour activer la
connexion unique (SSO) pour les services Web. Pour en savoir plus, consultez la note SAP à l'adresse : http://
service.sap.com/sap/support/notes/1646920

1. Sauvegardez ce fichier : <INSTALLDIR>\SAP BusinessObjects Enterprise XI 4.0\warfiles

\webapps\dswsbobje\WEB-INF\web.xml, puis ouvrez-le pour le modifier.
2. Supprimez les marques de commentaire des sections Kerberos Proxy Filter et Kerberos Filter pour activer la
connexion unique Kerberos pour l'authentification Windows Active Directory (secWinAD).

Les options suivantes doivent être spécifiées (les autres sont facultatives) :
○ idm.realm (identique à l'option default_realm spécifiée dans le fichier Krb5.ini).

Business Intelligence Platform Administrator Guide

304 PUBLIC Authentication
 ○ idm.princ (identique à l'option spécifiée pour idm.princ dans le fichier global.properties situé à
l'emplacement <INSTALLDIR>\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps
\BOE\WEB-INF\config\custom).
○ idm.keytab (identique à l'option spécifiée pour idm.keytab dans le fichier global.properties situé à
l'emplacement <INSTALLDIR>\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps
\BOE\WEB-INF\config\custom).

Remarque
Si vous utilisez le mot de passe figé dans le code défini dans les options Java de Tomcat, n'apportez
aucune modification aux lignes keytab dans le fichier web.xml.

3. Si SSL n'est pas utilisé avec le serveur d'applications Java, définissez le paramètre idm.allowUnsecured sur
true.
Pour en savoir plus sur Tomcat SSL, voir l'article 1484802 de la base de connaissances.
4. Sauvegardez ce fichier : <INSTALLDIR>\SAP BusinessObjects Enterprise XI 4.0\warfiles
\webapps\dswsbobje\WEB-INF\classes\dsws.properties, puis ouvrez-le pour le modifier.
5. Définissez le paramètre kerberos.sso sur true et enregistrez le fichier.

6. Utilisez WDeploy pour redéployer le fichier WAR sur le serveur d'applications Web.
Pour en savoir plus sur l'utilisation de WDeploy, voir le Guide de déploiement d'applications Web de la
plateforme SAP BusinessObjects Business Intelligence.
7. Redémarrez Tomcat.
8. Pour tester vos paramètres, sur l'ordinateur client où les outils client sont installés, lancez Query as a Web
Service Designer.
9. Ajoutez un nouvel hôte géré.
10. Saisissez le nom du serveur d'applications.
11. Entrez l'URL des services Web selon ce format : http://<ServeurAppWeb>:<NuméroPort>/dswsbobje/
services/Session.
Exemple : http://BI4:8080/dswsbobje/services/Session.
12. Saisissez le nom d'hôte du CMS.
13. Remplacez le type d'authentification par Windows AD.
14. Sélectionnez Activer la connexion unique Windows Active Directory.
15. A l'invite de connexion, laissez vides les champs Utilisateur et Mot de passe, puis cliquez sur OK.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 305
9.4.6.2.6 Pour augmenter la limite de taille d'en-tête pour
Tomcat

Active Directory crée un jeton Kerberos utilisé lors de la procédure d'authentification. Ce jeton est stocké dans
l'en-tête HTTP. Votre serveur d'applications Java aura une taille d'en-tête HTTP par défaut. Pour éviter les erreurs,
vérifiez que sa taille par défaut minimale est de 16384 octets. (Certains déploiement peuvent nécessiter une taille
supérieure. Pour en savoir plus, voir les directives de dimensionnement de Microsoft sur son site de support
(http://support.microsoft.com/kb/327825).)

1. Sur le serveur sur lequel Tomcat est installé, ouvrez le fichier server.xml.
Sous Windows, il est situé dans <REPINSTALLTomcat>/conf
○ Si vous utilisez la version de Tomcat installée avec la plateforme de BI sous Windows et que vous n'avez
pas modifié
l'emplacement d'installation par défaut, remplacez <REPINSTALLTomcat> par :C:\Program Files
(x86)\SAP BusinessObjects\Tomcat\
○ Si vous utilisez tout autre serveur d'applications Web pris en charge, consultez la documentation de votre
serveur d'applications Web pour déterminer le chemin approprié.
2. Recherchez la balise <Connector …> du numéro de port que vous avez configuré.

Si vous utilisez le port par défaut 8080, recherchez la balise <Connector …> comportant port=« 8080 ».

Par exemple :

<Connector URIEncoding="UTF-8" acceptCount="100"

connectionTimeout="20000" debug="0"
disableUploadTimeout="true" enableLookups="false"
maxSpareThreads="75" maxThreads="150"
minSpareThreads="25" port="8080" redirectPort="8443"
/>

3. Ajoutez la valeur suivante dans la balise <Connector …> :

maxHttpHeaderSize="16384"

Par exemple :

<Connector URIEncoding="UTF-8" acceptCount="100"

connectionTimeout="20000" debug="0"
disableUploadTimeout="true" enableLookups="false"
maxSpareThreads="75" maxThreads="150"
maxHttpHeaderSize="16384" minSpareThreads="25" port="8080" redirectPort="8443" />

4. Enregistrez et fermez le fichier server.xml.

5. Redémarrez Tomcat.

Remarque
Pour les autres serveurs d'applications Java, consultez la documentation correspondante.

Business Intelligence Platform Administrator Guide

306 PUBLIC Authentication
9.4.6.2.7 Configuration des navigateurs Internet

Pour prendre en charge l'authentification AD Kerberos avec la connexion unique Vintela, vous devez configurer les
clients de la plateforme de BI. Cela comprend la configuration du navigateur Web sur les ordinateurs clients.

9.4.6.2.7.1 Pour configurer Internet Explorer sur les

ordinateurs client

1. Sur l'ordinateur client, ouvrez un navigateur Internet Explorer.

2. Activez l'authentification intégrée de Windows.
a. Dans le menu Outils, cliquez sur Options Internet.
b. Cliquez sur l'onglet Avancé.
c. Accédez à Sécurité, sélectionnez Activer l'authentification intégrée de Windows, puis cliquez sur
Appliquer.
3. Ajoutez le serveur d'applications Java ou l'URL des sites fiables. Vous pouvez saisir le nom de domaine
complet du site.
a. Dans le menu Outils, cliquez sur Options Internet.
b. Cliquez sur l'onglet Sécurité.
c. Cliquez sur Sites, puis sur Avancés.
d. Sélectionnez ou saisissez le site, puis cliquez sur Ajouter.
e. Cliquez sur OK jusqu'à ce que la boîte de dialogue Options Internet se ferme.
4. Fermez et rouvrez la fenêtre de navigateur Internet Explorer pour appliquer ces modifications.
5. Répétez toutes ces étapes pour chaque ordinateur client de la plateforme de BI.

9.4.6.2.7.2 Pour configurer Firefox sur les ordinateurs client

1. Modifiez network.negotiate-auth.delegation-uris
a. Sur l'ordinateur client, ouvrez un navigateur Firefox.
b. Saisissez about:config dans le champ de l'adresse URL.
Une liste de propriétés configurables s'affiche.
c. Cliquez deux fois sur network.negotiate-auth.delegation-uris pour modifier la propriété.
d. Saisissez l'URL que vous utiliserez pour accéder à la zone de lancement BI.

Par exemple, si l'URL de votre zone de lancement BI est http://ordinateur.domaine.com<:

8080/BOE/BI>, vous devrez saisir http://<ordinateur.domaine.com>.

Remarque
Pour ajouter plusieurs URL, séparez-les par des virgules. Par exemple : http://
<ordinateur.domaine.com>,<ordinateur2.domaine.com> .

e. Cliquez sur OK.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 307
2. Modifiez network.negotiate-auth.trusted-uris
a. Sur l'ordinateur client, ouvrez un navigateur Firefox.
b. Saisissez about:config dans le champ de l'adresse URL.
Une liste de propriétés configurables s'affiche.
c. Cliquez deux fois sur network.negotiate-auth.trusted-uris pour modifier la propriété.
d. Saisissez l'URL que vous utiliserez pour accéder à la zone de lancement BI.
Par exemple, si l'URL de votre zone de lancement BI est http://<ordinateur.domaine.com>:
8080/BOE/BI, vous devrez saisir http://<ordinateur.domaine.com>.

Remarque
Pour ajouter plusieurs URL, séparez-les par des virgules. Par exemple : http://
<ordinateur.domaine.com>,<ordinateur2.domaine.com> .

e. Cliquez sur OK.

3. Fermez et rouvrez la fenêtre de navigateur Firefox pour appliquer ces modifications.
4. Répétez toutes ces étapes pour chaque ordinateur client de la plateforme de BI.

9.4.6.2.8 Test de la connexion unique Vintela pour

l'authentification AD Kerberos

Vous devez tester la configuration de votre connexion unique depuis un poste de travail client. Assurez-vous que
le client est sur le même domaine que votre déploiement de la plateforme de BI et que vous êtes connecté au
poste de travail en tant qu'utilisateur mappé. Ce compte utilisateur doit pouvoir se connecter manuellement à la
zone de lancement BI.

Pour tester la connexion unique, ouvrez un navigateur et saisissez l'URL de la zone de lancement BI. Si la
connexion unique est correctement configurée, vous ne devriez pas être invité à saisir vos références de
connexion.

Conseil
Il est recommandé de tester différents scénarios d'utilisateur AD de votre déploiement. Par exemple, si votre
environnement est destiné à accueillir des utilisateurs de plusieurs systèmes d'exploitation, vous devriez tester
la connexion unique pour des utilisateurs de chaque système. Vous devriez également tester la connexion
unique avec tous les navigateurs pris en charge par votre organisation. Si votre environnement est destiné à
accueillir des utilisateurs de plusieurs forêts ou domaines, vous devriez tester la connexion unique pour un
compte utilisateur de chaque domaine ou forêt.

Business Intelligence Platform Administrator Guide

308 PUBLIC Authentication
9.4.6.2.9 Configuration de Kerberos et d'une connexion
unique à la base de données pour les serveurs
d'applications

La connexion unique à la base de données est prise en charge pour les déploiements répondant à toutes les
exigences suivantes :

● Le déploiement de la plateforme de BI se situe sur un serveur d'applications Web.

● Le serveur d'applications Web a été configuré pour l'authentification AD par connexion unique Vintela.
● La base de données pour laquelle une connexion unique est requise est une version prise en charge de SQL
Server ou Oracle.
● Les groupes ou utilisateurs devant accéder à la base de données doivent disposer de droits d'accès à SQL
Server ou Oracle.

L'étape finale consiste à modifier le fichier krb5.ini afin de prendre en charge la connexion unique à la base de
données pour les applications Web.

9.4.6.2.9.1 Pour activer la connexion unique à la base de

données pour les serveurs d'applications Java

1. Ouvrez le fichier krb5.ini utilisé pour le déploiement de la plateforme de BI.

L'emplacement par défaut de ce fichier est le répertoire WIN du serveur d'applications Web.

Remarque
Si vous ne parvenez pas à localiser ce fichier dans le répertoire WIN, tapez l'argument Java suivant pour
déterminer son emplacement :

-Djava.security.auth.login.config

Cette variable est spécifiée lors de la configuration d'AD avec Kerberos sur le serveur d'applications Web.

2. Accédez à la section [libdefaults] du fichier.

3. Entrez la chaîne suivante avant le début de la section [realms] du fichier :

forwardable=true

4. Enregistrez le fichier et fermez-le.

5. Redémarrez le serveur d'applications Web.

La connexion unique à la base de données ne sera activée que lorsque vous aurez coché la case Contexte de
sécurité de la mémoire cache (obligatoire pour une connexion unique à la base de données) dans la page
d'authentification Windows AD de la CMC.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 309
9.4.6.3 Using SiteMinder

9.4.6.3.1 Utilisation de Windows AD avec SiteMinder

Cette section explique comment utiliser AD et SiteMinder. SiteMinder est un outil tiers qui permet
l'authentification et l'accès des utilisateurs et qui peut être employé avec le plug-in de sécurité AD pour créer une
connexion unique à la plateforme de BI. Vous pouvez utiliser SiteMinder avec Kerberos.

Assurez-vous que les ressources de gestion de l'identité de SiteMinder sont installées et configurées avant de
configurer l'authentification Windows AD en vue d'un fonctionnement avec SiteMinder. Pour en savoir plus sur
SiteMinder et sur son installation, reportez-vous à sa documentation.

Pour activer la connexion unique AD avec SiteMinder, vous devez exécuter deux tâches :

● Configurer le plug-in AD pour la connexion unique avec SiteMinder

● Configurer les propriétés de SiteMinder pour l'application Web BOE

Remarque
Vérifiez que l'administrateur SiteMinder a activé la prise en charge des agents 4.x. Cette activation doit être
effectuée quelle que soit la version SiteMinder prise en charge que vous utilisez. Pour en savoir plus sur la
configuration de SiteMinder, reportez-vous à la documentation relative à SiteMinder.

9.4.6.3.1.1 Activation des propriétés de SiteMinder pour la

zone de lancement BI

Les paramètres de SiteMinder doivent être spécifiés pour le plug-in de sécurité Windows AD, mais aussi pour le
fichier de propriétés war de BOE.

1. Recherchez le répertoire <REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles

\webapps\BOE\WEB-INF\config\custom\ dans l'installation de la plateforme de BI.
2. Créez un fichier dans le répertoire à l'aide de Notepad ou d'un autre éditeur de texte.
3. Dans le nouveau fichier, saisissez les valeurs suivantes :

sso.enabled=true
siteminder.authentication=secWinAD
siteminder.enabled=true

4. Enregistrez le fichier sous le nom global.properties.

Remarque
Vérifiez que le nom de fichier n'est pas enregistré avec une autre extension telle que .txt.

5. Créez un autre fichier dans le même répertoire.

6. Dans le nouveau fichier, saisissez les valeurs suivantes :

authentication.default=secWinAD
cms.default=[cms name]:[CMS port number]

Business Intelligence Platform Administrator Guide

310 PUBLIC Authentication
 Par exemple :

authentication.default=LDAP
cms.default=mycms:6400

7. Enregistrez le fichier sous le nom BIlaunchpad.properties et fermez-le.

Les nouvelles propriétés ne prennent effet qu'après redéploiement de BOE.war sur l'ordinateur exécutant le
serveur d'applications Web. Utilisez WDeploy pour redéployer le fichier WAR sur le serveur d'applications Web.
Pour en savoir plus sur l'utilisation de WDeploy pour annuler le déploiement d'applications Web, voir le Guide de
déploiement d'applications Web de la plateforme SAP BusinessObjects Business Intelligence.

9.4.6.3.1.2 Configuration des paramètres SiteMinder dans la

CMC

Avant de configurer la CMC pour SiteMinder, vous devez respecter les actions pré-requises suivantes :

● Vous avez mappé les groupes d'utilisateurs AD à la plateforme de BI.

● Vous avez testé les références de connexion AD sur le CCM.

1. Accédez à la zone de gestion Authentification de la CMC.

2. Cliquez deux fois sur Windows AD.
3. Cochez la case Activer Windows Active Directory (AD).
4. Sous Options d'authentification, sélectionnez Utiliser l'authentification NTLM ou Utiliser l'authentification
Kerberos.
Pour configurer la plateforme de BI pour l'authentification Kerberos et AD à l'aide de Kerberos, vous devez
avoir un compte de service. Vous pouvez utiliser un compte de domaine existant ou en créer un nouveau. Le
compte de service sera utilisé pour exécuter les serveurs de la plateforme de BI.

Conseil
En cas de connexion manuelle à la zone de lancement BI, les utilisateurs issus d'autres domaines doivent
faire suivre leur nom d'utilisateur du nom du domaine en majuscules. Par exemple, dans
[email protected], « DOMAINEENFANT.PARENT.COM » est le domaine.

5. Si vous avez sélectionné Utiliser l'authentification Kerberos :

a. Si vous souhaitez configurer une connexion unique à une base de données, sélectionnez Contexte de
sécurité de la mémoire cache.
b. Supprimez toutes les informations de la zone Nom principal du service.
6. Pour configurer une connexion unique, sélectionnez Activer la connexion unique pour le mode
d'authentification sélectionné.
Vous devez également configurer les propriétés générales de l'application Web BOE et de la zone de
lancement BI pour activer la connexion unique.
7. Dans la zone Synchronisation des références de connexion, sélectionnez une option pour activer et mettre à
jour les références de connexion à la source de données de l'utilisateur AD au moment de la connexion.
Cette option synchronise la source de données avec les références de connexion actuelles de l'utilisateur.
8. Dans la zone Options de SiteMinder, configurez SiteMinder comme option de connexion unique pour
l'authentification AD avec Kerberos :

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 311
 a. Cliquez sur Désactivé.

La page Windows Active Directory apparaît.

Si vous n'avez pas configuré le plug-in Windows AD, un avertissement apparaît et demande si vous
souhaitez continuer. Cliquez sur OK.
b. Cliquez sur Utiliser la connexion unique SiteMinder.
c. Dans la zone Hôte serveur de règles, saisissez le nom de chaque serveur de règles, puis cliquez sur
Ajouter.
d. Pour chaque hôte serveur de règles, saisissez un numéro de port dans les zones Comptabilisation,
Authentification et Autorisation.
e. Dans la zone Nom de l'agent, saisissez le nom d'agent.
f. Dans les zones Secret partagé, saisissez le secret partagé.
Vérifiez que l'administrateur SiteMinder a activé la prise en charge des agents 4.x, quelle que soit la
version de SiteMinder que vous utilisez. Pour en savoir plus sur SiteMinder et sur son installation, voir sa
documentation.
g. Cliquez sur Mettre à jour pour enregistrer et revenir à la page principale d'authentification AD.
9. Dans la zone Options d'alias AD, indiquez comment les nouveaux alias sont ajoutés et mis à jour sur la
plateforme de BI.
a. Dans la zone Options de nouvel alias, sélectionnez le mode de mappage des nouveaux alias aux comptes
Enterprise :
○ Affecter chaque nouvel alias AD à un compte utilisateur existant portant le même nom
Sélectionnez cette option si des utilisateurs possèdent un compte Enterprise portant le même nom ;
en d'autres termes, les alias AD seront affectés aux utilisateurs existants (la création automatique
d'alias est activée). Les utilisateurs dépourvus de compte Enterprise, ou ne portant pas le même nom
dans leurs comptes Enterprise et AD, sont ajoutés en tant que nouveaux utilisateurs.
○ Créer un nouveau compte utilisateur pour chaque nouvel alias AD
Sélectionnez cette option pour créer un nouveau compte pour chaque utilisateur.
b. Dans Options de mise à jour des alias, sélectionnez le mode de gestion des mises à jour d'alias pour les
comptes Enterprise :
○ Créer de nouveaux alias lors de la mise à jour des alias
Sélectionnez cette option pour créer automatiquement un alias pour chaque utilisateur AD mappé à
la plateforme de BI. De nouveaux comptes AD sont ajoutés pour les utilisateurs dépourvus de compte
pour la plateforme de BI ou pour tous les utilisateurs si vous avez sélectionné l'option Créer un
nouveau compte utilisateur pour chaque nouvel alias AD et cliqué sur Mettre à jour.
○ Créer de nouveaux alias uniquement lorsque l'utilisateur se connecte
Sélectionnez cette option si l'annuaire AD que vous mappez contient de nombreux utilisateurs dont
seulement quelques-uns utiliseront la plateforme de BI. La plateforme ne crée pas automatiquement
d'alias et de comptes Enterprise pour tous les utilisateurs. Il crée plutôt des alias (et des comptes, le
cas échéant) uniquement pour les utilisateurs qui se connectent à la plateforme de BI.
c. Dans la zone Options de nouvel utilisateur, sélectionnez le mode de création des utilisateurs :
○ Les nouveaux utilisateurs sont créés en tant qu'utilisateurs nommés
Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences Utilisateurs
nommés. Les licences Utilisateur nommé sont associées à des utilisateurs particuliers et permettent
d'accéder au système en saisissant un nom d'utilisateur et un mot de passe. Ainsi, les utilisateurs
nommés peuvent accéder au système, quel que soit le nombre de personnes connectées. Il faut
qu'une licence Utilisateurs nommés soit disponible pour chaque compte d'utilisateur créé à l'aide de
cette option.

Business Intelligence Platform Administrator Guide

312 PUBLIC Authentication
 Remarque
Le nombre de sessions ouvertes simultanément est limité à 10 pour un utilisateur nommé créé à
l'aide d'une licence Utilisateur nommé. Si un tel utilisateur nommé essaie de se connecter à une
11ème session simultanée, le système affiche un message d'erreur correspondant. Vous devez
libérer une des sessions existantes pour pouvoir vous connecter.

Cependant, le nombre de sessions ouvertes simultanément n'est pas limité pour un utilisateur
créé à l'aide d'une licence Processeur et d'une licence Document public.

○ Les nouveaux utilisateurs sont créés en tant qu'utilisateurs simultanés

Les nouveaux comptes d'utilisateur sont configurés de manière à utiliser des licences Utilisateur
simultané. Les licences d'accès simultanés spécifient le nombre d'utilisateurs pouvant se connecter
en même temps à la plateforme de BI. Cette licence est tout à fait adaptée dans la mesure où elle
peut accepter de nombreux utilisateurs. Par exemple, suivant la fréquence et la durée des connexions
des utilisateurs au système, une licence pour 100 utilisateurs simultanés peut prendre en charge 250,
500 ou 700 utilisateurs.
10. Pour configurer le mode de planification des mises à jour d'alias AD, cliquez sur Planifier.
a. Dans la boîte de dialogue Planifier, sélectionnez une récurrence dans la liste Exécuter l'objet.
b. Définissez les autres options et paramètres de planification selon vos besoins.
c. Cliquez sur Planifier.
Lorsque la mise à jour des alias se produit, les informations sur le groupe sont également mises à jour.
11. Dans la zone Options de liaison d'attributs, spécifiez la priorité de liaison d'attributs pour le plug-in AD :
a. Cochez la case Importer le nom complet, l'adresse électronique et d'autres attributs.
Les noms complets et les descriptions utilisés dans les comptes AD sont importés et stockés avec les
objets utilisateur sur la plateforme de BI.
b. Spécifiez une option pour Rendre la liaison d'attributs AD prioritaire par rapport aux autres liaisons
d'attributs.
Si l'option est définie sur 1, les attributs AD sont prioritaires lorsqu'AD et les autres plug-ins (LDAP et
SAP) sont activés. Si l'option est définie sur 3, les attributs des autres plug-ins sont prioritaires. Les
liaisons doivent être définies sur des valeurs différentes. La définition de plusieurs plug-ins
d'authentification sur la même valeur de liaison conduit à des résultats inattendus.
12. Dans la zone Options du groupe AD, configurez les mises à jour du groupe AD :
a. Cliquez sur Planifier.
La boîte de dialogue Planifier s'affiche.
b. Sélectionnez une récurrence dans la liste Exécuter l'objet.
c. Définissez les autres options et paramètres de planification selon vos besoins.
d. Cliquez sur Planifier.
Le système planifie la mise à jour et l'exécute conformément à la planification que vous avez définie. La
prochaine mise à jour planifiée pour les comptes du groupe AD est affichée sous Options du groupe AD.
13. Dans la zone Mise à jour d'AD à la demande, sélectionnez une option pour indiquer si les groupes ou
utilisateurs AD doivent être mis à jour lorsque vous cliquez sur Mettre à jour :

○ Mettre à jour les groupes AD maintenant

Sélectionnez cette option pour démarrer la mise à jour de tous les groupes AD planifiés lorsque vous
cliquez sur Mettre à jour. La prochaine mise à jour planifiée du groupe AD est répertoriée sous Options du
diagramme de groupe AD.
○ Mettre à jour les alias et les groupes AD maintenant

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 313
 Sélectionnez cette option pour démarrer la mise à jour de tous les alias utilisateur et groupes AD planifiés
lorsque vous cliquez sur Mettre à jour. Les prochaines mises à jour planifiées sont répertoriées sous
Options du groupe AD et Options d'alias AD.
○ Ne pas mettre à jour les alias et les groupes AD maintenant
Aucun alias utilisateur ou groupe AD ne sera mis à jour lorsque vous cliquerez sur Mettre à jour.
14. Cliquez sur Mettre à jour, puis sur OK.

9.4.6.3.1.3 Pour désactiver SiteMinder

Si vous souhaitez empêcher la configuration de SiteMinder ou le désactiver après sa configuration dans la CMC,
modifiez le fichier de configuration Web pour la zone de lancement BI.

9.4.6.3.1.3.1 Désactivation de SiteMinder pour les clients Java

Les paramètres de SiteMinder doivent être désactivés pour le plug-in de sécurité Windows AD, mais aussi pour le
fichier war BOE sur le serveur d'applications Web.

1. Accédez au répertoire suivant de votre installation de la plateforme de BI :

<REPINSTALL>\SAP BusinessObjects Enterprise XI 4.0\warfiles\webapps\BOE\WEB-INF
\config\custom\
2. Ouvrez le fichier global.properties.
3. Passez siteminder.enabled à false

siteminder.enabled=false

4. Enregistrez les modifications et fermez le fichier.

La modification ne prend effet qu'après redéploiement de BOE.war sur l'ordinateur exécutant le serveur
d'applications Web. Utilisez WDeploy pour redéployer le fichier WAR sur le serveur d'applications Web. Pour en
savoir plus sur l'utilisation de WDeploy pour annuler le déploiement d'applications Web, voir le Guide de
déploiement d'applications Web de la plateforme SAP BusinessObjects Business Intelligence.

9.4.7 Troubleshooting Windows AD authentication

9.4.7.1 Dépannage de votre configuration

Ces deux procédures peuvent vous aider si vous rencontrez des difficultés lors de la configuration de Kerberos :

● Activation de la journalisation
● Test de la configuration Kerberos du SDK Java

Business Intelligence Platform Administrator Guide

314 PUBLIC Authentication
9.4.7.1.1 Pour activer la journalisation

1. Dans le menu Démarrer, sélectionnez Programmes >Tomcat > Configuration Tomcat.

2. Cliquez sur l'onglet Java.
3. Ajoutez les options suivantes :

-Dcrystal.enterprise.trace.configuration=verbose
-sun.security.krb5.debug=true

Vous créez ainsi un fichier journal à l'emplacement suivant :

C:\Documents and Settings\<user name>\.businessobjects\jce_verbose.log

9.4.7.1.2 Pour tester la configuration Kerberos

Exécutez la commande suivante pour tester la configuration Kerberos, servant correspondant au compte de
service et au domaine sous lesquels s'exécute le CMS et Password au mot de passe associé au compte de
service.

<RépInstall>\SAP BusinessObjects Enterprise XI 4.0\win64_64\jdk\bin

\[email protected] Password

Par exemple :

C:\Program Files\SAP BusinessObjects\

SAP BusinessObjects Enterprise XI 4.0\win64_64\jdk\bin\
[email protected] Password

Votre domaine et votre nom de service principal doivent correspondre exactement à ceux d'Active Directory. Si le
problème persiste, contrôlez si vous avez saisi le même nom. Pensez que le nom est sensible à la casse.

9.4.7.1.3 Echec de la connexion dû à des noms UPN et SAM

différents dans AD

L'ID Active Directory d'un utilisateur a été correctement mappé à la plateforme de BI. Malgré cela, l'utilisateur ne
peut pas se connecter à la CMC ou à la zone de lancement BI avec l'authentification Windows AD et Kerberos au
format suivant : DOMAIN\ABC123

Ce problème peut se produire lorsque l'utilisateur est configuré dans Active Directory avec un nom UPN et un
nom SAM qui ne sont pas exactement identiques. Les exemples suivants peuvent causer un problème :

● Le nom UPN est [email protected] mais le nom SAM est DOMAIN\ABC123.

● Le nom UPN est jsmith@company mais le nom SAM est DOMAIN\johnsmith.

Il y a deux façons de traiter ce problème :

● Demandez aux utilisateurs de se connecter à l'aide de leurs noms UPN plutôt que de leurs noms SAM.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 315
● Vérifiez que le nom de compte SAM et le nom UPN sont identiques.

9.4.7.1.4 Erreur de pré-authentification

Un utilisateur qui a pu se connecter au préalable ne parvient plus à le faire. Il obtient le message d'erreur suivant :
Informations de compte non reconnues. Les journaux d'erreur Tomcat font état de l'erreur suivante : "Pre-
authentication information was invalid (24)" (Informations de pré-authentification non valides).

Ceci peut se produire lorsque la base de données d'utilisateurs Kerberos n'a pas été mise à jour après un
changement d'UPN dans AD. Ceci peut également indiquer que la base de données d'utilisateurs Kerberos et les
informations AD ne sont pas synchronisées.

Pour résoudre ce problème, réinitialisez le mot de passe de l'utilisateur dans AD. Ainsi, les modifications seront
correctement diffusées.

Remarque
Ce problème n'en est pas un dans J2SE 5.0.

9.5 SAP authentication

9.5.1 Configuration de l'authentification SAP

Cette section explique comment configurer l'authentification de la plateforme de BI pour votre environnement
SAP.

L'authentification SAP permet aux utilisateurs SAP de se connecter à la plateforme de BI à l'aide de leurs noms
d'utilisateur et mots de passe SAP, sans stocker les mots de passe sur la plateforme de BI. Elle permet également
de conserver les informations relatives aux rôles utilisateur dans SAP, et d'utiliser ces informations sur la
plateforme pour affecter des droits permettant d'effectuer des tâches administratives ou d'accéder au contenu.

Accès à l'application d'authentification SAP

Vous devez fournir à la plateforme de BI des informations sur votre système SAP. Vous pouvez accéder à une
application Web dédiée via l'outil d'administration principal de la plateforme de BI, la Central Management
Console (CMC). Pour y accéder depuis la page d'accueil de la CMC, cliquez sur Authentification.

Authentification des utilisateurs SAP

Les plug-ins de sécurité développent et personnalisent la manière dont la plateforme de BI authentifie les
utilisateurs. La fonction Authentification SAP inclut un plug-in de sécurité SAP (secSAPR3.dll) pour le

Business Intelligence Platform Administrator Guide

316 PUBLIC Authentication
composant CMS (Central Management Server) de la plateforme de BI. Ce plug-in de sécurité SAP offre plusieurs
avantages clés :

● Il agit comme un fournisseur d'authentification qui compare les références de connexion de l'utilisateur à
celles du système SAP pour le compte du CMS. Lorsque les utilisateurs se connectent directement à la
plateforme de BI, ils peuvent choisir l'authentification SAP et fournir leurs nom d'utilisateur et mot de passe
SAP habituels. La plateforme de BI peut également valider les tickets de connexion du portail Enterprise dans
les systèmes SAP.
● Cela facilite la création de compte en permettant de mapper les rôles de SAP aux groupes d'utilisateurs de la
plateforme de BI, ainsi que la gestion des comptes en permettant d'affecter des droits aux utilisateurs et aux
groupes de manière cohérente au sein de la plateforme de BI.
● Il tient à jour les listes de rôles SAP de façon dynamique. Ainsi, lorsque vous mappez un rôle SAP sur la
plateforme, tous les utilisateurs appartenant à ce rôle peuvent se connecter au système. Si, par la suite, vous
modifiez l'appartenance au rôle SAP, vous n'avez pas besoin de mettre à jour ou d'actualiser la liste sur la
plateforme de BI.
● Le composant d'authentification SAP comprend une application Web pour la configuration du plug-in. Vous
pouvez accéder à cette application dans la zone Authentification de la CMC (Central Management Console).

9.5.2 Création d'un compte utilisateur pour la plateforme de BI

Le système de la plateforme de BI requiert un compte utilisateur SAP autorisé à accéder aux listes
d'appartenance aux rôles SAP et à authentifier les utilisateurs SAP. Vous avez besoin des références de
connexion pour connecter la plateforme de BI à votre système SAP. Pour en savoir plus sur la manière de créer
des comptes utilisateur SAP et d'affecter des droits via les rôles, consultez votre documentation SAP BW.

Utilisez la transaction SU01 pour créer un nouveau compte d'utilisateur SAP appelé CRYSTAL. Utilisez la
transaction PFCG pour créer un nouveau rôle appelé CRYSTAL_ENTITLEMENT. Notez que ces noms sont
recommandés mais pas obligatoires. Modifiez l'autorisation du nouveau rôle en définissant les valeurs des objets
d'autorisation suivants :

Table 46 :

Objet d'autorisation Champ Valeur

Autorisation d'accès aux fichiers (S_DA­ Activité (ACTVT) Lecture, écriture (33, 34)
TASET)
Nom de fichier physique (FILENAME) * (signifie TOUS)

Nom de programme ABAP (PROGRAM) *

Contrôle des autorisations pour accès Activité (ACTVT) 16

RFC (S_RFC)
Nom de RFC à protéger (RFC_NAME) BDCH, STPA, SUSO, BDL5, SUUS,
SU_USER, SYST, SUNI, RFC1, SDIFRUN­
TIME, PRGN_J2EE, /CRYSTAL/SECU­
RITY

Type d'objet RFC à protéger Groupe de fonctions (FUGR)

(RFC_TYPE)

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 317
Objet d'autorisation Champ Valeur

Maintenance principale des utilisateurs : Activité (ACTVT) Créer ou générer, et afficher (03)
Groupes d'utilisateurs (S_USER_GRP)
Groupe d'utilisateurs dans maintenance *
du fichier utilisateur (CLASS)
Remarque
Pour plus de sécurité, vous pouvez
répertorier explicitement les groupes
d'utilisateurs dont les membres doi­
vent accéder à la plateforme de BI.

Enfin, ajoutez l'utilisateur CRYSTAL au rôle CRYSTAL_ENTITLEMENT.

Conseil
Si les règles de votre système exigent que les utilisateurs modifient leur mot de passe à la première ouverture
de session, ouvrez une session avec le compte utilisateur CRYSTAL et redéfinissez le mot de passe.

9.5.3 Connexion aux systèmes d'autorisation de SAP

Avant d'importer des rôles ou de publier du contenu BW dans la plateforme de BI, vous devez fournir des
informations sur les systèmes d'autorisation SAP auxquels vous souhaitez vous intégrer. La plateforme de BI
utilise ces informations pour se connecter au système SAP cible lors de la définition de l'appartenance aux rôles et
de l'authentification des utilisateurs SAP.

9.5.3.1 Ajout d'un système d'autorisation SAP

1. Accédez à la zone de gestion Authentification de la CMC.

2. Cliquez deux fois sur le lien SAP.

Les paramètres des systèmes d'autorisation s'affichent.

Conseil
Si un système d'autorisation est déjà affiché dans la liste Nom du système logique, cliquez sur Nouveau.

3. Dans le champ Système, saisissez les trois caractères de l'identifiant de votre système SAP (SID).
4. Dans le champ Client, saisissez le numéro de client que la plateforme de BI doit utiliser lorsqu'elle se connecte
à votre système SAP.
La plateforme de BI associe vos informations Système et Client, puis ajoute une entrée à la liste Nom du
système logique.
5. Vérifiez que la case Désactivé est décochée.

Business Intelligence Platform Administrator Guide

318 PUBLIC Authentication
 Remarque
La case à cocher Désactivé permet d'indiquer à la plateforme de BI qu'un système SAP particulier est
momentanément indisponible.

6. Le cas échéant, remplissez les champs Serveur de messagerie et Groupe de connexion si vous avez configuré
l'équilibrage de charge pour que la plateforme de BI se connecte via un serveur de messagerie.

Remarque
Vous devez définir les entrées appropriées dans le fichier Services de l'ordinateur de votre plateforme de
BI pour activer l'équilibrage de charge, en particulier si le déploiement est effectué sur plusieurs
ordinateurs. Prenez en compte les ordinateurs qui hébergent le CMS, le serveur d'applications Web et tous
les ordinateurs qui gèrent vos comptes et paramètres d'authentification.

7. Si vous n'avez pas configuré l'équilibrage de charge (ou si vous préférez que la plateforme de BI se connecte
directement au système SAP), renseignez les champs Serveur d'applications et Numéro du système selon les
besoins.
8. Dans les champs prévus à cet effet, saisissez le Nom d'utilisateur, le Mot de passe et la Langue du compte
SAP que doit utiliser la plateforme de BI pour se connecter à SAP.

Remarque
Ces références de connexion doivent correspondre au compte utilisateur que vous avez créé pour la
plateforme de BI.

9. Cliquez sur Mettre à jour.

Si vous ajoutez plusieurs systèmes d'autorisation, cliquez sur l'onglet Options pour spécifier le système que la
plateforme de BI utilise par défaut (c'est-à-dire le système contacté pour authentifier les utilisateurs qui tentent
de se connecter avec des références de connexion SAP mais sans spécifier un système SAP particulier).

9.5.3.2 Pour vérifier qu'un système d'autorisation a été

correctement ajouté

1. Cliquez sur l'onglet Importation de rôle.

2. Sélectionnez le système d'autorisation approprié dans la liste Nom de système logique.

Si celui-ci a été correctement ajouté, la liste Rôles disponibles contient la liste des rôles que vous pouvez
importer.

Conseil
Si la liste .Rôles disponibles ne contient aucun rôle, recherchez les éventuels messages d'erreur sur la page
Vous y trouverez peut-être les informations nécessaires pour résoudre le problème.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 319
9.5.3.3 Pour désactiver temporairement une connexion à un
système d'autorisation SAP

Dans la CMC, vous pouvez désactiver temporairement une connexion entre la plateforme de BI et un système
d'autorisation SAP. Cette opération peut s'avérer utile pour maintenir la réactivité de la plateforme de BI, par
exemple lors du temps d'arrêt planifié d'un système d'autorisation SAP.

1. Dans la CMC, accédez à la zone de gestion Authentification.

2. Cliquez deux fois sur le lien SAP.
3. Dans la liste Nom de système logique, sélectionnez le système à désactiver.
4. Cochez la case Désactivé.
5. Cliquez sur Mettre à jour.

9.5.4 Définition des options d'authentification SAP

L'authentification SAP comprend un certain nombre d'options que vous pouvez spécifier lors de l'intégration de la
plateforme de BI à votre système SAP. Les options incluent :

● Activation ou désactivation de l'authentification SAP

● Spécification des paramètres de connexion
● Mise en relation des utilisateurs importés aux modèles de licence de la plateforme de BI.
● Configuration de la connexion unique dans le système SAP

9.5.4.1 Pour définir les options d'authentification SAP

1. Accédez à la zone de gestion Authentification de la CMC.

2. Cliquez deux fois sur le lien SAP, puis cliquez sur l'onglet Options.
3. Examinez et modifiez les paramètres suivants en fonction de vos besoins :

Paramètre Description

Activer l'authentification SAP Décochez cette case pour désactiver l'authentification

SAP.

Remarque
Pour désactiver l'authentification SAP d'un système
SAP spécifique, cochez la case Désactivé du système en
question dans l'onglet Système d'autorisation.

Racine du dossier Contenu Spécifiez l'emplacement où la plateforme de BI doit

commencer à dupliquer la structure des dossiers BW dans
la CMC et dans la zone de lancement BI.

Business Intelligence Platform Administrator Guide

320 PUBLIC Authentication
 Paramètre Description

Par défaut, il s'agit du dossier /SAP/2.0, mais vous

pouvez indiquer un autre dossier. Si vous le souhaitez,
vous pouvez modifier la valeur dans la CMC et dans le
Workbench d'administration de contenu.

Système par défaut Sélectionnez un système d'autorisation SAP pour la

plateforme de BI à contacter pour authentifier les
utilisateurs qui essayent de se connecter avec des
références de connexion SAP mais sans indiquer de
système SAP.

Remarque
Si vous sélectionnez un système par défaut, les
utilisateurs de ce système n'ont pas à saisir leur ID
système ou client lorsqu'ils se connectent à partir
d'outils client tels que Live Office ou Universe Designer
à l'aide de l'authentification SAP. Par exemple, si
SYS~100 est défini comme système par défaut,
SYS~100/utilisateur1 peut se connecter comme
utilisateur1 lorsque l'authentification SAP est
sélectionnée.

Nombre maximal d'échecs d'accès au système Saisissez le nombre de fois que la plateforme de BI doit
d'autorisation essayer de contacter un système SAP pour satisfaire les
demandes d'authentification.

Lorsque vous définissez la valeur sur -1, la plateforme peut

tenter de contacter indéfiniment le système d'autorisation.
Lorsque vous définissez la valeur sur 0, la plateforme de BI
n'a droit qu'à une seule tentative d'accès au système
d'autorisation.

Remarque
Utilisez ce paramètre avec l'option Laisser le système
d'autorisation désactivé [secondes] pour configurer la
façon dont la plateforme de BI doit gérer les systèmes
d'autorisation SAP qui sont momentanément
indisponibles. Le système utilise les deux options pour
déterminer à quel moment les communications avec les
systèmes SAP indisponibles doivent être interrompues
puis reprises.

Laisser le système d'autorisation désactivé [secondes] Saisissez le nombre de secondes pendant lesquelles la
plateforme de BI doit attendre avant de reprendre les
tentatives d'authentification des utilisateurs dans le
système SAP.

Par exemple, si vous saisissez la valeur 3 pour Nombre

maximal d'échecs d'accès au système d'autorisation, la
plateforme de BI ne permet que trois tentatives (non

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 321
 Paramètre Description

abouties) pour authentifier les utilisateurs sur un système

SAP spécifique. Après une quatrième tentative non
aboutie, le système interrompt ses tentatives
d'authentification des utilisateurs pour ce système durant
le nombre de secondes indiqué.

Nombre maximal de connexions simultanées par système Indiquez le nombre maximal de connexions qui peuvent
être ouvertes simultanément sur votre système SAP.

Par exemple, si vous saisissez 2, la plateforme de BI garde

deux connexions ouvertes sur SAP.

Nombre d'utilisations par connexion Indiquez le nombre d'opérations que vous autorisez par
connexion au système SAP.

Par exemple, si l'option Nombre maximal de connexions

simultanées par système est définie sur 2 et que l'option
Nombre d'utilisations par connexion est définie sur 3, la
plateforme de BI ferme et redémarre cette connexion
lorsque trois sessions se trouvent sur une connexion.

Utilisateurs simultanés et Utilisateurs nommés Indiquez si les comptes des nouveaux utilisateurs utilisent
des licences Utilisateur nommé ou utilisateur simultané.

Les licences d'accès simultanés spécifient le nombre

d'utilisateurs pouvant se connecter en même temps à la
plateforme de BI. Cette licence est tout à fait adaptée car
un petit nombre de licences peut accepter de nombreux
utilisateurs. Par exemple, suivant la fréquence et la durée
des connexions des utilisateurs au système, une licence
pour 100 utilisateurs simultanés peut prendre en charge
250, 500 ou 700 utilisateurs.

Les licences Utilisateur nommé sont associées à des

utilisateurs qui peuvent accéder au système en saisissant
un nom d'utilisateur et un mot de passe. Ainsi, les
utilisateurs nommés peuvent accéder au système, quel
que soit le nombre de personnes connectées.

Remarque
Le nombre de sessions ouvertes simultanément est
limité à 10 pour un utilisateur nommé créé à l'aide d'une
licence Utilisateur nommé. Si un tel utilisateur nommé
essaie de se connecter à une 11ème session simultanée,
le système affiche un message d'erreur correspondant.
Vous devez libérer une des sessions existantes pour
pouvoir vous connecter.

Cependant, le nombre de sessions ouvertes

simultanément n'est pas limité pour un utilisateur créé

Business Intelligence Platform Administrator Guide

322 PUBLIC Authentication
 Paramètre Description

à l'aide d'une licence Processeur et d'une licence

Document public.

Remarque
L'option que vous sélectionnez ici ne change ni le
nombre, ni le type des licences utilisateur installées
dans la plateforme de BI. Vous devez disposer des
licences adéquates sur votre système.

Importer le nom complet, l'adresse électronique et d'autres Spécifiez un niveau de priorité pour le plug-in
attributs d'authentification SAP.

Les noms complets et les descriptions des comptes SAP

sont importés et stockés avec les objets utilisateur dans la
plateforme de BI.

Rendre la liaison d'attributs SAP prioritaire par rapport aux Spécifie une priorité pour la liaison des attributs utilisateur
autres liaisons d'attributs SAP (nom complet et adresse électronique).

Si l'option est définie sur 1, les attributs SAP sont

prioritaires dans les scénarios où SAP et les autres plug-ins
(Windows AD et LDAP) sont activés. Si l'option est définie
sur 3, les attributs des autres plug-ins sont prioritaires. Les
liaisons doivent être définies sur des valeurs différentes. La
définition de plusieurs plug-ins d'authentification sur la
même valeur de liaison conduit à des résultats inattendus.

Définissez les options suivantes pour configurer le service de connexion unique SAP :

Paramètre Description

ID système Identificateur système fourni par la plateforme de BI au

système SAP lors de l'exécution du service de connexion
unique SAP.

Parcourir Cliquez pour télécharger le fichier de stockage des

clés généré pour permettre la connexion unique SAP.
Vous pouvez aussi saisir manuellement le chemin complet
du fichier.

Mot de passe du stockage de clés Fournissez le mot de passe requis pour accéder au fichier
de stockage de clés.

Mot de passe de la clé privée Fournissez le mot de passe requis pour accéder au
certificat correspondant au fichier de stockage de
clés. Le certificat est stocké sur le système SAP

Alias de clé privée Fournissez l'alias requis pour accéder au fichier de

stockage de clés.

4. Cliquez sur Mettre à jour.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 323
9.5.4.2 Pour modifier la racine du dossier Contenu
1. Accédez à la zone de gestion Authentification de la CMC.
2. Cliquez deux fois sur le lien SAP.
3. Cliquez sur Options et saisissez le nom du dossier dans le champ Racine du dossier Contenu.
Le nom du dossier que vous saisissez ici correspond au dossier à partir duquel la plateforme de BI doit
commencer à dupliquer la structure des dossiers BW.
4. Cliquez sur Mettre à jour.
5. Dans le Workbench d'administration de contenu BW, développez Système Enterprise.
6. Développez Systèmes disponibles, puis cliquez deux fois sur le système auquel la plateforme de BI se
connecte.
7. Cliquez sur l'onglet Disposition, puis dans Dossier de base de contenu, saisissez le dossier que vous voulez
utiliser comme dossier SAP racine dans la plateforme de BI (par exemple, /SAP/2.0/) .

9.5.5 Importation de rôles SAP

En important des rôles SAP dans la plateforme de BI, vous permettez aux membres correspondants de se
connecter au système avec leurs références de connexion SAP habituelles. De plus, la connexion unique est
activée, de sorte que les utilisateurs SAP puissent être automatiquement connectés à la plateforme de BI
lorsqu'ils accèdent aux rapports à partir de l'interface utilisateur SAP ou d'un portail SAP Enterprise Portal.

Remarque
L'activation de la connexion unique repose bien souvent sur de nombreux préalables. Certains peuvent
concerner l'utilisation d'un pilote et d'une application compatibles avec cette fonction, ainsi que la certitude
que votre serveur et le serveur Web font partie du même domaine.

Pour chaque rôle importé, la plateforme de BI génère un groupe. Chaque groupe est nommé en respectant la
convention suivante : <IDSystème~NuméroClient@NomDuRôle>. Vous pouvez afficher les nouveaux groupes
dans la zone de gestion Utilisateurs et groupes de la CMC. Vous pouvez également utiliser ces groupes pour
définir la sécurité des objets dans la plateforme de BI.

Tenez compte de trois catégories principales d'utilisateurs lors de la configuration de la plateforme de BI pour une
publication et lors de l'importation de rôles vers le système :

● Administrateurs de la plateforme de BI
Les administrateurs Enterprise configurent le système pour publier du contenu à partir de SAP. Ils importent
les rôles appropriés, créent les dossiers nécessaires et affectent des droits à ces rôles et dossiers dans la
plateforme de BI.
● Editeurs de contenu
Les éditeurs de contenu sont les utilisateurs autorisés à publier le contenu dans les rôles. L'objectif de cette
catégorie d'utilisateurs est de séparer les membres des rôles standard de ces utilisateurs autorisés à publier
des rapports.
● Membres de rôle
Les membres de rôle sont des utilisateurs appartenant aux rôles « portant le contenu ». En d'autres termes,
ces utilisateurs appartiennent aux rôles vers lesquels les rapports sont publiés. Ils disposent des droits de
visualisation, de visualisation à la demande et de planification pour les rapports publiés vers les rôles dont ils

Business Intelligence Platform Administrator Guide

324 PUBLIC Authentication
 sont membres. Toutefois, les membres de rôle standard ne peuvent ni publier de nouveaux contenus, ni
publier des versions de contenu mises à jour.

Vous devez importer tous les rôles de publication de contenu ou ayant trait au contenu dans la plateforme de BI
avant d'effectuer la première publication.

Remarque
Nous vous recommandons fortement de distinguer les activités des rôles. Par exemple, alors qu'il est possible
de réaliser une publication à partir du rôle d'un administrateur, il est préférable de publier uniquement à partir
de rôles d'éditeurs de contenu. En outre, la fonction des rôles de publication de contenu consiste uniquement à
définir les utilisateurs pouvant publier du contenu. Ainsi, les rôles de publication de contenu ne doivent pas
contenir de contenu ; les éditeurs de contenu doivent publier vers des rôles portant le contenu qui sont
accessibles aux membres de rôle standard.

9.5.5.1 Pour importer des rôles SAP

1. Accédez à la zone de gestion Authentification de la CMC.

2. Cliquez deux fois sur le lien SAP.
3. Dans l'onglet Options, sélectionnez Utilisateurs simultanés ou Utilisateurs nommés selon votre contrat de
licence.
Cette option ne change ni le nombre, ni le type des licences utilisateur que vous avez installées dans la
plateforme de BI. Vous devez disposer des licences adéquates sur votre système.
4. Cliquez sur Mettre à jour.
5. Dans l'onglet Importation de rôle, sélectionnez le système d'autorisation approprié dans la liste Nom de
système logique.
6. Dans la zone Rôles disponibles, sélectionnez le ou les rôles que vous souhaitez importer, puis cliquez sur
Ajouter.
7. Cliquez sur Mettre à jour.

9.5.5.2 Pour vérifier que les rôles et les utilisateurs ont été
importés correctement

Avant de commencer cette procédure, notez le nom d'utilisateur et le mot de passe d'un utilisateur SAP qui
appartient à l'un des rôles que vous avez mappés à la plateforme de BI.

1. Pour la zone de lancement BI Java, accédez à http://<serveurWeb>:<numéroport>/BOE/BI.

Remplacez <serveurWeb> par le nom du serveur Web et <numérodeport> par le numéro de port de la
plateforme de BI. Il vous faudra peut-être demander à votre administrateur le nom du serveur Web, le numéro
de port ou l'URL exacte à saisir.
2. Dans la liste Type d'authentification, sélectionnez SAP.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 325
 Remarque
Par défaut, la liste Type d'authentification est masquée dans la zone de lancement BI. Si la liste n'est pas
visible, demandez à votre administrateur système d'activer la liste Type d'authentification dans le fichier
BIlaunchpad.properties puis redémarrez le serveur de l'application.

3. Saisissez le système SAP et le client système auxquels vous souhaitez vous connecter.
4. Saisissez le nom d'utilisateur et le mot de passe d'un utilisateur mappé.
5. Cliquez sur Connexion.

Vous êtes connecté à la Zone de lancement BI en tant qu'utilisateur sélectionné.

9.5.5.3 Mise à jour des rôles et des utilisateurs SAP

Une fois l'authentification SAP activée, il est nécessaire de planifier et d'exécuter des mises à jour régulières sur
les rôles mappés qui ont été importés dans la plateforme de BI. Cela garantira que les informations des rôles SAP
sont reflétées avec précision dans la plateforme de BI.

Il existe deux options pour l'exécution et la planification des mises à jour de rôles SAP :

● Mettre à jour les rôles uniquement : cette option permet uniquement de mettre à jour les liens entre les rôles
actuellement mappés qui ont été importés dans la plateforme de BI. Nous vous recommandons d'utiliser
cette option si vous avez l'intention d'exécuter des mises à jour fréquentes et que vous êtes préoccupé par
l'utilisation des ressources système. Aucun nouveau compte utilisateur ne sera créé si vous effectuez
uniquement une mise à jour des rôles SAP.
● Mettre à jour les rôles et les alias : cette option permet non seulement de mettre à jour les liens entre les rôles,
mais aussi de créer des comptes utilisateur dans la plateforme de BI pour les alias utilisateur ajoutés à des
rôles dans le système SAP.

Remarque
Si vous n'avez pas spécifié de créer automatiquement des alias utilisateur pour les mises à jour lors de
l'activation de l'authentification SAP, aucun compte ne sera créé pour les nouveaux alias.

9.5.5.3.1 Planification de mises à jour pour les rôles SAP

Après avoir mappé les rôles dans la plateforme de BI, vous devez indiquer la manière dont le système doit mettre
à jour les rôles.

1. Cliquez sur l'onglet Mise à jour de l'utilisateur.

2. Cliquez sur Planifier dans la section Mettre à jour les rôles uniquement ou Mettre à jour les rôles et les alias.

Conseil
Pour effectuer une mise à jour immédiate, cliquez sur Mettre à jour maintenant.

Business Intelligence Platform Administrator Guide

326 PUBLIC Authentication
 Conseil
Utilisez l'option Mettre à jour les rôles uniquement si vous souhaitez effectuer des mises à jour fréquentes
et que vous êtes préoccupé par les ressources système. Le système met plus de temps à mettre à jour à la
fois les rôles et les alias.

La boîte de dialogue Périodicité s'affiche.

3. Sélectionnez une option dans la liste déroulante Exécuter l'objet et indiquez toutes les informations de
planification demandées dans les champs correspondants.

Lorsque vous planifiez une mise à jour, vous pouvez choisir une des périodicités récapitulées dans le tableau
suivant :

Table 47 :
Schéma de périodicité Description

Toutes les heures La mise à jour s'exécutera toutes les heures. Vous indiquez l'heure de début
ainsi que les dates de début et de fin.

Tous les jours La mise à jour s'exécutera tous les jours ou tous les <n>jours(<n> étant le
nombre de jours que vous indiquez). Vous pouvez indiquer l'heure de début
ainsi que les dates de début et de fin.

Toutes les semaines La mise à jour s'exécutera une fois par semaine ou plusieurs fois par semaine.
Vous pouvez indiquer les jours d'exécution, l'heure de début et les dates de dé­
but et de fin.

Tous les mois La mise à jour s'exécutera tous les mois ou tous les N mois. Vous pouvez indi­
quer l'heure de début ainsi que les dates de début et de fin.

Nième jour du mois La mise à jour sera exécutée un jour spécifique du mois. Vous pouvez préciser
le jour du mois et l'heure auxquels l'exécution aura lieu, ainsi que sa date de dé­
but et sa date de fin.

1er lundi du mois La mise à jour sera exécutée le premier lundi de chaque mois. Vous pouvez
préciser l'heure à laquelle l'exécution aura lieu, de même que sa date de début
et sa date de fin.

Dernier jour du mois La mise à jour sera exécutée le dernier jour de chaque mois. Vous pouvez pré­
ciser l'heure à laquelle l'exécution aura lieu, de même que sa date de début et
sa date de fin.

Jour X de la Nième semaine du mois La mise à jour sera exécutée le jour indiqué de la semaine indiquée du mois.
Vous pouvez préciser l'heure à laquelle l'exécution aura lieu, de même que sa
date de début et sa date de fin.

Calendrier La mise à jour s'exécutera aux dates spécifiées dans un calendrier précédem­
ment créé.

4. Cliquez sur Planifier.

La date de la prochaine mise à jour de rôles planifiée est affichée dans l'onglet Mise à jour de l'utilisateur.

Conseil
Pour annuler la prochaine mise à jour, cliquez sur Annuler les mises à jour planifiées dans la zone Mettre à
jour les rôles uniquement ou Mettre à jour les rôles et les alias.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 327
9.5.6 Configuration de la communication réseau sécurisée
(SNC)

Cette section explique comment configurer la SNC dans le cadre du processus de configuration d'authentification
SAP à la plateforme de BI

Pour en savoir plus, voir la note SAP 2183696 .

Avant de configurer la sécurité entre les systèmes SAP et la plateforme de BI, assurez-vous que le SIA est
configuré pour démarrer et s'exécuter sous un compte configuré pour la SNC. Vous devez également configurer
votre système SAP pour valider la plateforme de BI.

Informations associées

Présentation de la sécurité côté serveur [page 328]

9.5.6.1 Présentation de la sécurité côté serveur

Cette section contient des procédures permettant de configurer la sécurité côté serveur entre les serveurs
d'applications Web SAP (versions 6.20 et supérieures) et la plateforme SAP BusinessObjects Business
Intelligence. Vous devez configurer la sécurité côté serveur si vous utilisez la méthode d'éclatement de rapports
multipassage (pour les publications dans lesquelles la requête de rapport dépend du contexte de l'utilisateur).

La sécurité côté serveur nécessite un emprunt d'identité sans mot de passe. Pour pouvoir emprunter l'identité
d'un utilisateur SAP sans fournir de mot de passe, l'utilisateur doit être identifié auprès de SAP à l'aide d'une
méthode plus sécurisée qu'un simple nom d'utilisateur et mot de passe. (Un utilisateur SAP ayant le profil
d'autorisation SAP_ALL ne peut pas emprunter l'identité d'un autre utilisateur SAP sans connaître son mot de
passe.)

Activation de la sécurité côté serveur à l'aide de la bibliothèque

cryptographique SAP

Pour activer la sécurité côté serveur pour la plateforme de BI à l'aide de la bibliothèque cryptographique SAP,
vous devez exécuter les serveurs correspondants avec des références de connexion qui sont authentifiées à l'aide
d'un fournisseur de communication réseau sécurisée (SNC) agréé. Ces références de connexion sont configurées
dans SAP de façon à autoriser l'emprunt d'identité sans mot de passe. Pour la plateforme de BI, vous devez
exécuter les serveurs impliqués dans l'éclatement de rapports, tels que l'Adaptive Job Server, avec ces références
de connexion SNC.

Vous avez besoin de fichiers binaires SNC 32 bits pour les processus 32 bits et de fichiers binaires SNC 64 bits
pour les processus 64 bits. Une bibliothèque cryptographique SAP est installée avec la plateforme de BI. Notez
que la bibliothèque cryptographique SAP peut uniquement être utilisée pour configurer la sécurité côté serveur.
La bibliothèque cryptographique est disponible pour Windows et Unix.

Business Intelligence Platform Administrator Guide

328 PUBLIC Authentication
Business Intelligence Platform Administrator Guide
Authentication PUBLIC 329
Pour plus d'informations sur la bibliothèque SAP Cryptographic Library, voir les notes SAP 711093, 597059 et
397175 sur le site Web de SAP.

Le serveur SAP et la plateforme de BI doivent se voir attribuer des certificats prouvant mutuellement leur identité.
Chaque serveur a son propre certificat ainsi qu'une liste de certificats pour les parties approuvées. Pour
configurer la sécurité côté serveur entre SAP et la plateforme de BI, vous devez créer un jeu de certificats protégé
par mot de passe appelé environnement de sécurité personnelle (Personal Security Environment, PSE). Cette
section explique comment configurer et gérer les PSE et comment les associer de façon sécurisée aux serveurs
de traitement de la plateforme de BI.

Client/serveur SNC

Dans client SNC, un identificateur de nom SNC est mappé à un (ou plusieurs) noms d'utilisateur SAP dans SU01.
Lorsqu'une requête de connexion est envoyée, le nom SNC et le nom SAP sont transmis au système SAP.
Toutefois, aucun mot de passe n'est envoyé. Si le nom SNC est mappé au nom SAP indiqué, la connexion est
autorisée. Voici une chaîne de connexion côté client pour une connexion à l'hôte d'applications direct :

ASHOST =myserver.mydomain SYSNR=37 CLIENT=066 LANG=EN USER=USER123

SNC_MODE=1 SNC_QOP=9 SNC_LIB="/usr/local/lib/libsapcrypto.so"
SNC_PARTNERNAME="p:CN=TheServer, OU=Dept., O=TheCompany, C=FR"
SNC_MYNAME="p:CN=TheUser, O=TheCompany, C=US"

L'utilisateur SAP USER123 doit être mappé à p:CN=Utilisateur, O=Société, C=US dans SU01 pour que cette
tentative de connexion réussisse. Sur le serveur SNC, en revanche, il n'est pas nécessaire de mapper
explicitement l'identificateur de nom SNC avec le nom d'utilisateur SAP. Au lieu de cela, le nom SNC est configuré
au sein de la transaction SNC0 afin de pouvoir établir une connexion de type emprunt d'identité pour « tout »
utilisateur sans avoir à fournir le mot de passe de cet utilisateur. Par exemple :

ASHOST =myserver.mydomain SYSNR=37 CLIENT=066 LANG=EN SNC_MODE=1

SNC_QOP=9 SNC_LIB="/usr/local/lib/libsapcrypto.so"
SNC_PARTNERNAME="p:CN=TheServer, OU=Dept., O=TheCompany, C=FR"
SNC_MYNAME="p:CN=TheUser, O=TheCompany, C=US" EXTIDTYPE=UN EXTIDDATA=USER123

Business Intelligence Platform Administrator Guide

330 PUBLIC Authentication
La connexion d'identité du serveur SNC ou connexion via ID externe propose beaucoup plus de possibilités que la
connexion client. Cette connexion permet d'accéder à n'importe quel compte utilisateur SAP du système. Parmi
les autres options de connexion ID externe, citons Logon Tickets et les certificats client X.509.

Responsabilités des serveurs de la plateforme SAP BusinessObjects BI

Certains serveurs de la plateforme de BI servent à l'intégration SAP en matière de connexion unique. Le tableau
suivant répertorie ces serveurs, ainsi que le type de SNC requis pour chaque domaine de responsabilités.

Serveur Type de SNC Domaines de responsabilités

Serveur d'applications Web client Liste de rôles de l'authentification SAP

Service BW Publisher serveur Personnalisation et listes de sélection

des paramètres dynamiques de Crystal
Reports

CMS client Listes de mots de passe, de tickets, de

vérification des appartenances du rôle
et d'utilisateurs

Page Server serveur Affichage à la demande de Crystal

Reports

Job Server serveur Planification de Crystal Reports

Web Intelligence Processing Server serveur Affichage et planification des rapports

Web Intelligence et des invites de liste
de valeurs

Service MDAS (Multi-Dimensional serveur Analyse

Analysis Service)

Remarque
Le serveur d'applications Web et le CMS utilisent le SNC client et requièrent par conséquent un mappage
explicite du nom SNC au nom d'utilisateur SAP. Ceci est indiqué dans la transaction SU01 ou SM30 pour le
tableau USRACL.

9.5.6.2 Configuration de SAP pour une sécurité côté serveur

La sécurité côté serveur s'applique uniquement aux rapports Crystal et Web Intelligence basés sur les univers
(.unv). Vous devez configurer SNC pour l'utiliser avec la plateforme de BI. Pour en savoir plus ou pour obtenir de
l'aide pour le dépannage, consultez la documentation SAP fournie avec votre serveur SAP.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 331
9.5.6.2.1 Pour configurer SAP pour la sécurité côté serveur

1. Assurez-vous que vous disposez des références de connexion d'administrateur SAP pour SAP et l'ordinateur
exécutant SAP, ainsi que les références de connexion d'administrateur pour la plateforme de BI et le ou les
ordinateurs l'exécutant.
2. Sur l'ordinateur SAP, vérifiez que la bibliothèque cryptographique SAP et l'outil SAPGENPSE se trouvent dans
le répertoire <LECTEUR>:\usr\sap\<SID>\SYS\exe\run\ (sous Windows).
3. Créez une variable d'environnement appelée <SECUDIR> qui pointe vers le répertoire contenant le fichier
ticket.

Remarque
Cette variable doit être accessible à l'utilisateur dont les références de connexion sont utilisées pour
exécuter le processus disp+work de SAP.

4. Dans l'interface utilisateur SAP, recherchez la transaction RZ10 et modifiez le profil d'instance en mode
maintenance étendue.
5. En mode d'édition de profil, faites pointer les variables de profil SAP vers la bibliothèque cryptographique et
donnez un nom distinctif (DN) au système SAP. Ces variables doivent suivre la convention d'attribution de
noms LDAP :

Balise Signification Description

CN Nom usuel Nom usuel du propriétaire du

certificat.

OU Unité organisationnelle EP pour Equipe produits, par exemple.

O Organisation Nom de l'organisation pour laquelle le

certificat a été émis.

C Pays Pays dans lequel se situe

l'organisation.

Par exemple, pour R21 : p:CN=R21, OU=EP, O=BOBJ, C=CA

Remarque
Le préfixe p: correspond à la bibliothèque cryptographique SAP. Il est requis lorsqu'il est fait référence au
DN dans SAP, mais il n'est pas visible lors de l'examen des certificats dans STRUST ou lors de l'utilisation
de SAPGENPSE.

6. Entrez les valeurs de profil suivantes, en utilisant les valeurs correspondant à votre système SAP.

Variable de profil Valeur

ssf/name SAPSECULIB

ssf/ssfapi_lib Chemin complet de la bibliothèque cryptographique SAP

sec/libsapsecu Chemin complet de la bibliothèque cryptographique SAP

snc/gssapi_lib Chemin complet de la bibliothèque cryptographique SAP

snc/identity/as DN de votre système SAP

Business Intelligence Platform Administrator Guide

332 PUBLIC Authentication
 7. Redémarrez l'instance SAP.
8. Lorsque le système est de nouveau exécuté, connectez-vous, puis recherchez la transaction STRUST, qui doit
maintenant posséder des entrées supplémentaires pour SNC et SSL.
9. Cliquez avec le bouton droit de la souris sur le nœud SNC et cliquez sur Créer.
L'identité que vous avez spécifiée dans RZ10 doit à présent s'afficher.
10. Cliquez sur OK.
11. Pour attribuer un mot de passe au PSE de la SNC, cliquez sur l'icône représentant un verrou.

Remarque
N'égarez pas ce mot de passe. STRUST vous demandera de l'indiquer chaque fois que vous affichez ou
modifiez le PSE de la SNC.

12. Enregistrez les modifications.

Remarque
Si vous n'enregistrez pas les changements, le serveur d'applications ne redémarre pas lorsque vous
activez la SNC.

13. Retournez à la transaction RZ10 et ajoutez les paramètres restants du profil SNC.

Variable de profil Paramètre

snc/accept_insecure_rfc 1

snc/accept_insecure_r3int_rfc 1

snc/accept_insecure_gui 1

snc/accept_insecure_cpic 1

snc/permit_insecure_start 1

snc/data_protection/min 1

snc/data_protection/max 3

snc/enable 1

Le niveau de protection minimal est défini sur authentification seulement (1) et le niveau maximal est
confidentiel (3). La valeur snc/data_protection/use définit que seule l'authentification doit être utilisée
dans ce cas, mais elle peut être définie sur (2) pour le niveau intégrité, (3) pour confidentiel et (9) pour le
maximum disponible. Les valeurs snc/accept_insecure_rfc, snc/accept_insecure_r3int_rfc, snc/
accept_insecure_gui et snc/accept_insecure_cpic définies sur (1) indiquent que les méthodes de
communication précédentes (et potentiellement non sécurisées) sont toujours permises.

14. Redémarrez votre système SAP.

Configurez ensuite la plateforme de BI pour une sécurité côté serveur.

Business Intelligence Platform Administrator Guide

Authentication PUBLIC 333
9.5.6.3 Configuration de la plateforme de BI pour une
sécurité côté serveur
Pour configurer la plateforme de BI pour une sécurité côté serveur, suivez la procédure ci-après. Notez que ces
étapes sont effectuées sous Windows ; cependant, étant donné que l'outil SAP est un outil de ligne de commande,
ces étapes sont similaires sous Unix.

1. Configurez l'environnement
2. Générez un PSE (Personal Security Environment)
3. Configurez les serveurs de la plateforme de BI
4. Configurez l'accès au PSE
5. Configurez les paramètres SNC d'authentification SAP
6. Configurez les groupes de serveurs dédiés SAP

Informations associées

Pour configurer l'environnement [page 334]

Pour générer un PSE (environnement de sécurité personnelle) [page 335]
Pour configurer les serveurs de la plateforme de Business Intelligence [page 336]
Pour configurer l'accès au PSE [page 337]
Pour configurer les paramètres SNC d'authentification SAP [page 338]
Utilisation de groupes de serveurs [page 339]

9.5.6.3.1 Pour configurer l'environnement

La plateforme de BI comprend une bibliothèque cryptographique SAP par défaut. Si vous l'utilisez, vous devez
suivre uniquement les deux dernières étapes : créer un sous-dossier et ajouter une variable d'environnement.
Sinon, pour configurer une copie personnalisée de la bibliothèque cryptographique SAP, suivez l'ensemble des
étapes.

La bibliothèque cryptographique SAP par défaut se trouve à cet emplacement :

● Windows : <REPINSTALL>\sap\sapcrypto.dll
● Unix : <REPINSTALL>/sap/libsapcrypto.so

Avant de commencer, assurez-vous que :

● La bibliothèque cryptographique SAP a été développée sur l'hôte exécutant les serveurs de traitement de la
plateforme de BI.
● Les systèmes SAP appropriés ont été configurés pour utiliser la bibliothèque cryptographique SAP comme
fournisseur SNC.

Avant de pouvoir gérer le PSE, vous devez configurer la bibliothèque, l'outil et l'environnement dans lequel les PSE
sont stockés.

1. Copiez la bibliothèque cryptographique SAP (y compris l'outil de gestion PSE) dans un do