1. 版本
1.1 版本
FineBI服务器版本 | 同步LDAP域插件版本 | 功能变更 |
---|---|---|
6.0 | V2.0 | - |
1.2 应用场景
用户希望从LDAP服务器中同步用户,但是需要把LDAP服务器中的数据转存到其他表中,既不安全,又非常麻烦。
用户希望把LDAP服务器中的用户直接同步到数据决策系统中,而且相关的设置可以直接复用LDAP认证的配置。
1.3 功能介绍
通过安装「同步LDAP域用户」插件,在进行同步用户设置的时候,可以直接选择「从LDAP服务器中同步」。
2. 插件介绍
3. 示例
3.1 配置LDAP认证
管理员登录数据决策系统,点击「管理系统>用户管理>全局设置」,同步用户的认证方式选择「LDAP认证」,填写配置信息。如下图所示:
LDAP认证的配置方法请参见:LDAP 认证 。
参数填写完成后,点击「测试连接」,连接成功后,点击「保存」,即配置认证方式成功。
3.2 进入同步用户编辑页面
1)若管理员首次使用同步用户
管理员登录FineBI系统,点击「管理系统>用户管理>所有用户」,点击「同步用户」。
跳出提示框「是否保留现有非同步数据,包括导入/添加的用户、部门职务、角色」,如下图所示:
不同选择对应的更新逻辑如下:
选择 | 定义 |
---|---|
保留 | 如果现有用户不在同步数据集中,该用户信息和权限将被保留,不修改 如果现有用户在同步用户来源中(用户名相同):
|
清空 | 平台现有「手动添加/导入的用户」的用户名、姓名、密码、手机、邮箱、部门、职务、角色、权限均被删除,重新同步用户 |
注:根据选择的更新逻辑,首次同步后有部分用户信息被更新。
之后能被自动更新的只有已变为同步类型的用户。
之后的同步,数据集不能再覆盖更新内置数据,否则将冲突报错。
2)若数据决策系统配置过同步用户
管理员直接点击「同步用户管理」,选择「编辑」按钮,即可进入同步用户配置页面。
3.3 配置同步用户
用户来源选择「从LDAP服务器中同步」,系统自动读取 3.1 节 LDAP 认证中的配置,并测试连接。同步用户配置如下图所示:
注1:若之前配置过「同步用户」,且用户来源为「服务器数据集」,切换时会跳出提示「切换用户来源后将清空原有同步数据,包括用户及其部门、职务、角色、权限等,确认切换?」,点击「确定」,即可完成LDAP用户同步。
注2:若 3.1 节 LDAP 认证连接失败,则在此步骤中会出现红色提示「提示:LDAP连接失败,请在同步的用户-LDAP认证中确认相关配置」。
3.3.1 同步频率
支持通过两种方式执行同步用户操作:简单重复执行、表达式设置。
1)简单重复执行
从LDAP服务器中自动同步用户的间隔时间,默认为 43200 秒。
同步用户设置了同步频率,可自动进行多次同步,到达设定频率后自动进行同步,不断把LDAP服务器中变化的数据同步到平台。
注:同步频率不宜过高,否则会导致后台日志不断刷新,日志体积无限膨胀。
2)表达式设置
支持通过 Cron 表达式设置任务执行的时间点,该任务可以是每天重复执行,隔日重复执行或者是单次执行等等各种不同组合的触发时间点。
Cron 表达式的语法和写法请参见:Cron 表达式
3.3.2 用户可编辑
「用户可编辑」按钮默认不勾选,勾选后,同步状态下用户信息可编辑。
用户可编辑姓名、手机、邮箱,已存在用户的以上字段在自动同步/手动同步时将不再更新。具体功能如下表所示:
注:由于开启了同步用户LDAP认证,除了超管用户和内置用户外,所有的同步用户涉及密码相关的操作都是不可用的:包括设置加密方式、忘记密码、修改密码、重置密码等。
用户身份 | 说明 |
---|---|
超级管理员 | 1)再次同步时,平台现存用户的姓名、手机、邮箱字段将不再更新 2)可编辑平台所有现存用户的姓名、手机、邮箱,不可编辑角色 3)超管可在「账号设置」处编辑自己的姓名、密码、手机、邮箱 4)可在登录页使用 忘记密码 功能 |
同步用户类型的 次级管理员 | 1)可修改有权限的同步用户的姓名、手机、邮箱,不可编辑角色、密码 2)可修改有权限的内置用户的姓名、密码、手机、邮箱,不可编辑角色 2)次管可在「账号设置」处编辑自己的姓名、手机、邮箱 |
同步用户类型的 普通用户 | 同步用户可在「账号设置」处编辑自己的姓名、手机、邮箱 |
3.3.3 用户属性
对于用户属性字段,需要先选择ObjectClass,再选择ObjectClass内的属性值。
注1:配置「同步用户」时,不需要配置密码,实际认证走 LDAP 密码认证。
注2:用户属性支持搜索,支持手动输入,支持批量粘贴,粘贴值通过换行识别。
配置项 | 说明 | 是否必填 |
---|---|---|
ObjectClass | 选择存储用户属性的ObjectClass | 必填 |
用户重复验证字段 | 可选择通过用户名或用户ID进行用户重复验证 1)若选择用户ID,则同步「用户ID+用户名」字段,所在表中的 ID 字段值为同步用户时LDAP服务器中的用户ID 2)若选择用户名,则同步「用户名」字段,所在表中的 用户ID 字段值将由系统随机生成 | 必填 |
用户ID | 仅在「用户重复验证字段」选择「用户ID」时需要填写 选择用户属性中的UID(用户ID) | |
用户名 | 选择用户属性中的用户名 LDAP 服务器中存储的用户名,不可使用双字节日语、繁体中文或朝鲜文字符。否则在平台登录时提示「用户名或密码错误」。 | 必填 |
姓名 | 选择用户属性中的姓名 | 必填 |
手机 | 选择用户属性中的手机号 | 非必填 |
邮箱 | 选择用户属性中的邮箱 | 非必填 |
3.3.4 部门属性
对于部门属性字段,需要先选择ObjectClass,再选择ObjectClass内的属性值。
部门属性可不配置,但若选择了ObjectClass,则必须配置部门名称/部门ID。
注:部门属性支持搜索,支持手动输入,支持批量粘贴,粘贴值通过换行识别。
配置项 | 说明 | 是否必填 |
---|---|---|
ObjectClass | 选择存储部门属性的ObjectClass | 非必填 要么都不填、要么都填 |
部门重复验证字段 | 可选择通过部门名称或部门ID进行部门重复验证 1)若选择 ID,则同步「ID+名称」字段,所在表中的 ID 字段值为同步用户时LDAP服务器中的 ID 2)若选择名称,则同步「名称」字段,所在表中的 ID 字段值将由系统随机生成 | |
部门ID | 仅在「部门重复验证字段」选择「部门ID」时需要填写 选择部门属性中的UID(部门ID) | |
部门名称 | 选择部门属性中的部门名称 |
3.3.5 角色属性
对于角色属性字段,需要先选择ObjectClass,再选择ObjectClass内的属性值。
角色属性可不配置,但若选择了ObjectClass,则必须配置角色名称/角色ID。
注:角色属性支持搜索,支持手动输入,支持批量粘贴,粘贴值通过换行识别。
配置项 | 说明 | 是否必填 |
---|---|---|
ObjectClass | 选择存储角色属性的ObjectClass | 非必填 要么都不填、要么都填 |
角色重复验证字段 | 可选择通过角色名称或角色ID进行角色重复验证 1)若选择 ID,则同步「ID+名称」字段,所在表中的 ID 字段值为同步用户时LDAP服务器中的 ID 2)若选择名称,则同步「名称」字段,所在表中的 ID 字段值将由系统随机生成 | |
角色ID | 仅在「角色重复验证字段」选择「角色ID」时需要填写 选择角色属性中的UID(角色ID) | |
角色名称 | 选择角色属性中的角色名称 |
3.4 效果查看
若 LDAP 系统认证成功,且LDAP域用户同步成功。
用户输入LDAP服务器中存储的用户名、LDAP服务器中的密码,即可进入数据决策系统,按照该用户在平台中的权限进行相应操作。如下图所示:
注1:若在平台中不存在输入的用户名,或平台中对应的用户被禁用,或开启了平台使用用户限制且不包含用户,则不与 LDAP 服务器进行通信,直接提示「用户名或密码错误」或「用户不可用」。
注2:LDAP 服务器中存储的用户名,不可使用双字节日语、繁体中文或朝鲜文字符。否则在平台登录时提示「用户名或密码错误」。
LDAP 服务器中存储的密码,不可使用双字节日语、繁体中文、简体中文或朝鲜文字符。否则在平台登录时提示「用户名或密码错误」。