1. 版本
1.1 版本
FineDataLink 版本 | 同步LDAP域插件版本 | 功能变更 |
|---|---|---|
| 4.0 | V2.0 | - |
1.2 应用场景
在未安装插件的情况下,如需将 LDAP 服务器中的用户同步至FineReport系统,需先将 LDAP 服务器中的数据转存至其他数据表,操作繁琐且存在数据安全风险。
安装「同步 LDAP 域用户」插件后,可在同步用户设置页面中直接选择从 LDAP 服务器中同步,将 LDAP 服务器中的用户同步至FineReport系统,并复用已有的 LDAP 认证配置,无需重复设置。
1.3 注意事项
「同步 LDAP 域用户」插件与「多域 LDAP 认证」插件不支持同时使用。
2. 插件介绍
3. 示例
3.1 配置LDAP认证
管理员登录 FineDataLink ,点击「管理系统>用户管理>全局设置」,选择同步用户的认证方式为「LDAP认证」,填写配置信息。如下图所示:
LDAP认证的配置方法请参见:LDAP 认证 。
配置信息填写完成后,点击「测试连接」,连接成功后,点击「保存」,配置认证方式完成。
3.2 进入同步用户编辑页面
1)若管理员首次使用同步用户
管理员登录 FineDataLink ,点击「管理系统>用户管理>所有用户」,点击「同步用户」。
跳出提示框「是否保留现有非同步数据,包括导入/添加的用户、部门职务、角色」,如下图所示:
不同选择对应的更新逻辑如下:
| 选择 | 定义 |
|---|---|
| 保留 | 如果现有用户不在同步数据集中,该用户信息和权限将被保留,不修改 如果现有用户在同步用户来源中(用户名相同):
|
| 清空 | 平台现有「手动添加/导入的用户」的用户名、姓名、密码、手机、邮箱、部门、职务、角色、权限均被删除,重新同步用户 |
注:根据选择的更新逻辑,首次同步后有部分用户信息被更新。
之后能被自动更新的只有已变为同步类型的用户。
之后的同步,数据集不能再覆盖更新内置数据,否则将冲突报错。
2)若 FineDataLink 配置过同步用户
管理员直接点击「同步用户管理」,选择「编辑」按钮,即可进入同步用户配置页面。
3.3 配置同步用户
用户来源选择「从LDAP服务器中同步」,系统自动读取 3.1 节 LDAP 认证中的配置,并测试连接。同步用户配置如下图所示:
注1:若之前配置过「同步用户」,且用户来源为「服务器数据集」,切换时会跳出提示「切换用户来源后将清空原有同步数据,包括用户及其部门、职务、角色、权限等,确认切换?」,点击「确定」,即可完成LDAP用户同步。
注2:若 3.1 节 LDAP 认证连接失败,则在此步骤中会出现红色提示「提示:LDAP连接失败,请在同步的用户-LDAP认证中确认相关配置」。
3.3.1 同步频率
支持通过两种方式执行同步用户操作:简单重复执行、表达式设置。
1)简单重复执行
从 LDAP 服务器中自动同步用户的间隔时间,默认为 43200 秒。
同步用户设置了同步频率,可自动进行多次同步,到达设定频率后自动进行同步,不断把 LDAP 服务器中变化的数据同步到平台。
注:同步频率不宜过高,否则会导致后台日志不断刷新,日志体积无限膨胀。
2)表达式设置
支持通过 Cron 表达式设置任务执行的时间点,该任务可以是每天重复执行,隔日重复执行或者是单次执行等等各种不同组合的触发时间点。
Cron 表达式的语法和写法请参见:Cron 表达式
3.3.2 用户可编辑
「用户可编辑」按钮默认不勾选,勾选后,同步状态下用户信息可编辑。
用户可编辑姓名、手机、邮箱,已存在用户的以上字段在自动同步/手动同步时将不再更新。具体功能如下表所示:
注1:由于开启了同步用户LDAP认证,除了超管用户和内置用户外,所有的同步用户涉及密码相关的操作都是不可用的:包括设置加密方式、忘记密码、修改密码、重置密码等。
注2:V2.0 及之后版本的插件,用户属性支持搜索,支持手动输入。请选择符合自己需求的属性,请注意大小写需要严格一致。
注3:请选择你实际的ObjectClass,不要完全参考本文配置,本文仅作为示例。
| 用户身份 | 说明 |
|---|---|
| 超级管理员 | 1)再次同步时,平台现存用户的姓名、手机、邮箱字段将不再更新 2)可编辑平台所有现存用户的姓名、手机、邮箱,不可编辑角色 3)超管可在「账号设置」处编辑自己的姓名、密码、手机、邮箱 4)可在登录页使用 忘记密码 功能 |
同步用户类型的 次级管理员 | 1)可修改有权限的同步用户的姓名、手机、邮箱,不可编辑角色、密码 2)可修改有权限的内置用户的姓名、密码、手机、邮箱,不可编辑角色 2)次管可在「账号设置」处编辑自己的姓名、手机、邮箱 |
同步用户类型的 普通用户 | 同步用户可在「账号设置」处编辑自己的姓名、手机、邮箱 |
3.3.3 用户属性
对于用户属性字段,需要先选择ObjectClass,再选择ObjectClass内的属性值。
注1:配置「同步用户」时,不需要配置密码,实际认证走 LDAP 密码认证。
注2:V2.0 及之后版本的插件,用户属性支持搜索,支持手动输入。请选择符合自己需求的属性,请注意大小写需要严格一致。
注3:请选择你实际的ObjectClass,不要完全参考本文配置,本文仅作为示例。
| 配置项 | 说明 | 是否必填 |
|---|---|---|
| ObjectClass | 选择存储用户属性的ObjectClass | 必填 |
| 用户重复验证字段 | 可选择通过用户名或用户ID进行用户重复验证 1)若选择用户ID,则同步「用户ID+用户名」字段,所在表中的 ID 字段值为同步用户时LDAP服务器中的用户ID 2)若选择用户名,则同步「用户名」字段,所在表中的 用户ID 字段值将由系统随机生成 | 必填 |
| 用户ID | 仅在「用户重复验证字段」选择「用户ID」时需要填写 选择用户属性中的UID(用户ID) | |
| 用户名 | 选择用户属性中的用户名 LDAP 服务器中存储的用户名,不可使用双字节日语、繁体中文或朝鲜文字符。否则在平台登录时提示「用户名或密码错误」。 | 必填 |
| 姓名 | 选择用户属性中的姓名 | 必填 |
| 手机 | 选择用户属性中的手机号 | 非必填 |
| 邮箱 | 选择用户属性中的邮箱 | 非必填 |
3.3.4 部门属性
对于部门属性字段,需要先选择ObjectClass,再选择ObjectClass内的属性值。
部门属性可不配置,但若选择了ObjectClass,则必须配置部门名称/部门ID。
注1:V2.0 及之后版本的插件,部门属性支持搜索,支持手动输入。请选择符合自己需求的属性,请注意大小写需要严格一致。
注2:请选择你实际的ObjectClass,不要完全参考本文配置,本文仅作为示例。
| 配置项 | 说明 | 是否必填 |
|---|---|---|
| ObjectClass | 选择存储部门属性的ObjectClass | 非必填 要么都不填、要么都填 |
| 部门重复验证字段 | 可选择通过部门名称或部门ID进行部门重复验证 1)若选择 ID,则同步「ID+名称」字段,所在表中的 ID 字段值为同步用户时LDAP服务器中的 ID 2)若选择名称,则同步「名称」字段,所在表中的 ID 字段值将由系统随机生成 | |
| 部门ID | 仅在「部门重复验证字段」选择「部门ID」时需要填写 选择部门属性中的UID(部门ID) | |
| 部门名称 | 选择部门属性中的部门名称 |
3.3.5 角色属性
对于角色属性字段,需要先选择 ObjectClass,再选择 ObjectClass 内的属性值。
角色属性可不配置,但若选择了 ObjectClass,则必须配置角色名称/角色 ID。
注1:V2.0 及之后版本的插件,角色属性支持搜索,支持手动输入。请选择符合自己需求的属性,请注意大小写需要严格一致。
注2:请选择你实际的ObjectClass,不要完全参考本文配置,本文仅作为示例。
| 配置项 | 说明 | 是否必填 |
|---|---|---|
| ObjectClass | 选择存储角色属性的ObjectClass | 非必填 要么都不填、要么都填 |
| 角色重复验证字段 | 可选择通过角色名称或角色ID进行角色重复验证 1)若选择 ID,则同步「ID+名称」字段,所在表中的 ID 字段值为同步用户时LDAP服务器中的 ID 2)若选择名称,则同步「名称」字段,所在表中的 ID 字段值将由系统随机生成 | |
| 角色ID | 仅在「角色重复验证字段」选择「角色ID」时需要填写 选择角色属性中的UID(角色ID) | |
| 角色名称 | 选择角色属性中的角色名称 |
3.4 效果查看
若 LDAP 系统认证成功,且 LDAP 域用户同步成功。
用户在 FineDataLink 登录页输入 LDAP 服务器中存储的用户名、密码,点击「登录」,即可进入 FineDataLink ,根据自身拥有的平台权限进行相应操作。如下图所示:
注1:若在平台中不存在输入的用户名,或平台中对应的用户被禁用,或开启了平台使用用户限制且不包含用户,则不与 LDAP 服务器进行通信,直接提示「用户名或密码错误」或「用户不可用」。
注2:LDAP 服务器中存储的用户名,不可使用双字节日语、繁体中文或朝鲜文字符。否则在平台登录时提示「用户名或密码错误」。
LDAP 服务器中存储的密码,不可使用双字节日语、繁体中文、简体中文或朝鲜文字符。否则在平台登录时提示「用户名或密码错误」。
上一篇:同步用户
