反馈已提交

网络繁忙

同步LDAP域用户

  • 文档创建者:Carly
  • 编辑次数:5次
  • 最近更新:Carly 于 2022-07-27
  • 1. 版本

    1.1 版本

    BI 服务器版本

    插件版本

    功能变更
    5.1.17V1.0
    -
    5.1.19V1.2重复验证字段的默认方式从「名称」改为「ID」
    V2.0用户属性、部门属性、角色属性支持搜索,支持手动输入,支持批量粘贴

    1.2 应用场景

    用户希望从LDAP服务器中同步用户,但是需要把LDAP服务器中的数据转存到其他表中,既不安全,又非常麻烦。

    用户希望把LDAP服务器中的用户直接同步到数据决策系统中,而且相关的设置可以直接复用LDAP认证的配置。

    1.3 功能介绍

    通过安装「同步LDAP域用户」插件,在进行同步用户设置的时候,可以直接选择「从LDAP服务器中同步」。

    2. 插件介绍

    2.1 插件安装

    点击下载插件:同步LDAP域用户

    插件安装方法参照: 插件管理

    2.2 插件简介

    插件安装完成后,在同步用户时,用户来源可选择「从LDAP服务器中同步」。如下图所示:

    3. 示例

    3.1 配置LDAP认证

    管理员登录数据决策系统,点击「管理系统>用户管理>全局设置」,同步用户的认证方式选择「LDAP认证」,填写配置信息。如下图所示:

    LDAP认证的配置方法请参见:LDAP 认证 。

    参数填写完成后,点击「测试连接」,连接成功后,点击「保存」,即配置认证方式成功。

    3.2 进入同步用户编辑页面

    1)若管理员首次使用同步用户

    管理员登录数据决策系统,点击「管理系统>用户管理>所有用户」,点击「同步用户」。

    跳出提示框「是否保留现有非同步数据,包括导入/添加的用户、部门职务、角色」,如下图所示:

    不同选择对应的更新逻辑如下:

    选择
    定义
    保留

    如果现有用户不在同步数据集中,该用户信息和权限将被保留,不修改

    如果现有用户在同步用户来源中(用户名相同):

    • 该用户的用户名不变,权限保留

    • 该用户的姓名、密码、手机、邮箱覆盖更新

    • 该用户当前所属的部门职务、角色若存在于同步用户来源中,则覆盖更新

    • 该用户当前所属的部门职务、角色若不存在于同步用户来源中,则保留不变

    清空

    平台现有「手动添加/导入的用户」的用户名、姓名、密码、手机、邮箱、部门、职务、角色、权限均被删除,重新同步用户

    注:根据选择的更新逻辑,首次同步后有部分用户信息被更新。

          之后能被自动更新的只有已变为同步类型的用户。

          之后的同步,数据集不能再覆盖更新内置数据,否则将冲突报错。

    2)若数据决策系统配置过同步用户

    管理员直接点击「同步用户管理」,选择「编辑」按钮,即可进入同步用户配置页面。

    3.3 配置同步用户

    用户来源选择「从LDAP服务器中同步」,系统自动读取 3.1 节 LDAP 认证中的配置,并测试连接。同步用户配置如下图所示:

    注1:若之前配置过「同步用户」,且用户来源为「服务器数据集」,切换时会跳出提示「切换用户来源后将清空原有同步数据,包括用户及其部门、职务、角色、权限等,确认切换?」,点击「确定」,即可完成LDAP用户同步。

    注2:若 3.1 节 LDAP 认证连接失败,则在此步骤中会出现红色提示「提示:LDAP连接失败,请在同步的用户-LDAP认证中确认相关配置」。

    注3:FineBI 5.1.19 版本前,默认的重复验证字段为名称。

             FineBI 5.1.19 版本及之后,默认的重复验证字段为ID。

    3.3.1 同步频率

    支持通过两种方式执行同步用户操作:简单重复执行、表达式设置。

    1)简单重复执行

    从LDAP服务器中自动同步用户的间隔时间,默认为 43200 秒。

    同步用户设置了同步频率,可自动进行多次同步,到达设定频率后自动进行同步,不断把LDAP服务器中变化的数据同步到平台。

    注:同步频率不宜过高,否则会导致后台日志不断刷新,日志体积无限膨胀。

    2)表达式设置

    支持通过 Cron 表达式设置任务执行的时间点,该任务可以是每天重复执行,隔日重复执行或者是单次执行等等各种不同组合的触发时间点。

    Cron 表达式的语法和写法请参见:Cron 表达式

    3.3.2 用户可编辑

    「用户可编辑」按钮默认不勾选,勾选后,同步状态下用户信息可编辑。

    用户可编辑姓名、手机、邮箱,已存在用户的以上字段在自动同步/手动同步时将不再更新。具体功能如下表所示:

    注:由于开启了同步用户LDAP认证,除了超管用户和内置用户外,所有的同步用户涉及密码相关的操作都是不可用的:包括设置加密方式、忘记密码、修改密码、重置密码等。

    用户身份说明
    超级管理员

    1)再次同步时,平台现存用户的姓名、手机、邮箱字段将不再更新

    2)可编辑平台所有现存用户的姓名、手机、邮箱,不可编辑角色

    3)超管可在「账号设置」处编辑自己的姓名、密码、手机、邮箱

    4)可在登录页使用 忘记密码 功能

    同步用户类型的

    次级管理员

    1)可修改有权限的同步用户的姓名、手机、邮箱,不可编辑角色、密码

    2)可修改有权限的内置用户的姓名、密码、手机、邮箱,不可编辑角色

    2)次管可在「账号设置」处编辑自己的姓名、手机、邮箱

    同步用户类型的

    普通用户

    同步用户可在「账号设置」处编辑自己的姓名、手机、邮箱

    3.3.3 用户属性

    对于用户属性字段,需要先选择ObjectClass,再选择ObjectClass内的属性值。

    注1:配置「同步用户」时,不需要配置密码,实际认证走 LDAP 密码认证。

    注2:V2.0 及之后版本的插件用户属性支持搜索,支持手动输入,支持批量粘贴,粘贴值通过换行识别。

    配置项说明是否必填
    ObjectClass选择存储用户属性的ObjectClass必填
    用户重复验证字段

    可选择通过用户名或用户ID进行用户重复验证

    1)若选择用户ID,则同步「用户ID+用户名」字段,所在表中的 ID 字段值为同步用户时LDAP服务器中的用户ID

    2)若选择用户名,则同步「用户名」字段,所在表中的 用户ID 字段值将由系统随机生成

    必填
    用户ID

    仅在「用户重复验证字段」选择「用户ID」时需要填写

    选择用户属性中的UID(用户ID)


    用户名

    选择用户属性中的用户名

    LDAP 服务器中存储的用户名,不可使用双字节日语、繁体中文或朝鲜文字符。否则在平台登录时提示「用户名或密码错误」。

    必填
    姓名选择用户属性中的姓名必填
    手机选择用户属性中的手机号非必填
    邮箱选择用户属性中的邮箱非必填

    3.3.4 部门属性

    对于部门属性字段,需要先选择ObjectClass,再选择ObjectClass内的属性值。

    部门属性可不配置,但若选择了ObjectClass,则必须配置部门名称/部门ID。

    注:V2.0 及之后版本的插件,部门属性支持搜索,支持手动输入,支持批量粘贴,粘贴值通过换行识别。

    配置项说明是否必填
    ObjectClass选择存储部门属性的ObjectClass

    非必

    要么都不填、要么都填

    部门重复验证字段

    可选择通过部门名称或部门ID进行部门重复验证

    1)若选择 ID,则同步「ID+名称」字段,所在表中的 ID 字段值为同步用户时LDAP服务器中的 ID

    2)若选择名称,则同步「名称」字段,所在表中的 ID 字段值将由系统随机生成

    部门ID

    仅在「部门重复验证字段」选择「部门ID」时需要填写

    选择部门属性中的UID(部门ID)

    部门名称

    选择部门属性中的部门名称

    3.3.5 角色属性

    对于角色属性字段,需要先选择ObjectClass,再选择ObjectClass内的属性值。

    角色属性可不配置,但若选择了ObjectClass,则必须配置角色名称/角色ID。

    注:V2.0 及之后版本的插件,角色属性支持搜索,支持手动输入,支持批量粘贴,粘贴值通过换行识别。

    配置项说明是否必填
    ObjectClass选择存储角色属性的ObjectClass

    非必填

    要么都不填、要么都填

    角色重复验证字段

    可选择通过角色名称或角色ID进行角色重复验证

    1)若选择 ID,则同步「ID+名称」字段,所在表中的 ID 字段值为同步用户时LDAP服务器中的 ID

    2)若选择名称,则同步「名称」字段,所在表中的 ID 字段值将由系统随机生成

    角色ID

    仅在「角色重复验证字段」选择「角色ID」时需要填写

    选择角色属性中的UID(角色ID)

    角色名称

    选择角色属性中的角色名称

    3.4 效果查看

    若 LDAP 系统认证成功,且LDAP域用户同步成功。

    用户输入LDAP服务器中存储的用户名、LDAP服务器中的密码,即可进入数据决策系统,按照该用户在平台中的权限进行相应操作。如下图所示:

    注1:若在平台中不存在输入的用户名,或平台中对应的用户被禁用,或开启了平台使用用户限制且不包含用户,则不与 LDAP 服务器进行通信,直接提示「用户名或密码错误」或「用户不可用」。

    注2:LDAP 服务器中存储的用户名,不可使用双字节日语、繁体中文或朝鲜文字符。否则在平台登录时提示「用户名或密码错误」。

             LDAP 服务器中存储的密码,不可使用双字节日语、繁体中文、简体中文或朝鲜文字符。否则在平台登录时提示「用户名或密码错误」。

    附件列表


    主题: 管理员指南
    • 有帮助
    • 没帮助
    • 只是浏览

    售前咨询电话

    400-811-8890转1

    在线技术支持

    在线QQ:800049425

    热线电话:400-811-8890转2

    总裁办24H投诉

    热线电话:173-1278-1526

    文 档反 馈

    鼠标选中内容,快速反馈问题

    鼠标选中存在疑惑的内容,即可快速反馈问题,我们将会跟进处理。

    不再提示

    10s后关闭