反馈已提交

网络繁忙

您正在浏览的是 FineBI6.1 帮助文档,点击跳转至: FineBI5.1帮助文档

同步LDAP域用户

  • 文档创建者:Carly
  • 历史版本:7
  • 最近更新:Carly 于 2024-03-25
  • 1. 版本

    1.1 版本

    FineBI服务器版本

    同步LDAP域插件版本

    功能变更
    6.0V2.0
    -

    1.2 应用场景

    用户希望从LDAP服务器中同步用户,但是需要把LDAP服务器中的数据转存到其他表中,既不安全,又非常麻烦。

    用户希望把LDAP服务器中的用户直接同步到数据决策系统中,而且相关的设置可以直接复用LDAP认证的配置。

    1.3 功能介绍

    通过安装「同步LDAP域用户」插件,在进行同步用户设置的时候,可以直接选择「从LDAP服务器中同步」。

    2. 插件介绍

    2.1 插件安装

    点击下载插件:同步LDAP域用户

    插件安装方法参照: 插件管理

    2.2 插件简介

    插件安装完成后,在同步用户时,用户来源可选择「从LDAP服务器中同步」。如下图所示:

    3. 示例

    3.1 配置LDAP认证

    管理员登录数据决策系统,点击「管理系统>用户管理>全局设置」,同步用户的认证方式选择「LDAP认证」,填写配置信息。如下图所示:

    LDAP认证的配置方法请参见:LDAP 认证 。

    参数填写完成后,点击「测试连接」,连接成功后,点击「保存」,即配置认证方式成功。

    3.2 进入同步用户编辑页面

    1)若管理员首次使用同步用户

    管理员登录FineBI系统,点击「管理系统>用户管理>所有用户」,点击「同步用户」。

    跳出提示框「是否保留现有非同步数据,包括导入/添加的用户、部门职务、角色」,如下图所示:

    不同选择对应的更新逻辑如下:

    选择
    定义
    保留

    如果现有用户不在同步数据集中,该用户信息和权限将被保留,不修改

    如果现有用户在同步用户来源中(用户名相同):

    • 该用户的用户名不变,权限保留

    • 该用户的姓名、密码、手机、邮箱覆盖更新

    • 该用户当前所属的部门职务、角色若存在于同步用户来源中,则覆盖更新

    • 该用户当前所属的部门职务、角色若不存在于同步用户来源中,则保留不变

    清空

    平台现有「手动添加/导入的用户」的用户名、姓名、密码、手机、邮箱、部门、职务、角色、权限均被删除,重新同步用户

    注:根据选择的更新逻辑,首次同步后有部分用户信息被更新。

          之后能被自动更新的只有已变为同步类型的用户。

          之后的同步,数据集不能再覆盖更新内置数据,否则将冲突报错。

    2)若数据决策系统配置过同步用户

    管理员直接点击「同步用户管理」,选择「编辑」按钮,即可进入同步用户配置页面。

    3.3 配置同步用户

    用户来源选择「从LDAP服务器中同步」,系统自动读取 3.1 节 LDAP 认证中的配置,并测试连接。同步用户配置如下图所示:

    注1:若之前配置过「同步用户」,且用户来源为「服务器数据集」,切换时会跳出提示「切换用户来源后将清空原有同步数据,包括用户及其部门、职务、角色、权限等,确认切换?」,点击「确定」,即可完成LDAP用户同步。

    注2:若 3.1 节 LDAP 认证连接失败,则在此步骤中会出现红色提示「提示:LDAP连接失败,请在同步的用户-LDAP认证中确认相关配置」。

    3.3.1 同步频率

    支持通过两种方式执行同步用户操作:简单重复执行、表达式设置。

    1)简单重复执行

    从LDAP服务器中自动同步用户的间隔时间,默认为 43200 秒。

    同步用户设置了同步频率,可自动进行多次同步,到达设定频率后自动进行同步,不断把LDAP服务器中变化的数据同步到平台。

    注:同步频率不宜过高,否则会导致后台日志不断刷新,日志体积无限膨胀。

    2)表达式设置

    支持通过 Cron 表达式设置任务执行的时间点,该任务可以是每天重复执行,隔日重复执行或者是单次执行等等各种不同组合的触发时间点。

    Cron 表达式的语法和写法请参见:Cron 表达式

    3.3.2 用户可编辑

    「用户可编辑」按钮默认不勾选,勾选后,同步状态下用户信息可编辑。

    用户可编辑姓名、手机、邮箱,已存在用户的以上字段在自动同步/手动同步时将不再更新。具体功能如下表所示:

    注:由于开启了同步用户LDAP认证,除了超管用户和内置用户外,所有的同步用户涉及密码相关的操作都是不可用的:包括设置加密方式、忘记密码、修改密码、重置密码等。

    用户身份说明
    超级管理员

    1)再次同步时,平台现存用户的姓名、手机、邮箱字段将不再更新

    2)可编辑平台所有现存用户的姓名、手机、邮箱,不可编辑角色

    3)超管可在「账号设置」处编辑自己的姓名、密码、手机、邮箱

    4)可在登录页使用 忘记密码 功能

    同步用户类型的

    次级管理员

    1)可修改有权限的同步用户的姓名、手机、邮箱,不可编辑角色、密码

    2)可修改有权限的内置用户的姓名、密码、手机、邮箱,不可编辑角色

    2)次管可在「账号设置」处编辑自己的姓名、手机、邮箱

    同步用户类型的

    普通用户

    同步用户可在「账号设置」处编辑自己的姓名、手机、邮箱

    3.3.3 用户属性

    对于用户属性字段,需要先选择ObjectClass,再选择ObjectClass内的属性值。

    注1:配置「同步用户」时,不需要配置密码,实际认证走 LDAP 密码认证。

    注2:用户属性支持搜索,支持手动输入,支持批量粘贴,粘贴值通过换行识别。

    配置项说明是否必填
    ObjectClass选择存储用户属性的ObjectClass必填
    用户重复验证字段

    可选择通过用户名或用户ID进行用户重复验证

    1)若选择用户ID,则同步「用户ID+用户名」字段,所在表中的 ID 字段值为同步用户时LDAP服务器中的用户ID

    2)若选择用户名,则同步「用户名」字段,所在表中的 用户ID 字段值将由系统随机生成

    必填
    用户ID

    仅在「用户重复验证字段」选择「用户ID」时需要填写

    选择用户属性中的UID(用户ID)


    用户名

    选择用户属性中的用户名

    LDAP 服务器中存储的用户名,不可使用双字节日语、繁体中文或朝鲜文字符。否则在平台登录时提示「用户名或密码错误」。

    必填
    姓名选择用户属性中的姓名必填
    手机选择用户属性中的手机号非必填
    邮箱选择用户属性中的邮箱非必填

    3.3.4 部门属性

    对于部门属性字段,需要先选择ObjectClass,再选择ObjectClass内的属性值。

    部门属性可不配置,但若选择了ObjectClass,则必须配置部门名称/部门ID。

    注:部门属性支持搜索,支持手动输入,支持批量粘贴,粘贴值通过换行识别。

    配置项说明是否必填
    ObjectClass选择存储部门属性的ObjectClass

    非必

    要么都不填、要么都填

    部门重复验证字段

    可选择通过部门名称或部门ID进行部门重复验证

    1)若选择 ID,则同步「ID+名称」字段,所在表中的 ID 字段值为同步用户时LDAP服务器中的 ID

    2)若选择名称,则同步「名称」字段,所在表中的 ID 字段值将由系统随机生成

    部门ID

    仅在「部门重复验证字段」选择「部门ID」时需要填写

    选择部门属性中的UID(部门ID)

    部门名称

    选择部门属性中的部门名称

    3.3.5 角色属性

    对于角色属性字段,需要先选择ObjectClass,再选择ObjectClass内的属性值。

    角色属性可不配置,但若选择了ObjectClass,则必须配置角色名称/角色ID。

    注:角色属性支持搜索,支持手动输入,支持批量粘贴,粘贴值通过换行识别。

    配置项说明是否必填
    ObjectClass选择存储角色属性的ObjectClass

    非必填

    要么都不填、要么都填

    角色重复验证字段

    可选择通过角色名称或角色ID进行角色重复验证

    1)若选择 ID,则同步「ID+名称」字段,所在表中的 ID 字段值为同步用户时LDAP服务器中的 ID

    2)若选择名称,则同步「名称」字段,所在表中的 ID 字段值将由系统随机生成

    角色ID

    仅在「角色重复验证字段」选择「角色ID」时需要填写

    选择角色属性中的UID(角色ID)

    角色名称

    选择角色属性中的角色名称

    3.4 效果查看

    若 LDAP 系统认证成功,且LDAP域用户同步成功。

    用户输入LDAP服务器中存储的用户名、LDAP服务器中的密码,即可进入数据决策系统,按照该用户在平台中的权限进行相应操作。如下图所示:

    注1:若在平台中不存在输入的用户名,或平台中对应的用户被禁用,或开启了平台使用用户限制且不包含用户,则不与 LDAP 服务器进行通信,直接提示「用户名或密码错误」或「用户不可用」。

    注2:LDAP 服务器中存储的用户名,不可使用双字节日语、繁体中文或朝鲜文字符。否则在平台登录时提示「用户名或密码错误」。

             LDAP 服务器中存储的密码,不可使用双字节日语、繁体中文、简体中文或朝鲜文字符。否则在平台登录时提示「用户名或密码错误」。

    附件列表


    主题: 管理系统
    • 有帮助
    • 没帮助
    • 只是浏览
    中文(简体)

    鼠标选中内容,快速反馈问题

    鼠标选中存在疑惑的内容,即可快速反馈问题,我们将会跟进处理。

    不再提示

    10s后关闭



    AI

    联系我们
    在线支持
    获取专业技术支持,快速帮助您解决问题
    工作日9:00-12:00,13:30-17:30在线
    页面反馈
    针对当前网页的建议、问题反馈
    售前咨询
    采购需求/获取报价/预约演示
    或拨打: 400-811-8890 转1
    qr
    热线电话
    咨询/故障救援热线:400-811-8890转2
    总裁办24H投诉:17312781526
    提交页面反馈
    仅适用于当前网页的意见收集,帆软产品问题请在 问答板块提问前往服务平台 获取技术支持