Shared Services

Esecuzione di Agente di diagnostica remoto

Prima di segnalare un bug di Oracle Hyperion Shared Services, eseguire Agente di diagnostica remoto (RDA, Remote Diagnostics Agent). Allegare l'output di RDA al report del bug. Il file di output si trova in /ohs/rda.

Per eseguire RDA, immettere in una finestra di comando il comando riportato di seguito.

/ohs/rda/rda.cmd

Per ulteriori informazioni, fare riferimento al file Readme di RDA in /ohs/rda.

Accesso a Shared Services

Problema: l'accesso a Shared Services non riesce.

Soluzione: risolvere i problemi delle directory utente e dell'applicazione Web Java Shared Services avviando Oracle Hyperion Enterprise Performance Management System Diagnostics per assicurarsi che le applicazioni Web Java dei prodotti siano avviate. Per istruzioni, fare riferimento alla sezione "Convalida dell'installazione e verifica della distribuzione" nella Guida di installazione e configurazione di Oracle Enterprise Performance Management System.

Controllare inoltre il file SharedServices_Security.log. Se non è possibile accedere ai prodotti, controllare SharedServices_SecurityClient.log. Fare riferimento alla sezione Utilizzo dei log di EPM System.

Se non si riesce ad accedere a Microsoft Active Directory, assicurarsi che Shared Services sia configurato per l'utilizzo della ricerca DNS per individuare Active Directory. Per le istruzioni, fare riferimento alla soluzione nella prossima sezione, "Alta disponibilità di Active Directory". Il motivo più comune degli errori di accesso ad Active Directory è che l'host specificato come controller di dominio è offline per manutenzione.

Alta disponibilità di Active Directory

Problema: è necessario assicurare l'alta disponibilità di Microsoft Active Directory

Soluzione: Configurare Shared Services per l'utilizzo della ricerca DNS per individuare Active Directory:

• Specificare il nome di dominio.

• (Facoltativo) Specificare il sito e l'indirizzo IP DNS.

Quando è configurato in modo da eseguire una ricerca DNS, Shared Services esegue una query nel server DNS per identificare i controller di dominio registrati e passa a un controller di dominio disponibile in caso di errore. Per ulteriori informazioni, fare riferimento a Oracle Enterprise Performance Management System User Security Administration Guide (in lingua inglese).

Registrazione dei prodotti

Problema: non è possibile registrare un prodotto Oracle Enterprise Performance Management System con Shared Services se il prodotto e Shared Services si trovano in computer diversi. In SharedServices_security.log viene registrato il messaggio riportato di seguito.

com.hyperion.interop.lib.OperationFailedException: Impossibile eseguire l'autenticazione

Soluzione:

• Verificare che la password dell'amministratore per Shared Services sia corretta.

• Registrarsi presso una qualsiasi origine ora online che utilizzi un orologio atomico e assicurarsi che entrambi i computer utilizzino questa origine ora, in modo che siano sincronizzati.

Blocco di sicurezza dopo alcuni tentativi di accesso non riusciti

Problema: per motivi di sicurezza, si desidera bloccare gli utenti che hanno effettuato diversi tentativi di accesso a Oracle Hyperion Enterprise Performance Management Workspace non riusciti.

Soluzione: in una directory esterna (ad esempio Microsoft Active Directory o una directory utente abilitata per LDAP, come Oracle Internet Directory), creare criteri di password per definire quanti tentativi di accesso consentire prima di bloccare l'utente. EPM System rispetta tutti i blocchi controllati dai criteri di password per la directory utenti esterna. Poiché le funzioni di sicurezza di EPM System Release 11.1.2 non supportano i criteri di password per la directory nativa, non è possibile bloccare un utente di directory nativa dopo un numero specifico di tentativi di login non riusciti.

Asterischi nei nomi utente

Problema: un utente il cui nome utente includa un asterisco (*) può visualizzare senza autorizzazione le informazioni di altri utenti con nome utente simile.

Soluzione: non utilizzare il carattere asterisco (*) nei nomi utente o nei nomi comuni (CN, Common Name), poiché è il carattere jolly utilizzato per le ricerche eseguite nel registro di Oracle Hyperion Shared Services. Per informazioni sui caratteri supportati nei nomi utente, fare riferimento al manuale Oracle Enterprise Performance Management System User Security Administration Guide (in lingua inglese).

Nome utente amministratore di EPM System

Problema: si desidera che l'amministratore di EPM System sia un utente della directory aziendale anziché "admin", perché anche l'amministratore sia soggetto ai criteri di password.

Soluzione: in Shared Services, assegnare il ruolo Amministratore agli utenti che si desidera che svolgano la funzione di amministratore EPM.

Messaggio AuditHandler

Problema: il file SharedServices_Audit.log include la riga riportata di seguito.

AuditHandler - Server Audit Enable Status:- false

Soluzione: è possibile ignorare questo messaggio, che indica che l'auditing non è abilitato sul server Shared Services.

Un messaggio di stato AuditHandler viene registrato ogni volta che un client di audit invia un comando ping al server per conoscerne lo stato. Se l'auditing è abilitato, il client procede con i relativi eventi. In caso contrario, il client ignora tali eventi.

Rimozioni dei dati di audit e tablespace di Oracle Database

Problema: dopo la rimozione ripetuta di dati di audit mediante Shared Services, la tablespace non viene liberata in Oracle Database.

Soluzione: eseguire la procedura seguente.

1. Arrestare il server Shared Services ed eseguire le query riportate di seguito per ridurre lo spazio occupato dalle tabelle.

   alter table SMA_AUDIT_ATTRIBUTE_FACT enable row movement 
   alter table SMA_AUDIT_ATTRIBUTE_FACT shrink space 
   
   alter table SMA_AUDIT_FACT enable row movement 
   alter table SMA_AUDIT_FACT shrink space 
   

2. Riavviare il server Shared Services.

Single Sign-On

Problema: con l'agente di sicurezza Oracle Single Sign-On (OSSO) abilitato, l'accesso Single Sign-On (SSO) non riesce.

Questo problema si verifica quando le impostazioni di sicurezza di Shared Services indicano OSSO come provider o agente SSO e Richiama utente remoto da richiesta HTTP come meccanismo SSO

Soluzione: utilizzando Oracle Hyperion Shared Services Console, selezionare le impostazioni di sicurezza sotto riportate.

• Provider o agente SSO-Altro

• Meccanismo SSO-Intestazione HTTP customizzata

  Il valore predefinito di Intestazione HTTP customizzata è HYPLOGIN. È possibile specificare un valore diverso.

Fare riferimento al manuale Oracle Enterprise Performance Management System User Security Administration Guide (in lingua inglese).

Contenuti e aggiornamenti del registro di Shared Services

L'utility Editor registro, epmsys_registry.bat (Windows), si trova in EPM_ORACLE_INSTANCE/bin. Quando si esegue questa utility, viene creato un report dei contenuti del registro di Shared Services. Fare riferimento alla sezione "Aggiornamento del registro di Shared Services" nella Oracle Enterprise Performance Management System Deployment Options Guide (in lingua inglese)

Problema: non è possibile accedere all'interfaccia utente di Shared Services in Oracle Hyperion Enterprise Performance Management System Lifecycle Management ed è necessario visualizzare i contenuti del registro di Shared Services.

Soluzione: eseguire l'utility Editor registro senza parametri per generare un report denominato registry.html.

Problema: è necessario modificare informazioni contenute nella directory utenti ma non è possibile accedere all'interfaccia utente di Shared Services in Lifecycle Management.

Soluzione: Eseguire l'utility Editor registro per ottenere un report delle informazioni sulla distribuzione che possono essere utili per stabilire come modificare il registro di Shared Services.

Directory utenti e assegnazione di ruoli

Fare inoltre riferimento al manuale Oracle Enterprise Performance Management System User Security Administration Guide (in lingua inglese).

Problemi di assegnazione ruoli e procedure ottimali

Se si dispone di una directory utenti LDAP/MSAD esistente, utilizzare un browser LDAP standard per esplorare le directory utenti in cui sono memorizzate le credenziali utente prima di assegnare ruoli per le applicazioni EPM System. Le impostazioni utilizzate dal browser LDAP per connettersi alla directory utenti sono identiche a quelle utilizzate dalle applicazioni EPM System per la connessione alle directory utenti. È possibile scaricare un browser LDAP gratuito.

Utilizzare il browser per controllare i punti riportati di seguito.

• Se è possibile connettersi alla directory utenti dal server che si sta utilizzando

• Tempo di risposta

• Punto di inizio (DN di base) per qualsiasi ricerca nella directory utenti

• Conteggio degli utenti e dei gruppi al di sotto del punto di inizio

Per garantire performance di login accettabili, riprodurre i passi sotto riportati.

• Ridurre al minimo il numero di gruppi e utenti per le applicazioni EPM System.

• Assicurarsi che i computer server che ospitano le applicazioni EPM System si trovino nella stessa area geografica dei computer server che ospitano le directory utenti utilizzate nel processo di assegnazione ruoli.

• Individuare un punto di inizio ottimale per le ricerche o creare una gerarchia di gruppi customizzata.

• Per il primo elemento nell'ordine di ricerca, specificare la directory dalla quale esegue il login il maggior numero di utenti.

Informazioni di utenti e gruppi esterni e performance

Fare riferimento al manuale Oracle Enterprise Performance Management System User Security Administration Guide (in lingua inglese).

Problema: peggioramento delle performance a causa del grande numero di utenti o gruppi esterni disponibili in Shared Services.

Soluzioni:

• Impostare un filtro per recuperare solo gli utenti necessari.

• Oracle consiglia di impostare l'URL dei gruppi e di perfezionare il filtro dei gruppi per ridurre il numero di gruppi che Shared Services deve analizzare per creare la cache. In questo modo le performance in runtime migliorano significativamente:

Fare riferimento alle sezioni Maggiore rapidità di recupero degli utenti, registrazione delle applicazioni e caricamento di sicurezza e Impostazione della dimensione massima per le ricerche di utenti o gruppi.

Problema: Shared Services accede alle informazioni dei gruppi LDAP e MSAD anche quando non si utilizzano gruppi LDAP o MSAD.

Soluzione: creare gruppi nella directory nativa e assegnare a tali gruppi utenti delle directory LDAP e MSAD, quindi impostare l'opzione "Utilizza gruppi" su false.

Utilizzare Shared Services Console per modificare la configurazione della directory utenti. Verificare che la casella di controllo Supporta gruppi nella scheda Configurazione gruppo sia deselezionata.

Suggerimenti e problemi comuni

Di seguito sono indicate le cause più comuni dei problemi che possono verificarsi quando si configura Shared Services con directory utenti esterne.

• L'URL dei gruppi non è definito correttamente.

• Il nome host, la porta o il controller di dominio non è specificato correttamente.

• Nell'URL dei gruppi sono specificati troppi gruppi.

  Nota:

  In Shared Services viene visualizzato un avviso se il numero di gruppi disponibili nell'URL gruppo supera i 10.000.

Maggiore rapidità di recupero degli utenti, registrazione delle applicazioni e caricamento di sicurezza

La procedura riportata di seguito consente di eseguire più rapidamente i seguenti task:

• Recupero di elenchi di utenti in base a progetti

• Registrazione di applicazioni

• Caricamento delle informazioni di sicurezza

Per aumentare le performance, riprodurre i passi sotto riportati.

1. Se si prevede di utilizzare gruppi:

   1. Utilizzare gruppi nativi, non esterni, per l'assegnazione ruoli di utenti esterni, e deselezionare l'opzione Utilizza gruppi nella scheda Gruppi del pannello di configurazione del provider LDAP/MSAD.

   2. Impostare sempre l'URL dei gruppi sul nodo più basso che comprende tutti i gruppi in uso.

   3. Utilizzare un filtro per i gruppi, se possibile.

2. Limitare il numero degli utenti con accesso a EPM System:

   1. Definire sempre un URL utente e impostarlo più in profondità possibile.

   2. Impostare un filtro per gli utenti, se possibile.

3. Utilizzare il livello di logging predefinito, WARNING. Modificare il livello in TRACE solo a scopo di debug. Fare riferimento alla sezione Configurazione ODL.

4. Per più utenti e gruppi, impostare la dimensione dell'heap Java in tutti i prodotti su 1 GB. Fare riferimento alla sezione Modifiche alla dimensione dell'heap Java.

URL gruppo

Se in URL gruppo sono presenti più di 10.000 gruppi, le performance peggiorano. Per risolvere questo problema:

• Modificare URL gruppo in modo che punti a un nodo di livello inferiore.

• Utilizzare un filtro per i gruppi che recuperi solo gruppi con assegnazione ruoli.

• Creare una gerarchia di gruppi customizzata per supportare le applicazioni EPM System.

Fare riferimento al manuale Oracle Enterprise Performance Management System User Security Administration Guide (in lingua inglese).

Impostazione della dimensione massima per le ricerche di utenti o gruppi

Per i provider MSAD, LDAP, database e SAP, il numero di utenti e gruppi recuperati da una ricerca è determinato dall'impostazione MaximumSize nella configurazione della directory utenti. Per recuperare tutti gli utenti e i gruppi, impostare MaximumSize su 0 al momento di configurare le directory utenti. Sarà quindi possibile utilizzare filtri per limitare le ricerche.

Problemi di avvio e accesso

Risoluzione di un avvio di Shared Services sul server applicazioni

Se l'applicazione Web Java Shared Services non si avvia, riprodurre i passi sotto riportati.

1. Esaminare i log di Shared Services in MIDDLEWARE_HOME/user_projects/domains/EPMSystem/servers/FoundationServices0/logs.

2. Da EPM System Diagnostics, verificare il funzionamento della connettività al database e controllare le directory degli utenti esterni. Questi costituiscono i prerequisiti per l'avvio delle applicazioni Web Java. Per istruzioni sull'utilizzo di EPM System Diagnostics, fare riferimento alla sezione "Convalida dell'installazione e verifica della distribuzione" nella Guida di installazione e configurazione di Oracle Enterprise Performance Management System.

3. Determinare se la porta predefinita 28080 è utilizzata da un'altra applicazione mediante il comando NETSTAT –an | findstr 0.0.0.0:28080. Se il risultato è (0.0.0.0:28080), cambiare la porta di Shared Services o arrestare il processo che utilizza la porta.

Risoluzione dei problemi di accesso ai prodotti da Shared Services

L'accesso ad altri prodotti EPM System può non riuscire per i motivi sotto riportati.

• Le performance sono inaccettabili perché l'URL gruppi e il filtro dei gruppi non limitano il numero dei gruppi restituiti da una ricerca.

• Si utilizzano credenziali di accesso non valide.

• Il server che ospita il prodotto non è connesso ai server che ospitano le directory utenti e Shared Services, pertanto l'autenticazione dell'utente non può essere effettuata.

Eseguire i task riportati di seguito.

1. Esaminare SharedServices_SecurityClient.log (sul server che ospita il prodotto) e SharedServices_Security.log (sul server). Fare riferimento a Configurazione ODL.

   • Controllare la porta dell'applicazione Web Java per assicurarsi di utilizzare il server Web.

   • Se sono presenti errori della cache dei gruppi, arrestare Shared Services e aggiornare la cache.

   • Se sono presenti errori di autenticazione, verificare che l'URL utente sia corretto.

2. Verificare che l'ID utente e la password siano corretti.

3. Assicurarsi che il server che ospita il prodotto possa connettersi ai server che ospitano le directory utenti e Shared Services.

Ripetizione della registrazione di prodotti con Shared Services

Problema: è necessario ripetere la registrazione dei prodotti con Shared Services. Questa operazione è necessaria, ad esempio, se si eliminano accidentalmente le informazioni di registrazione.

Soluzione: riabilitare il task di configurazione di Shared Services modificando il registro di Shared Services mediante il comando sotto riportato.

Epmsys_registry updateproperty prodotto/instance_task_configuration/@hssregistration Pending, dove prodotto identifica il prodotto EPM System di cui si sta ripetendo la registrazione.

Riconfigurazione del database di Shared Services

Problema: non è possibile modificare un database di Shared Services configurato direttamente in EPM System Configurator.

Soluzione:

1. Eliminare MIDDLEWARE_HOME/user_projects/config/foundation/11.1.2.0/reg.properties.

2. Riavviare EPM System Configurator.

3. Riconfigurare il database di Shared Services selezionando Connetti a database configurato in precedenza.

Problemi specifici di prodotto

Shared Services e componenti Essbase

Problema: quando si aggiornano le informazioni di sicurezza in Shared Services dalla console di Oracle Essbase Administration Services, si riceve il messaggio di errore riportato di seguito.

Errore 1051502: Analytical Services non è riuscito a recuperare la lista di ruoli per [ESB:Analytic Servers:PLYSHYP08D:1] dal server di Shared Services. Errore: [Connessione al server delle directory non riuscita.]

Soluzione: fare riferimento a SharedServices_SecurityClient.log nella cartella dei log di Oracle Essbase. Fare riferimento alla sezione Utilizzo dei log di EPM System.

Problema: non è possibile creare un'applicazione Essbase con un account utente Microsoft Active Directory.

Questo problema si verifica se Microsoft Active Directory contiene record utente e contatto e Shared Services è configurato per restituire entrambi i tipi di record.

Soluzione: modificare CSS.xml specificando l'impostazione objectClass=user. Questa impostazione in Shared Services impedisce al provider Microsoft Active Directory di restituire record contatto. Il file CSS.xml si trova in EPM_ORACLE_INSTANCE/Config/FoundationServices.

Shared Services e Financial Management

Creazione di applicazioni

Problema: si riceve il messaggio di errore che informa che la creazione dell'applicazione non è riuscita.

Soluzione: eseguire i task riportati di seguito.

• Esaminare il file SharedServices_SecurityClient.log.

  Se vengono visualizzati errori della cache dei gruppi, assicurarsi che l'URL e il filtro dei gruppi siano impostati adeguatamente per i conteggi dei gruppi. Se sono visualizzati errori di proprietà del broker dei dati, abilitare la funzione di logging interopjava. Utilizzare JRE 1.5 per supportare 1.000 gruppi o più.

  Sul server, esaminare SharedServices_Security.log.

  Se gli errori riguardano la memorizzazione dei gruppi nella cache, assicurarsi che l'URL e il filtro dei gruppi siano impostati adeguatamente per i conteggi dei gruppi.

• Esaminare i log di Oracle Hyperion Financial Management. Fare riferimento alla sezione "Log delle applicazioni Financial Performance Management" in Utilizzo dei log di EPM System.

• Se il sito Web interop reindirizza al server applicazioni Web Java, assicurarsi che il metodo di autenticazione sia anonimo e che non venga utilizzata l'autenticazione dell'integrazione di Windows.

Timeout di Smart View

Problema: Oracle Smart View for Office con Financial Management genera un timeout dopo circa 30 minuti.

Soluzione: provare le procedure riportate di seguito.

• Eseguire l'utility Configurazione server e Web sul server Web di Financial Management e modificare l'impostazione relativa al timeout della sessione Web. L'impostazione predefinita è 20 minuti.

• Se per Smart View il client utilizza il provider URL, non il provider Shared Services, fare clic con il pulsante destro del mouse per le proprietà della directory virtuale HFMOfficeProvider in IIS, quindi fare clic su Configurazione sulla scheda Directory virtuale. Nella nuova finestra, fare clic su Opzioni e modificare l'impostazione relativa al timeout dello stato della sessione.

• Modificare l'impostazione del sito Web predefinito.

Controllare inoltre le impostazioni relative al timeout di Sito Web predefinito e Provider Smart View in Configurazione server e Web di Financial Management.