LDAP認證- FineReport帮助文档 - 全面的报表使用教程和学习资料

1. 概述

1.1 版本

報表伺服器版本
11.0

1.2 應用場景

使用者在 LDAP 認證伺服器儲存了較為完整的員工資訊，且已經使用它進行了多個線上系統的認證。

使用者需要在數據決策系統中使用同樣的認證方法，可在數據決策系統的「管理系統>使用者管理>全局設定」處開啟 LDAP 認證。

1.3 功能簡介

平台提供 LDAP 認證，使用者可按照本文方法在數據決策系統中設定 LDAP 認證。

LDAP 認證，使用者登入時，平台將輸入帳號資訊到設定的 LDAP 系統進行認證。

若 LDAP 系統認證失敗，則平台判斷認證失敗；
若 LDAP 系統認證成功，但是對應的使用者不存在於平台使用者中，則平台判斷認證失敗；
若 LDAP 系統認證成功，且對應的使用者存在於平台使用者中，則平台判斷認證成功，可進入平台，按照該使用者在平台中的權限進行相應操作。

注：超級管理者不受 LDAP 認證的影響，依舊使用平台內建認證。

2. 範例

2.1 配置 LDAP 認證

1）以管理者身分進入數據決策系統，點選「管理系統>使用者管理>全局設定」，可分別為「同步使用者」和「匯入/新增的使用者」選擇認證方式。如下圖所示：

2）認證方式選擇「LDAP 認證」，輸入各個參數，點選「儲存」按鈕，跳出數據決策系統，需重新登入。如下圖所示：

LDAP 認證時各參數項說明如下表所示：

參數項	說明
URL	URL 是登入 LDAP 伺服器的入口，URL 由域名或 IP 與埠號組成，一般埠號預設為 389。URL 格式為： LDAP://域名或IP+埠號
檢索位置	LDAP 是一個樹狀結構儲存資料的伺服器，透過 URL 進入伺服器，透過使用者、密碼驗證後，進行檢索相關登入資訊，「檢索位置」即儲存該登入資訊的位置勾選「不將檢索位置作為 BaseDN」：只寫到根目錄會自動檢索其下面的子目錄，效率比較低不勾選「不將檢索位置作為 BaseDN」：從根目錄一直寫到子目錄，不需要檢索，速度較快
認證方式	指定 LDAP 目錄伺服器所使用的認證類型，根據 LDAP 伺服器的配置選擇，一般認證方式選擇「simple」認證方式選擇 none 時，為匿名認證，即平台使用者輸入任意密碼都能正常登入認證方式選擇 simple 時，使用 LDAP 伺服器中儲存的普通明文密碼認證
前後關係	初始上下文工廠的類名一般選擇「com.sun.jndi.ldap.LdapCtxFactory」-對於基於 LDAP 伺服器的目錄服務
轉診	根據 LDAP 伺服器的配置選擇，一般選擇「ignore」
帳號後綴	帳號後綴可以新增也可以不新增，若新增，登入時自動新增上相應的域名。例如 LDAP 伺服器裏有個使用者叫Alice@fanruan.com，帳號後綴設定為@fanruan.com。那麼數據決策系統中的帳號為Alice，登入數據決策系統時的帳號也是Alice。
管理者名稱／密碼	此處管理者名稱並非指 LDAP 伺服器的管理者名稱，而是指具有 LDAP 伺服器檢索權限的使用者。透過該使用者進入 LDAP 伺服器對檢索位置進行登入資訊檢索來實現認證。通常這裏採用的是「域名/帳號」的方式來進行識別。無論是 uid 或 cn 的方式都可以，但一般不使用 DN 域名的寫法若「管理者名稱」處填寫的不是 LDAP 伺服器管理者，而是 LDAP 伺服器中賦予了檢索權限的普通使用者，那麼必須要設定成「帳號+域名」的形式，例如使用者是ldap，「檢索位置」為 DC=test,DC=com，那麼管理者名稱為 ldap@test.com 若「管理者名稱」處填寫的是 LDAP 伺服器管理者，直接填寫名稱即可，如「administrator」

3）參數填寫完成後，點選「測試連結」，連結成功後，點選「儲存」，即配置認證方式成功。

注：若連結失敗，則跳出提示：未能成功連結LDAP認證，請確認相關配置準確後再次儲存。如下圖所示：

2.2 新增使用者

LDAP 伺服器裏一般儲存着使用者的員工列表，想要其中的某使用者能在平台使用 LDAP 認證登入，平台也需要新增一個同名使用者，因為綁定信箱、分配權限等平台操作都是以平台使用者為作用物件的。

當平台裏的對應使用者存在時，可以認為啟動 LDAP 認證只是將該平台使用者的密碼認證從預設平台內建認證改成了 LDAP 伺服器認證。

點選「管理系統>使用者管理>新增使用者」，新增使用者「test001」，如下圖所示：

注1：LDAP 認證配置「新增使用者」時，不需要配置密碼。帆軟中用 123456 的預設密碼來儲存，實際認證走 LDAP 密碼認證。

注2：同步的使用者，匯入/新增的使用者，可分別選擇不同的認證方式。

注3：透過安裝「同步LDAP域使用者」插件，支援把 LDAP 伺服器中的使用者直接同步到數據決策系統中，詳情請參見：同步LDAP域使用者

2.3 效果查看

使用者輸入LDAP伺服器中儲存的帳號、LDAP伺服器中的密碼，若 LDAP 系統認證成功，且對應的使用者存在於平台使用者中，則平台判斷認證成功，可進入數據決策系統，按照該使用者在平台中的權限進行相應操作。如下圖所示：

注1：若在平台中不存在輸入帳號，或平台中對應的使用者被禁用，或開啟了平台使用使用者限制且不包含使用者，則不與 LDAP 伺服器進行通訊，直接提示「帳號或密碼錯誤」或「使用者不可用」。

注2：LDAP 伺服器中儲存的帳號，不可使用雙位元組日語、繁體中文或朝鮮文字元。否則在平台登入時提示「帳號或密碼錯誤」。

LDAP 伺服器中儲存的密碼，不可使用雙位元組日語、繁體中文、簡體中文或朝鮮文字元。否則在平台登入時提示「帳號或密碼錯誤」。

3. 配置 LDAP 認證帳號登入搜尋欄位

超級管理者可透過「fine_conf_entity視覺化配置插件」自訂配置LDAP認證帳號登入搜尋欄位。重啟伺服器後設定生效。

注：修改 FineDB 資料庫表欄位值的方法請參考 FineDB 常用表欄位修改。

配置項	修改規則
FSConfig.loginConfig.fWords	參數值格式為：["值1","值2"] 參數值不允許為空，參數長度不允許為 0 參數預設值為["sAMAccountName","cn","userPrincipalName","uid","displayName","name","sn"]

配置項

修改規則

FSConfig.loginConfig.fWords

參數值格式為：["值1","值2"]

參數值不允許為空，參數長度不允許為 0

參數預設值為["sAMAccountName","cn","userPrincipalName","uid","displayName","name","sn"]