Поделиться через

  • Статья

Importsecurity. Планирование работы со служебной программой командной строки

Обновлено: 2010-01-11

Для импорта пользователей и ролей, назначения пользователей определенным ролям и настройки безопасности для ролей следует использовать команду importsecurity. Эта функция позволяет настраивать параметры безопасности, предусмотренные в Бизнес-моделирование, с помощью скриптов. Все определения ролей и пользователей сохраняются в отдельном CSV-файле для каждого конкретного типа операции.

ПримечаниеПримечание.

Для использования этой команды необходимо являться участником роли администратора пользователей.

Синтаксис

ppscmd importsecurity [переключатели] file [файлы]

ПримечаниеПримечание.

Если приложение и узел бизнес-моделей имеют одну и ту же подпись, используйте следующий синтаксис: подпись_приложения.подпись_узла бизнес-моделей.

Параметры команды

Параметры

Параметр Обязательно? Описание

/server <Uri_сервера>

Нет

Указывает URI сервера для подключения. Значение по умолчанию — стандартный сервер бизнес-моделирования.

/application <уровень_приложения>

Нет

Указывает приложение, которое требуется открыть. Значение по умолчанию — стандартное приложение бизнес-моделирования.

/site <подпись_узла>

Нет

Указывает узел, который требуется открыть. Значение по умолчанию — стандартный узел бизнес-моделей.

/type <тип_объекта>

Да

Указывает тип содержимого файла для импорта. Тип_объекта может быть одним из следующих: User — добавление системных пользователей; UserPermission — добавление разрешений пользователей (то же, что и в интерфейсе — BizModeler: Read (чтение), Read + Write (чтение + запись), Write (запись)) для членов измерений; UserRoleAssociation — добавление пользователей в роли (то же, что и в интерфейсе); ModelRolePermission — задает значение ON/OFF (включено/выключено) для модели определенной роли; Role — добавление бизнес-ролей в приложения (то же, что и в интерфейсе); RolePermission — добавление разрешений ролей (то же, что и в интерфейсе — BizModeler: Read (чтение), Read + Write (чтение + запись), Write (запись)) для членов измерений.

/encoding <кодировка_файла>

Нет

Задает кодировку для CSV-файла. Значение по умолчанию — UTF8. Кодировка_файла может быть следующей: ISO-8859, UTF8, UNICODE или ASCII. Для восьмиразрядной кодировки символов используйте ISO-8859.
ПримечаниеПримечание.

Параметры /application и /site доступны в пакете обновления 3 для Бизнес-моделирование.

Флаги

Следующие флаги обеспечивают дополнительные инструкции для сервера при использовании с командой importsecurity.

ВажноВнимание!

Обновление QFE26 для Microsoft Office PerformancePoint Server 2007 с пакетом обновления 3 (SP3) является обязательным компонентом для использования команды importsecurity с флагом /Replace. Для загрузки и установки обновления QFE26 (KB978617) для Microsoft Office PerformancePoint Server 2007 обратитесь в службу поддержки пользователей Майкрософт.
Флаг Описание

/Override

Переопределяет существующий объект при импорте CSV-файла.

/IgnoreExtraColumns

Пропускает дополнительные столбцы в CSV-файле.

/Replace

Заменяет существующий объект при импорте CSV-файла. Все объекты в CSV-файле, которые не определены, удаляются.
ПримечаниеПримечание.

Флаг /Replace доступен при наличии пакета обновления 3 для Бизнес-моделирование.

Возвращаемое значение

Не используется

Примеры

Следующие примеры команд демонстрируют использование команды importsecurity.

ppscmd importsecurity /type user users.csv

ppscmd importsecurity /type role /encoding iso-8859 roles.csv

ppscmd importsecurity /type userrole /encoding iso-8859 userroles.csv

ppscmd importsecurity /type modelroleassociation modelroles.csv

ppscmd importsecurity /type rolepermission /app testapp /site testappsite rolepermissions.csv

ppscmd importsecurity /type userpermission userpermissions.csv

Требования

Формат файла CSV для всех типов импорта безопасности описан в следующих разделах.

Роли

Параметр Role для команды importsecurity определяет настраиваемые роли для узлов бизнес-моделей. Если роль уже существует, операция importsecurity пропустит роль и продолжит обработку остальной части CSV-файла. CSV-файл должен содержать заголовки первого столбца, за которыми следуют определяемые роли.

Заголовки столбцов и определения приведены в следующей таблице.

Заголовок столбца Определение

Label

Подпись роли

Name

Понятное имя роли

Description

Описание роли

Application

Приложение, для которого определяется роль

DefaultSecurity

Параметры безопасности для роли. Допустимые значения соответствуют параметрам безопасности моделирования. Доступны следующие параметры: "Нет доступа" (No Access), "Только для чтения" (Read-Only) и "Чтение + запись" (Read + Write).

Scope

Подпись узла бизнес-моделей для роли
ПримечаниеПримечание.

Перед знаком "плюс" в названии параметра "Read + Write" и после него стоят пробелы. Эти пробелы использовать обязательно.

Пример.

В следующей таблице с примерами используется приложение testapp. Приложение testapp имеет роли role1 (содержит несколько пользователей) и role2 (пустая роль, в которой нет пользователей). Пример CSV-файла, который используется для команды importsecurity, включает только роли role3 и role4. При запуске следующего примера команды, D:\Program Files\Microsoft Office PerformancePoint Server\3.0\BizModeler>PPSCmd ImportSecurity /app testapp/ser http://<servername>:<port#>/replace/type role, удаляется роль role2 и добавляются обе роли role3 и role4. Этот пример команды не удаляет роль role1, так как ей назначены текущие пользователи.

Label Name Description Application DefaultSecurity Scope

CustomRole

Моя настраиваемая роль

Текст

BizCorp

Read-Only

Corporate

Пользователи

Импорт CSV-файла пользователя с параметром /type, для которого задано значение User, приведет к добавлению пользователей в систему Планирование PerformancePoint. Будет выполнено добавление только новых пользователей, а пользователи, уже существующие в системе, будут пропущены. Существующих пользователей нельзя удалить с помощью этой операции: она позволяет только добавлять/обновлять новых пользователей.

Необходимо создать CSV-файл со столбцами заголовков Label, Name и Email. Связанные пользователи добавляются, но предоставляют свои подписи, имена и адреса электронной почты.

Заголовки столбцов описываются в следующей таблице.

Заголовок столбца Описание

Label

Обязательный атрибут. Домен и имя пользователя пользователя.

Name

Обязательный атрибут. Имя пользователя.

Email

Необязательный атрибут. Адрес электронной почты пользователя.

Пример.

Label Name Email

ДОМЕН\ПОЛЬЗОВАТЕЛЬ_1

Пользователь_1

пользователь_1@домен.com

ДОМЕН\ПОЛЬЗОВАТЕЛЬ_2

Пользователь_2

пользователь_2@домен.com

ДОМЕН\ПОЛЬЗОВАТЕЛЬ_3

Пользователь_3

пользователь_3@домен.com

Роли пользователей

Параметр импорта UserRoles связывает определенных системных пользователей с ролями в системе. Можно назначить существующих пользователей системным ролям и любым настраиваемым ролям, определенным в приложении. Пользователи и роли должны уже присутствовать в системе. Если они не существуют в системе, при выполнении операции importsecurity будет выведено сообщение об ошибке и обработка CSV-файла продолжится.

Роли пользователей описаны в следующей таблице.

User

Это пользователь, который будет связан с ролью. Пользователь должен быть определен в системе.

Role

Это роль. Роль может являться одной из четырех системных ролей: глобальный администратор, администратор пользователей, администратор данных или администратор моделей, также она может быть любой настраиваемой ролью в узле бизнес-моделей. В следующем примере "пользователь_5" использует настраиваемую роль "Бизнес-пользователь".

Application

Это приложение для роли. Роли глобального администратора предназначены для всех системных приложений, поэтому для этой роли не определены конкретные приложения.

Scope

Это может быть уровень приложения или узла бизнес-моделей для администратора пользователей, администратора данных или администратора моделей. Для глобального администратора указывать область не нужно. Для настраиваемых ролей областью будет являться узел бизнес-моделей, для которого определена роль.

Пример.

User Role Application Scope

Домен\пользователь_1

Глобальный администратор

Домен\пользователь_2

Администратор пользователей

BizCorp

BizCorp

Домен\пользователь_3

Администратор данных

BizCorp

BizCorp

Домен\пользователь_4

Администратор моделей

BizCorp

Корпоративный

Домен\пользователь_5

Бизнес-пользователь

BizCorp

Корпоративный

Связи моделей ролей

Параметр импорта ролей пользователей связывает роли с моделями в системе. Модели и роли должны уже присутствовать в системе. Если они не существуют в системе, при выполнении команды importsecurity будет выведено сообщение об ошибке и обработка CSV-файла продолжится.

Связи моделей ролей описаны в следующей таблице.

Role

Подпись роли

Model

Подпись модели

Allow Journal

(Дополнительно.) Определяет переключатель разрешения журнала. Если параметр не задан, значение по умолчанию — "выключено".

Application

Определяет приложение.

Scope (ModelSite)

Определяет узел бизнес-моделей.

Ниже приведен пример CSV-файла связей моделей ролей:

Role Models Access Allow Journal Application Scope

Подпись_роли_1

Отдел_кадров

On

Off

BizCorp

EMEA

Подпись_роли_2

Финансовый_отдел

On

Off

BizCorp

EMEA

Подпись_роли_3

Курс_валют

On

Off

BizCorp

Corporate

Подпись_роли_4

Финансовый_1

On

On

BizCorp

Corporate

Подпись_роли_5

Финансовый_2

Off

Off

BizCorp

Corporate

Столбец Allow Journal (Разрешить журнал) определяет, задано ли для разрешения Allow Journal (Разрешить журнал) финансовой модели значение on. Если для разрешения “Allow Journal” модели задано значение on и модель не имеет свойства модели, значение журнала устанавливается равным true и система выдает сообщение об ошибке. Если для разрешения Allow Journal (Разрешить журнал) модели задано значение on, а для доступа модели — значение off, система выдает сообщение об ошибке. Если роль имеет существующую связь с конкретной моделью и эта связь не задана в CSV-файле, импорт не приводит к изменению типа доступа RoleModel. При возникновении ошибки экспорт всех допустимых записей будет продолжен.

Для связи "роль-пользователь" при включенном переключателе /Replace используется следующий режим обработки:

если роль имеет существующую связь с конкретной моделью и эта связь не задана в CSV-файле, команда importsecurity задает для доступа RoleModel значение off. (Связь роли или модели удаляется из серверного компонента.)

Пример.

PPSCmd ImportSecurity /type userpermissions / userpermissions.csv

PPSCmd ImportSecurity /type rolemodelassociations / rolesmodels.csv

Разрешения пользователей

Параметр импорта UserPermission позволяет импортировать новые или дополнительные разрешения пользователей, а также перезаписывать существующие разрешения пользователей системы.

Разрешения пользователей описаны в следующей таблице.

User

Подпись пользователя. Может являться группой Active Directory.

Role

Подпись роли. Может являться группой Active Directory.

Hierarchy

Иерархия измерения

MemberDef

Определяет, какие члены попадают в область. Используйте синтаксис, аналогичный команде импорта Rolepermission.

Application

Определяет приложение.

Scope

Определяет ModelSite.

Permission

Записывает разрешения.

Пример.

User Role HierarchyDef MemberDef Permission Application Scope

Redmond\биз-пользователь_2

Роль_1

[Account].[accountmemberset]

members()

Read + Write

BizCorp

Corporate

Redmond\биз-пользователь_2

Роль_1

[Account].[accountmemberset]

members()

Read + Write

BizCorp

Corporate

Redmond\биз-пользователь_2

Роль_1

[Account].[accountmemberset]

Member1

Read + Write

BizCorp

Corporate

Redmond\биз-пользователь_3

Роль_1

[BusinessProcess].[Standard]

members()

Write-Only

BizCorp

Corporate

Redmond\биз-пользователь_4

Роль_1

[BusinessProcess].[Standard]

[AUTOADJ]

Read-Only

BizCorp

Corporate

Redmond\биз-пользователь_2

Роль_2

[BusinessProcess].[Standard]

[INPUT]

Read-Only

BizCorp

Corporate

Redmond\биз-пользователь_3

Роль_2

[BusinessProcess].[Standard]

[MANADJ]

Read-Only

BizCorp

Corporate

Redmond\биз-пользователь_4

Роль_2

[BusinessProcess].[Standard]

[FXADJ]

Read-Only

BizCorp

Corporate

Разрешения роли

Параметр импорта RolePermissions позволяет импортировать определения безопасности настраиваемой роли для настраиваемых ролей. Нельзя задавать разрешения для ролей, определенных системой (то есть глобального администратора, администратора данных, администратора моделей и администратора пользователей). Если роль не существует или любое из значений столбца является недопустимым, операция importsecurity пропустит строку и перейдет к другим определениям ролей.

Разрешения ролей описаны в следующей таблице.

Role

Роль, для которой настраиваются специальные параметры безопасности.

HierarchyDef

Измерение и иерархия, к которым применяется настраиваемая безопасность. При определении иерархии используйте следующий синтаксис: [подпись_измерения].[подпись_набора_членов]. Если требуется сослаться на набор членов All Members измерения, используйте следующий синтаксис: [подпись_измерения].[Standard].

MemberDef

Это определение члена или членов, для которых требуется задать разрешение.

Permission

Это разрешение для членов. Может иметь одно из следующих значений: Read + Write, Write-Only, Read-Only.

Application

Это приложение, в котором существует роль.

Scope

Это узел бизнес-моделей, в котором существует роль.

Пример.

Role HierarchyDef MemberDef Permission Application Scope

ReadWriteAccessRole

[Account].[accountmemberset]

members()

Read + Write

BizCorp

Corporate

ReadWriteAccessRole

[BusinessProcess].[Standard]

members()

Write-Only

BizCorp

Corporate

ReadWriteAccessRole

[BusinessProcess].[Standard]

[AUTOADJ]

Read-Only

BizCorp

Corporate

ReadWriteAccessRole

[BusinessProcess].[Standard]

[INPUT]

Read-Only

BizCorp

Corporate

ReadWriteAccessRole

[BusinessProcess].[Standard]

[MANADJ]

Read-Only

BizCorp

Corporate

ReadWriteAccessRole

[BusinessProcess].[Standard]

[FXADJ]

Read-Only

BizCorp

Corporate

Предусмотрены следующие кодировки файлов: ISO-8859, UTF8, UNICODE или ASCII. ISO-8859 используется для восьмиразрядной кодировки символов.

Экспорт и импорт разрешений пользователей и разрешений ролей

Служебную программу PPSCmd.exe можно использовать для импорта большого количества разрешений пользователей и ролей. При необходимости обновления существующих настраиваемых разрешений ролей и пользователей ppscmd.exe предоставляет переключатель /replace, который позволяет выполнить эту задачу в пакетном режиме (вместо изменения каждого конкретного значения по отдельности). Переключатель /replace доступен в версии PerformancePoint Server с пакетом обновления 3 (SP3). Данный переключатель позволяет удалять все роли в приложении и добавлять роли, содержащиеся в CSV-файле. Переключатель /replace не выполняет удаление ролей, которым назначены пользователи.

Примите во внимание, что специалисты Майкрософт не рекомендуют использовать переключатели /app или /site в служебной программе PPSCmd.exe при экспорте или импорте разрешений ролей и пользователей по методу замены. Рекомендуемая процедура загрузки разрешений ролей и пользователей следующая.

  1. Экспортируйте все разрешения ролей и пользователей в CSV-файлы и создайте резервные копии этих файлов.

  2. С помощью переключателя /replace загрузите пустой CSV-файл разрешений пользователей. Это приведет к сбросу таблицы разрешений пользователей в базе данных. Например: Ppscmd importsecurity /type userpermission /server https://localhost:46787 /replace userpermission.csv

  3. Измените разрешения ролей в CSV-файле, экспорт которого выполнялся в действии 1, так, чтобы этот файл содержал нужные разрешения. С помощью переключателя /replace загрузите пустой CSV-файл с нужными разрешениями ролей из исходного файла. Например: Ppscmd importsecurity /type rolepermission /server https://localhost:46787 /replace rolepermission.csv

  4. Измените разрешения пользователей в CSV-файле, который был экспортирован в действии 1, так, чтобы в этом файле содержались нужные разрешения. Используйте переключатель /replace или /override для загрузки разрешений пользователей.

CSV-файл, который используется с командой importsecurity, должен содержать все разрешения ролей и пользователей, которые существуют в системе. Если CSV-файл не будет содержать текущие разрешения ролей и пользователей, они будут удалены из системы при выполнении команды importsecurity.

Загрузить эту книгу

Для упрощения чтения и печати эта статья включена в состав следующей книги, доступной для загрузки:

Полный список доступных книг представлен в разделе Downloadable content for PerformancePoint Planning Server.

См. также