Shared Services

Exécution de l'agent de diagnostic distant

Avant de signaler un bug Oracle Hyperion Shared Services, exécutez l'agent de diagnostic distant (RDA). Joignez le rapport RDA au signalement du bug. Le fichier de sortie se trouve dans le répertoire /ohs/rda.

Pour exécuter RDA, entrez la commande suivante dans une fenêtre de commande :

/ohs/rda/rda.cmd

Pour plus d'informations, reportez-vous au fichier readme du répertoire /ohs/rda.

Connexion à Shared Services

Problème : la connexion à Shared Services échoue.

Solution : lancez les diagnostics Oracle Hyperion Enterprise Performance Management System pour identifier les problèmes au niveau des annuaires des utilisateurs et de l'application Web Java Shared Services afin de vérifier que les applications Web Java du produit sont démarrées. Pour obtenir des instructions, reportez-vous à la section "Validation de l'installation et vérification du déploiement" du Guide d'installation et de configuration d'Oracle Enterprise Performance Management System.

Vérifiez également le fichier SharedServices_Security.log. Si vous ne parvenez pas à vous connecter aux produits, vérifiez SharedServices_SecurityClient.log. Reportez-vous à la section Utilisation des journaux EPM System.

Si la connexion échoue au niveau de Microsoft Active Directory, vérifiez que Shared Services est configuré de façon à utiliser la recherche DNS pour localiser Active Directory. Pour obtenir des instructions, reportez-vous à la solution de la section suivante, "Haute disponibilité d'Active Directory". Un échec de connexion au niveau Active Directory est le plus souvent dû au fait qu'un hôte spécifié pour le contrôleur de domaine est hors ligne pour maintenance.

Haute disponibilité d'Active Directory

Problème : vous devez garantir une haute disponibilité de Microsoft Active Directory

Solution : configurez Shared Services de sorte que la recherche DNS soit utilisée pour localiser Active Directory :

  • Spécifiez le nom de domaine.

  • (Facultatif) Spécifiez le site et l'adresse IP DNS.

Prudence :

Oracle recommande de ne pas sélectionner l'option de nom d'hôte pour la configuration Active Directory dans Shared Services. Utilisez celle-ci uniquement à des fins de test.

Lorsqu'il est configuré pour effectuer une recherche DNS, Shared Services envoie une requête au serveur DNS pour identifier les contrôleurs de domaine enregistrés et se connecte à un contrôleur de domaine disponible en cas d'échec. Pour plus d'informations, reportez-vous au Guide d'administration de la sécurité utilisateur d'Oracle Enterprise Performance Management System.

Remarque :

Oracle recommande de configurer Shared Services de sorte que la recherche DNS soit utilisée pour localiser Active Directory, qu'une haute disponibilité soit nécessaire ou non.

Enregistrement de produit

Problème : vous ne parvenez pas à enregistrer un produit Oracle Enterprise Performance Management System auprès de Shared Services lorsque le produit et Shared Services sont sur des ordinateurs différents. Le message suivant est journalisé dans SharedServices_security.log :

com.hyperion.interop.lib.OperationFailedException: Unable to Authenticate

Solution :

  • Vérifiez que le mot de passe de l'administrateur pour Shared Services est correct.

  • Abonnez-vous à une source temporelle en ligne utilisant une horloge atomique et assurez-vous que les deux ordinateurs utilisent cette source afin qu'ils soient synchronisés.

Blocage de sécurité après échec de plusieurs tentatives de connexion

Problème : pour des raisons de sécurité, vous voulez bloquer les utilisateurs qui ont essayé de se connecter plusieurs fois sans succès à Oracle Hyperion Enterprise Performance Management Workspace.

Solution : dans un annuaire externe (par exemple, Microsoft Active Directory ou un annuaire utilisateur LDAP tel qu'Oracle Internet Directory), définissez des stratégies de mot de passe pour indiquer le nombre de tentatives de connexion autorisé avant de bloquer les utilisateurs. EPM System applique tous les blocages contrôlés par les stratégies de mot de passe de l'annuaire des utilisateurs externe. La sécurité d'EPM System version 11.1.2 ne prenant pas en charge les stratégies de mot de passe pour l'annuaire natif, vous ne pouvez pas bloquer un utilisateur de celui-ci après un certain nombre de tentatives de connexion infructueuses.

Astérisques dans les noms d'utilisateur

Problème : un utilisateur dont le nom d'utilisateur comporte un astérisque (*) dispose d'un accès non autorisé lui permettant de voir les informations relatives à des utilisateurs ayant un nom similaire.

Solution : n'employez pas l'astérisque (*) dans les noms d'utilisateur ou les noms communs (CN), car il s'agit du caractère générique utilisé pour les recherches effectuées dans le registre Oracle Hyperion Shared Services. Pour obtenir des informations sur les caractères pris en charge dans les noms d'utilisateur, reportez-vous au Guide d'administration de la sécurité utilisateur d'Oracle Enterprise Performance Management System.

Nom d'utilisateur de l'administrateur d'EPM System

Problème : vous voulez que l'administrateur d'EPM System soit un utilisateur de l'annuaire de votre société et non "admin" afin que les stratégies de mot de passe de la société lui soient appliquées.

Solution : dans Shared Services, provisionnez les utilisateurs devant être administrateurs d'EPM avec le rôle Administrateur.

Conseil :

Empêchez l'accès au compte "admin" natif en lui affectant un long mot de passe aléatoire. Le compte "admin" ne peut pas être supprimé.

Message AuditHandler

Problème : le fichier SharedServices_Audit.log contient la ligne suivante :

AuditHandler - Server Audit Enable Status:- false

Solution : vous pouvez ignorer ce message sans risque, il indique que l'audit n'est pas activé sur le serveur Shared Services.

Un message de statut AuditHandler est ajouté chaque fois qu'un client d'audit envoie une commande ping au serveur pour connaître le statut. Si l'audit est activé, le client poursuit avec les événements d'audit ; s'il ne l'est pas, le client ignore les événements d'audit.

Purges des données d'audit et tablespace Oracle Database

Problème : malgré des purges répétées des données d'audit à l'aide de Shared Services, l'espace occupé par les tables n'est pas libéré dans Oracle Database.

Remarque :

Dans Oracle Database, l'espace occupé par les tables n'est pas libéré automatiquement lorsque les données que celles-ci contiennent sont supprimées.

Solution : procédez comme suit :

  1. Arrêtez le serveur Shared Services et exécutez les requêtes suivantes pour réduire l'espace occupé par les tables :

    alter table SMA_AUDIT_ATTRIBUTE_FACT enable row movement 
alter table SMA_AUDIT_ATTRIBUTE_FACT shrink space 

alter table SMA_AUDIT_FACT enable row movement 
alter table SMA_AUDIT_FACT shrink space

  2. Redémarrez le serveur Shared Services.

Authentification unique

Problème : l'agent de sécurité Oracle Single Sign-On (OSSO) étant activé, l'authentification unique (SSO) échoue.

Ce problème survient lorsque les paramètres de sécurité Shared Services définissent OSSO comme fournisseur ou agent d'authentification unique, et Obtenir les utilisateurs à distance à partir d'une demande HTTP comme mécanisme SSO

Solution : utilisez Oracle Hyperion Shared Services Console pour sélectionner les paramètres de sécurité suivants :

  • Fournisseur ou agent d'authentification unique – Autre

  • Mécanisme SSO – En-tête HTTP personnalisé

    L'en-tête HTTP personnalisé par défaut est HYPLOGIN. Vous pouvez spécifier une autre valeur.

Reportez-vous au Guide d'administration de la sécurité utilisateur d'Oracle Enterprise Performance Management System.

Contenu et mises à jour du registre Shared Services

Prudence :

Soyez très prudent lorsque vous modifiez le registre Shared Services, car il joue un rôle critique dans l'exécution des produits EPM System. Effectuez toujours une sauvegarde de la base de données Oracle Hyperion Foundation Services avant de modifier le registre Shared Services.

L'utilitaire Editeur de registres epmsys_registry.bat (Windows) se trouve dans le répertoire EPM_ORACLE_INSTANCE/bin. Son exécution génère un rapport sur le contenu du registre Shared Services. Reportez-vous à la section "Mise à jour du registre Shared Services" dans le Guide des options de déploiement d'Oracle Enterprise Performance Management System.

Problème : vous ne parvenez pas à accéder à l'interface utilisateur de la gestion du cycle de vie Oracle Hyperion Enterprise Performance Management System Shared Services alors que vous avez besoin de voir le contenu du registre Shared Services.

Solution : exécutez l'utilitaire Editeur de registres sans paramètres afin de générer un rapport nommé registry.html.

Problème : vous devez modifier les informations sur l'annuaire des utilisateurs mais ne parvenez pas à accéder à l'interface utilisateur de gestion du cycle de vie Shared Services.

Solution : exécutez l'utilitaire Editeur de registres pour obtenir un rapport sur les informations de déploiement pouvant vous aider à déterminer comment modifier le registre Shared Services.

Annuaires des utilisateurs et provisionnement

Reportez-vous également au Guide d'administration de la sécurité utilisateur d'Oracle Enterprise Performance Management System.

Problèmes de provisionnement et meilleures pratiques

Avec un annuaire des utilisateurs LDAP/MSAD existant, utilisez un navigateur LDAP standard pour explorer les annuaires des utilisateurs où sont stockées les informations d'identification des utilisateurs avant de provisionner les applications EPM System. Les paramètres que le navigateur LDAP emploie pour la connexion à l'annuaire des utilisateurs sont identiques à ceux que les applications EPM System emploient pour se connecter aux annuaires des utilisateurs. Il est possible de télécharger un navigateur LDAP gratuit.

Utilisez le navigateur pour vérifier les points suivants :

  • Possibilité de connexion à l'annuaire des utilisateurs à partir du serveur utilisé

  • Temps de réponse

  • Point de départ (DN de base) de toute recherche dans l'annuaire des utilisateurs

  • Nombre d'utilisateurs et de groupes figurant sous le point de départ

Pour que les performances de connexion soient acceptables :

  • Réduisez le nombre de groupes et d'utilisateurs pour les applications EPM System.

  • Assurez-vous que les ordinateurs serveur qui hébergent les applications EPM System se trouvent au même emplacement géographique que les ordinateurs serveur qui hébergent les annuaires des utilisateurs employés dans le processus de provisionnement.

  • Recherchez un point de départ optimal pour les recherches ou créez une hiérarchie de groupes personnalisée.

  • Indiquez en premier dans l'ordre de recherche l'annuaire à partir duquel le plus grand nombre d'utilisateurs se connecte.

Utilisateurs externes, informations sur les groupes et performances

Reportez-vous au Guide d'administration de la sécurité utilisateur d'Oracle Enterprise Performance Management System.

Problème : le grand nombre d'utilisateurs ou de groupes externes disponibles dans Shared Services entraîne une dégradation des performances.

Solutions :

  • Configurez un filtre pour n'extraire que les utilisateurs requis.

  • Oracle recommande de définir l'URL de groupe et de régler le filtre des groupes de façon à réduire le nombre de groupes que Shared Services doit analyser pour créer le cache. Ceci permet d'améliorer considérablement les performances à l'exécution.

Reportez-vous à Extraction plus rapide des utilisateurs, enregistrement des applications et chargement de sécurité et à Paramètre de taille maximale pour les recherches d'utilisateur/de groupe.

Problème : Shared Services accède aux informations sur les groupes LDAP et MSAD bien que vous n'utilisiez pas de tels groupes.

Solution : créez des groupes dans l'annuaire natif et affectez-leur les utilisateurs des annuaires LDAP et MSAD, puis définissez l'option Utiliser les groupes sur False.

Utilisez Shared Services Console pour modifier la configuration de l'annuaire des utilisateurs. Vérifiez que la case à cocher Prendre en charge les groupes de l'onglet Configuration de groupe n'est pas cochée.

Remarque :

Oracle recommande de définir l'URL de groupe et de régler le filtre des groupes de façon à réduire le nombre de groupes que Shared Services doit analyser pour créer le cache. Ceci permet d'améliorer considérablement les performances à l'exécution.

Conseils et problèmes courants

Les causes les plus courantes des problèmes rencontrés lors de la configuration de Shared Services avec des annuaires des utilisateurs externes sont les suivantes :

  • L'URL de groupe n'est pas définie correctement.

  • Le nom d'hôte, le port ou le contrôleur de domaine n'est pas spécifié correctement.

  • Un trop grand nombre de groupes est défini dans l'URL de groupe.

    Remarque :

    Shared Services génère un avertissement si le nombre de groupes disponibles dans le DN relatif du groupe dépasse 10 000.

Extraction plus rapide des utilisateurs, enregistrement des applications et chargement de sécurité

La procédure qui suit vous permet d'exécuter plus rapidement les tâches suivantes :

  • Extraire la liste des utilisateurs par rapport à des projets

  • Enregistrer des applications

  • Charger la sécurité

Pour améliorer les performances, procédez comme suit :

  1. Si vous prévoyez d'utiliser des groupes :

    1. Utilisez des groupes natifs, et non des groupes externes, pour provisionner les utilisateurs externes et désélectionnez l'option d'utilisation des groupes dans l'onglet des groupes du panneau de configuration du fournisseur LDAP/MSAD.

    2. Définissez toujours une URL de groupe pointant sur le noeud le plus bas de la hiérarchie qui inclut tous vos groupes.

    3. Si possible, utilisez un filtre de groupe.

  2. Limitez le nombre d'utilisateurs ayant accès à EPM System :

    1. Définissez toujours une URL d'utilisateur (User URL) et choisissez-la aussi profonde que possible.

    2. Si possible, définissez un filtre utilisateur.

  3. Utilisez le niveau de journalisation par défaut : WARNING. Basculez ce niveau sur TRACE uniquement pour le débogage. Reportez-vous à la section Configuration ODL.

  4. Avec plusieurs groupes et utilisateurs, définissez la taille du segment de mémoire Java de tous les produits sur 1 Go. Reportez-vous à la section Modification des tailles de segment de mémoire Java.

URL de groupe

Une URL de groupe comportant plus de 10 000 groupes entraîne une dégradation des performances. Pour remédier à ce problème, procédez comme suit :

  • Modifiez l'URL de groupe afin qu'elle pointe sur un noeud de niveau inférieur.

  • Utilisez un filtre de groupe permettant de n'extraire que les groupes provisionnés.

  • Créez une hiérarchie de groupes personnalisée pour prendre en charge les applications EPM System.

Reportez-vous au Guide d'administration de la sécurité utilisateur d'Oracle Enterprise Performance Management System.

Paramètre de taille maximale pour les recherches d'utilisateur/de groupe

Pour les fournisseurs MSAD, LDAP, de base de données et SAP, le nombre d'utilisateurs et de groupes extraits par une recherche est déterminé par le paramètre MaximumSize de la configuration de l'annuaire des utilisateurs. Pour extraire tous les utilisateurs et groupes, affectez-lui la valeur 0. Vous pouvez ensuite utiliser des filtres pour limiter les recherches.

Problèmes de démarrage et d'accès

Résolution d'un problème de démarrage de Shared Services sur le serveur d'applications

Si l'application Web Java Shared Services ne démarre pas :

  1. Consultez les journaux Shared Services qui se trouvent dans le répertoire MIDDLEWARE_HOME/user_projects/domains/EPMSystem/servers/FoundationServices0/logs.

  2. A l'aide des diagnostics EPM System, validez la connectivité de la base de données et vérifiez les annuaires des utilisateurs externes. Ce sont des prérequis pour le démarrage de l'application Web Java. Pour obtenir des instructions sur l'utilisation des diagnostics EPM System, reportez-vous à la section "Validation de l'installation et vérification du déploiement" du Guide d'installation et de configuration d'Oracle Enterprise Performance Management System.

  3. Déterminez si le port par défaut 28080 est utilisé par une autre application en exécutant NETSTAT –an | findstr 0.0.0.0:28080. Si vous obtenez (0.0.0.0:28080), modifiez le port Shared Services ou arrêtez le processus qui utilise le port 28080.

Résolution des problèmes d'accès aux produits à partir de Shared Services

La connexion à d'autres produits EPM System peut être impossible pour les raisons suivantes :

  • La lenteur est inacceptable car l'URL de groupe et le filtre de groupe ne limitent pas le nombre de groupes renvoyé par une recherche.

  • Vous utilisez des informations d'identification non valides.

  • Le serveur qui héberge le produit n'est pas connecté aux serveurs qui hébergent les annuaires des utilisateurs et Shared Services, et vous ne pouvez donc pas être authentifié en tant qu'utilisateur.

Procédez comme suit :

  1. Consultez les fichiers SharedServices_SecurityClient.log (sur le serveur qui héberge le produit) et SharedServices_Security.log (sur le serveur). Reportez-vous à Configuration ODL.

    • Vérifiez le port de l'application Web Java pour vous assurer que vous utilisez le serveur Web.

    • Si des erreurs de cache de groupe sont présentes, arrêtez Shared Services et actualisez le cache.

    • Si des erreurs d'authentification sont présentes, vérifiez que l'URL d'utilisateur est correcte.

  2. Assurez-vous que l'ID utilisateur et le mot de passe sont corrects.

  3. Assurez-vous que le serveur qui héberge le produit peut se connecter aux serveurs qui hébergent les annuaires des utilisateurs et Shared Services.

Réenregistrement de produits auprès de Shared Services

Problème : vous devez réenregistrer des produits auprès de Shared Services. Par exemple, vous devez réenregistrer les produits suite à la suppression accidentelle des informations d'enregistrement.

Solution : réactivez la tâche de configuration de Shared Services en modifiant le registre Shared Services à l'aide de la commande suivante :

Epmsys_registry updateproperty product/instance_task_configuration/@hssregistration Pending, où product identifie le produit EPM System que vous réenregistrez.

Reconfiguration de la base de données Shared Services

Problème : vous ne pouvez pas modifier une base de données Shared Services configurée directement dans le configurateur EPM System.

Solution :

  1. Supprimez le fichier MIDDLEWARE_HOME/user_projects/config/foundation/11.1.2.0/reg.properties.

  2. Redémarrez le configurateur EPM.

  3. Reconfigurez la base de données Shared Services en sélectionnant Se connecter à une base de données configurée précédemment.

Problèmes spécifiques des produits

Shared Services et composants Essbase

Problème : lorsque vous actualisez la sécurité dans Shared Services à partir de la console Oracle Essbase Administration Services, vous recevez le message d'erreur suivant :

Error: 1051502: Analytical Services failed to get roles list for [ESB:Analytic Servers:PLYSHYP08D:1] from Shared Services Server with Error [Failed to connect to the directory server.]

Solution : consultez le fichier SharedServices_SecurityClient.log dans le dossier des journaux Oracle Essbase. Reportez-vous à Utilisation des journaux EPM System.

Problème : vous ne parvenez pas à créer une application Essbase en tant qu'utilisateur Microsoft Active Directory.

Ce problème se produit lorsque Microsoft Active Directory contient des enregistrements d'utilisateur et de contact et que Shared Services est configuré pour renvoyer les deux types d'enregistrement.

Solution : modifiez le fichier CSS.xml pour y spécifier le paramètre objectClass=user. Celui-ci empêche Shared Services de renvoyer les enregistrements de contact du fournisseur Microsoft Active Directory. Le fichier CSS.xml se trouve dans le répertoire EPM_ORACLE_INSTANCE/Config/FoundationServices.

Shared Services et Financial Management

Création d'une application

Problème : vous recevez le message d'erreur Application Creation Fails.

Solution : procédez comme suit :

  • Consultez le fichier SharedServices_SecurityClient.log.

    Si des erreurs de cache de groupe sont présentes, assurez-vous que la définition de l'URL et du filtre de groupe conviennent pour le nombre de groupes. Si des erreurs de propriété Data Broker sont présentes, activez interopjava logging. Pour prendre en charge 1 000 groupes ou plus, utilisez JRE 1.5.

    Sur le serveur, consultez SharedServices_Security.log.

    Si des erreurs sont liées à la mise en cache des groupes, assurez-vous que la définition de l'URL et du filtre de groupe convient pour le nombre de groupes.

  • Consultez les journaux Oracle Hyperion Financial Management. Reportez-vous à la section "Journaux des applications Financial Performance Management" dans la section Utilisation des journaux EPM System.

  • Si le site Web d'interopérabilité redirige sur le serveur d'applications Web Java, assurez-vous que la méthode d'authentification est anonyme et que l'authentification de l'intégration Windows n'est pas utilisée.

Expirations Smart View

Problème : Oracle Smart View for Office avec Financial Management expire au bout d'environ 30 minutes.

Solution : essayez les procédures suivantes :

  • Exécutez l'utilitaire de configuration du serveur et Web sur le serveur Web Financial Management et modifiez le paramètre d'expiration de session Web. (La valeur par défaut est de 20 minutes.)

  • Si le client utilise le fournisseur d'URL pour Smart View (et non le fournisseur Shared Services), cliquez avec le bouton droit de la souris pour obtenir les propriétés de l'annuaire virtuel HFMOfficeProvider dans IIS, puis cliquez sur Configuration dans l'onglet Annuaire virtuel. Dans la nouvelle fenêtre, cliquez sur Options et modifiez le paramètre d'expiration de l'état de session.

  • Modifiez le paramètre du site Web par défaut.

Vérifiez également les paramètres d'expiration du site Web par défaut et les paramètres du fournisseur Smart View dans la configuration Web et du serveur FM.