和其他ORACLE应用一样,BAM的身份认证信息存储在Weblogic LDAP服务器或者其他已添加到weblogic的LDAP服务器内。因此要先在LDAP服务器内添加用户,再将BAM相应的角色授权给该用户,BAM的用户权限的分配是基于角色的。
1、登录Console,选择base_domain->安全领域->myrealm->用户和组->新建
2、提供程序选择DefaultAuthenticator,输入名称和密码确定。
此时如果使用该账号登录到BAM中会发现所有的功能都不能用,因为还没为该用户授予任何权限,连查看报告的权限都没有。
3、登录EM,作如下选择
5、BAM默认提供四种角色,分别有不同的权限,其中Administrator具有所有权限,选择Administrator,点编辑。
6、在面板中将刚才在console中添加的用户添加到Adminstraotor中,添加完后点右上角确定。
7、再次以该用户登录BAM,此时可能会出现以下错误
AUTHENTICATIONEXCEPTION_STARTPAGE_STARTUP_INITIALIZE
BAM-00404: 验证失败。已将用户标记为“不活动”。
出现这种错误的原因在于,BAM对于没有权限的用户会在表SysIterUser中将该用户的Inactive字段标记为1,说明该用户没有权限。由于我们刚才在还没授权的情况下登录过一次因此该用户被标记为Inactive(不活动的),到BAM的数据源数据库中执行以下脚本重新将该用户标志为活动:
UPDATE "SysIterUser" SET "SysIterUser"."GUID" = NULL,"SysIterUser"."Inactive" = 0 WHERE "SysIterUser"."FullName"=USERNAME;
8、再次登录就可以正常登录,并且该用户具有所有权限。
NOTE:对于有些版本的BAM,仅做这些修改还不够,虽然暂时可以正常使用,但过几分钟后就会又抛出BAM-00404的异常,这是因为BAM服务器后台进程每五分钟就会去刷新用户验证信息,也就是SysIterUser表,如果此时存储BAM用户的LDAP服务器不在验证提供程序列表的第一项,那么该用户就会重新被标记为Inactive,这也是BAM的一个BUG。解决办法如下:
登录console,选择base_domain->安全领域->myrealm->提供程序->验证->重新排序.将DefaultAuthenticator移到第一项,重启BAM服务器,虽然官方文档不要求重启服务器,但亲测过只有重启服务器才能生效。