1. 版本
1.1 版本
| 報表伺服器版本 | 插件版本 | 功能變更 |
|---|---|---|
6.0 | V1.7.3 | 基於原同步LDAP域使用者插件,新增支援從多域同步以及LDAPS。 |
| 6.0 | V1.7.5 | 新增支援同步時重新同步使用者型別、優化同步速度、刪除插件不會清空配置項、支援部分特殊符號、支援多域重名使用者同步,新增使用者型別選擇限制(當前使用者型別配置需要同時勾選"平台使用者"型別才能生效)。 |
| 6.0 | V1.7.7 | 新增支援叢集。 |
| 6.0 | V1.7.9 | 新增支援帳號維持大小寫不變。 |
| 6.0 | V1.8.0 | 新增支援同步擴展內容。 |
| 6.0 | V1.8.3 | ldap節點配置頁面新增"節點名稱"編輯框。 ldap同步頁面新增顯示"節點名稱",且支援搜尋名稱。 ldap節點支援暫停同步。 使用者類型支援使用欄位。 |
| 6.0/6.1 | V1.8.7 | 優化SSL認證邏輯(詳情見本文3.2節) 優化帳號重複策略、帳號轉換策略邏輯(詳情見本文3.4節) |
1.2 應用場景
使用者資訊儲存在多個 LDAP 認證伺服器中,管理者希望在數據決策系統中使用插件實現多域 LDAP 認證,並把LDAP伺服器中的使用者直接同步到數據決策系統中,而且相關的設定可以直接複用LDAP認證的配置。
基於原同步LDAP域使用者插件,新增支援從多LDAP域同步使用者。
支援配置LDAPS,並同步多域使用者。
支援單個user屬於多group的ad域結構(例如使用安全組),將user與group之間進行聯動。
1.3 功能介紹
透過安裝「多域ldap認證增強版」插件,在進行「全局設定>認證方式」時,可配置「多域LDAP認證」;設定同步使用者時,可選「從多個LDAP伺服器中同步」;多域認證和同步使用者均支援LDAPS。
注1:若曾配置了「多域 LDAP 認證」插件,需刪除舊插件後,重新安裝「多域 LDAP 認證增強版」插件,重新配置LDAP認證。
注2:若在不同域存在相同帳號的使用者,使用各自的密碼均可登入數據決策系統,但需要共用同一個平台賬戶。
注3:超級管理者不受 LDAP 認證的影響,依舊使用平台內建認證。
注4:暫不支援postgresql 外接資料庫,如果有特殊需求請交握技術支援。
2. 插件介紹
2.1 插件安裝
點選安裝:點選下載
設計器插件安裝方法參照:設計器插件管理
伺服器安裝插件方法參照:伺服器插件管理
2.2 插件簡介
插件安裝完成後,在進行「全局設定>認證方式」時,可配置「多域LDAP認證」
在同步使用者時,使用者來源可選擇「從多個LDAP伺服器中同步」。如下圖所示:
3. 範例
3.1 配置LDAP認證
管理者登入數據決策系統,點選「管理系統>使用者管理>全局設定」,同步使用者的認證方式選擇「多域LDAP認證」,填寫配置資訊。如下圖所示:
多域LDAP認證的配置方法請參見:使用者管理-多域LDAP認證。
參數填寫完成後,點選「測試連結」,連結成功後,點選「儲存」,即配置認證方式成功。
全部新增完成後,點選「儲存」按鈕,跳出數據決策系統,需重新登入。
3.2 配置LDAPS認證
3.1節為一般LDAP認證的配置方式,當需要用到LDAPS連結時,有以下需要注意:
1)節點名稱
V1.8.3及之後的版本支援配置「節點名稱」:
歷史使用V1.8.3之前版本建立的LDAP(s)認證,「節點名稱」顯示為空。
節點名稱不可重複,若重複則提示:節點名稱已存在。
2)URL格式為 ldaps://ip:port
3)點選按鈕,開啟SSL認證。(非必須)
注:SSL認證只支援使用JDK內建證書。若在FineBI工程所在伺服器成功安裝認證,即成功配置系統信任認證,無需手動填寫認證所在路徑,Java可自動讀取已配置為信任的認證。手動填寫的內容不會生效。
3.3 進入同步使用者編輯頁面
1)若管理者首次使用同步使用者
管理者登入數據決策系統,點選「管理系統>使用者管理>所有使用者」,點選「同步使用者」。
跳出提示框「是否保留現有非同步資料,包括匯入/新增的使用者、部門職務、角色」,如下圖所示:
不同選擇對應的更新邏輯如下:
| 選擇 | 定義 |
|---|---|
保留 | 如果現有使用者不在同步資料集中,該使用者資訊和權限將被保留,不修改 如果現有使用者在同步使用者來源中(帳號相同):
|
清空 | 平台現有「手動新增/匯入的使用者」的帳號、姓名、密碼、手機、郵箱、部門、職 務、角色、權限均被刪除,重新同步使用者 |
注1:根據選擇的更新邏輯,首次同步後有部分使用者資訊被更新。
注2:之後能被自動更新的只有已變為同步型別的使用者。
注3:之後的同步,資料集不能再改寫更新內建資料,否則將衝突報錯。
2)若數據決策系統配置過同步使用者
管理者直接點選「同步使用者管理」,選擇「編輯」按鈕,即可進入同步使用者配置頁面。
3.4 配置同步使用者
使用者來源選擇「從多個LDAP伺服器中同步」,系統自動讀取 3.1 節 多域LDAP 認證中的配置,並測試連結。同步使用者配置如下圖所示:
注:若之前配置過「同步使用者」,且使用者來源為「伺服器資料集」,切換時會跳出提示「切換使用者來源後將清空原有同步資料,包括使用者及其部門、職務、角色、權限等,確認切換?」,點選「確定」,即可完成LDAP使用者同步。
其他配置項:
| 配置项 | 说明 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
| 同步频率 | 支援透過兩種方式執行同步使用者操作:簡單重複執行、表式設定。 1)簡單重複執行 從LDAP伺服器中自動同步使用者的間隔時間,預設為 43200 秒。 同步使用者設定了同步頻率,可自動進行多次同步,到達設定頻率後自動進行同步,不斷把LDAP伺服器中變化的資料同步到平台。 注:同步頻率不宜過高,否則會導緻後臺日誌不斷重新整理,日誌體積無限膨脹。
2)表式設定 支援透過 Cron 表式設定任務執行的時間點,該任務可以是每天重複執行,隔日重複執行或者是單次執行等等各種不同組合的觸發時間點。 Cron 表式的文法和寫法請參見:Cron 表式
| ||||||||
| 使用者可編輯 | 「使用者可編輯」按鈕預設不勾選,勾選後,同步狀態下使用者資訊可編輯。 使用者可編輯姓名、手機、郵箱,已存在使用者的以上欄位在自動同步/手動同步時將不再更新。具體功能如下表所示: 注:由於開啟了同步使用者LDAP認證,除了超管使用者和內建使用者外,所有的同步使用者涉及密碼相關的操作都是不可用的:包括設定加密方式、忘記密碼、修改密碼、重置密碼等。
| ||||||||
| 帳號重複策略 | 支援2種處理方式:自動覆蓋、提示重復資訊並中斷同步
特殊情況: 當設定多個同步任務(如任務A和任務B)來從不同的LDAP域(如域A和域B)中同步使用者時,如果這些域中存在重複使用者(假设为User1),且不具有安全組結構,並且帳號重複策略選擇「自動改寫」,則在任務A暫停後,同步任務B時會按以下邏輯處理重複使用者(User1)的資訊:
注:僅支持V1.8.7及之後版本。 | ||||||||
| 帳號轉換策略 | 1)V1.7.9之前的版本 同步使用者時,會將帳號統一轉換成小寫。 2)V1.7.9及之後的版本 新增「帳號轉換策略」,支援2種策略: 注1:無特殊需求建議不勾選此項,預設以小寫形式存入資料庫。 注2:若同時勾選2種策略,效果等同於只勾選「轉大寫」。
LDAP內大小寫不同的使用者將會被視為同一個使用者,同步時依照上一步中選定的「帳號重複策略」進行自動覆蓋或中斷同步任務。 當同步任務成功後: a)若外接資料庫大小寫敏感:使用者需根據設定的「帳號轉換策略」,使用轉為大寫/小寫後的帳號進行登入決策系統。 b)若外接資料庫大小寫不敏感:使用大寫/小謝帳號均能登入決策系統。 注:若外接資料庫大小寫敏感且歷史同步過LDAP使用者時,切換「帳號轉換策略」會導致同步失敗,需要清空歷史資料後重新同步。 修改配置後重新同步可能會導緻部分使用者配置權限丟失,例如:ANNA原先同步時入庫保存為anna,勾選「維持大小寫不變」後重新同步,該使用者將保存為ANNA,此時,原先分配給anna的角色配置將丟失,ANNA無法繼承anna的角色配置。 | ||||||||
| 啟用同步LDAP URL | 1)可透過URL和節點名稱對已添加的節點進行搜尋。 注:V1.8.3之前的版本無此功能且不顯示節點名稱。
2)點選按鈕,即可編輯該域的同步屬性。
3)點選按鈕,即可控制多個域的同步狀態為「已開啟」或「已禁用」。
4)點選按鈕,可控制同步任務的啟動和暫停。
注:V1.8.3之前的版本無此功能。
|
3.5 LDAP節點配置
3.5.1 使用者屬性
對於使用者屬性欄位,需要先選擇ObjectClass,再選擇ObjectClass內的屬性值。
注:配置「同步使用者」時,不需要配置密碼,實際認證走 LDAP 密碼認證。
| 配置項 | 說明 | 是否必填 | |||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ObjectClass | 選擇儲存使用者屬性的ObjectClass | 必填 | |||||||||||||||||||||
| 使用者重複驗證欄位 | 可選擇透過帳號或使用者ID進行使用者重複驗證 1)若選擇使用者ID,則同步「使用者ID 帳號」欄位,所在表中的 ID 欄位值為同步使用者時LDAP伺服器中的使用者ID 2)若選擇帳號,則同步「帳號」欄位,所在表中的 使用者ID 欄位值將由系統隨機生成 | 必填 | |||||||||||||||||||||
| 使用者ID | 僅在「使用者重複驗證欄位」選擇「使用者ID」時需要填寫 選擇使用者屬性中的UID(使用者ID | 必填 | |||||||||||||||||||||
| 帳號 | 選擇使用者屬性中的帳號 LDAP 伺服器中儲存的帳號,不可使用雙位元組日語、繁體中文或朝鮮文字元。否則在平台登入時提示「帳號或密碼錯誤」。 | 必填 | |||||||||||||||||||||
| 使用者類型 | 共有4種預設類型:「BI編輯使用者」、「BI查看使用者」、「平台使用者」、「行動平台使用者」
| 非必填 | |||||||||||||||||||||
| 姓名 | 選擇使用者屬性中的姓名 | 必填 | |||||||||||||||||||||
| 手機 | 選擇使用者屬性中的手機號 | 非必填 | |||||||||||||||||||||
| 郵箱 | 選擇使用者屬性中的郵箱 | 非必填 | |||||||||||||||||||||
| 擴展內容 | 選擇需要同步的其他內容(支援多選)
注:V1.8.0及之後的版本支援該功能。設定後數據將以JSON格式儲存至FineDB庫Fine_Extra_Properties表中。 | 非必填 |
3.5.2 部門屬性
對於部門屬性欄位,需要先選擇ObjectClass,再選擇ObjectClass內的屬性值。
部門屬性可不配置,但若選擇了ObjectClass,則必須配置部門名稱/部門ID。
注:若使用安全組作為部門進行同步,可忽略此部分配置。
| 配置項 | 說明 | 是否必填 |
|---|---|---|
| ObjectClass | 選擇儲存部門屬性的ObjectClass 注:不支援部門屬性和角色屬性使用同一個ObjectClass的不同屬性。 | 非必填 要麼都不填、要麼都填 |
| 部門重複驗證欄位 | 可選擇透過部門名稱或部門ID進行部門重複驗證。 1)若選擇 ID,則同步「ID 名稱」欄位,所在表中的 ID 欄位值為同步使用者時LDAP伺服器中的 ID。 2)若選擇名稱,則同步「名稱」欄位,所在表中的 ID 欄位值將由系統隨機生成。 | |
| 部門ID | 僅在「部門重複驗證欄位」選擇「部門ID」時需要填寫 選擇部門屬性中的UID(部門ID) | |
| 部門名稱 | 選擇部門屬性中的部門名稱 |
3.5.3 角色屬性
對於角色屬性欄位,需要先選擇ObjectClass,再選擇ObjectClass內的屬性值。
角色屬性可不配置,但若選擇了ObjectClass,則必須配置角色名稱/角色ID。
| 配置項 | 說明 | 是否必填 |
|---|---|---|
| ObjectClass | 選擇儲存角色屬性的ObjectClass 注:不支援部門屬性和角色屬性使用同一個ObjectClass的不同屬性。 | 非必填 要麼都不填、要麼都填 |
| 角色重複驗證欄位 | 可選擇透過角色名稱或角色ID進行角色重複驗證 1)若選擇 ID,則同步「ID 名稱」欄位,所在表中的 ID 欄位值為同步使用者時LDAP伺服器中的 ID 2)若選擇名稱,則同步「名稱」欄位,所在表中的 ID 欄位值將由系統隨機生成 | |
| 角色ID | 僅在「角色重複驗證欄位」選擇「角色ID」時需要填寫 選擇角色屬性中的UID(角色ID) | |
| 角色名稱 | 選擇角色屬性中的角色名稱 |
3.5.4 安全組屬性(以安全組作為部門同步)
在Active Directory(AD)域中,安全組(Security Group)是一種用於管理和分配權限的物件。安全組是AD中的一個重要概念,它允許管理者將一組使用者或計算機歸為一組,並向該組授予特定資源或物件的存取權限。
該項配置講實現同步安全組member屬性對應的使用者。
注1:安全組屬性不可和部門屬性同時配置,否則提示:“部門屬性和安全組屬性不可同時配置“
注2:安全組屬性不可和自訂部門屬性同時配置,否則提示:“自訂部門屬性和安全組屬性不可同時配置“
一般適用的結構為:
配置項如下:
| 配置項 | 說明 | 是否必填 |
|---|---|---|
| ObjectClass | 選擇儲存安全組(部門)屬性的ObjectClass。 選擇ObjectClass後根據ObjectClass載入所有安全組(作為“組選擇”對應的下拉複選框元件的選項)。 | 非必填 要麼都不填、要麼都填 |
| 組名稱 | 如果選擇了“組名稱”屬性,則取組名稱欄位對應的ldap屬性值為“組選擇”下拉選項的顯示值。 | 非必填 若不填,“組選擇”下拉選項將預設讀取cn |
組選擇 組與部門映射 | 選擇安全組之後,組部門映射自動載入映射表格,“部門名稱“列支援手寫輸入。 | 非必填 要麼都不填、要麼都填 |
3.6 效果查看
若 LDAP 系統認證成功,且LDAP域使用者同步成功。
如圖所示啟用了兩個LDAP URL,點選確認後進行同步。
同步成功提示如下:
使用者輸入LDAP伺服器中儲存的帳號、LDAP伺服器中的密碼,即可進入數據決策系統,按照該使用者在平台中的權限進行相應操作。如下圖所示:
注1:若在平台中不存在輸入帳號,或平台中對應的使用者被禁用,或開啟了平台使用使用者限制且不包含使用者,則不與 LDAP 伺服器進行通訊,直接提示「帳號或密碼錯誤」或「使用者不可用」。
注2:LDAP 伺服器中儲存的帳號,不可使用雙位元組日語、繁體中文或朝鮮文字元。否則在平台登入時提示「帳號或密碼錯誤」。
LDAP 伺服器中儲存的密碼,不可使用雙位元組日語、繁體中文、簡體中文或朝鮮文字元。否則在平台登入時提示「帳號或密碼錯誤」。
4. 注意事項
4.1 特殊字元限制
1)安全組名稱
在AD中建立安全組時禁用以下符號: / \ [] : ; | = , + * ? < > "
2)使用者名稱
在AD中建立使用者時禁用以下符號: / \ [] : ; | = , + * ? < > @ "
綜上,同步時支援的帳號包含的特殊符號僅有:( ) _ 空格
3)OU名稱
支援使用: / \ () _ ; , + * < > 空格
4.2 插件禁用刪除
1)v1.7.5版本及之後的版本
插件刪除後配置保留
2)v1.7.4版本及之前的版本
插件刪除會刪除已有配置,請謹慎刪除並做好配置資訊的備份。
配置連結相關資訊存儲在FineDB庫FINE_CONF_ENTITY表中。查詢語句:SELECT * FROM FINE_CONF_ENTITY WHERE ID LIKE '%FINE_MULTI_LDAP VALUES%'
注:如刪除重裝插件後需恢復原有配置,需手動修改FineDB後重啟,該操作較危險,請聯絡技術支援協助進行,並務必保證操作前做好備份工作。
