多域LDAP認證

1.1 版本

1.2 應用場景

使用者資訊儲存在多個 LDAP 認證伺服器中，管理者可在數據決策系統中使用插件實現多域 LDAP 認證。

1.3 功能簡介

透過安裝【多域 LDAP 認證】插件，可以同時連結多個 AD 域進行 LDAP 登入認證。

注1：超級管理者不受 LDAP 認證的影響，依舊使用平台內建認證。

注2：若在不同域存在相同使用者名的使用者，使用各自的密碼均可登錄數據決策系統，但需要共用同一個平台賬戶。

注3：若配置了【多域 LDAP 認證】，禁用插件，那麼將自動切換為【內建認證】。重新啟用插件後，【多域 LDAP 認證】的配置仍然保留。

注4：該插件不支援從多LDAP域同步使用者、配置LDAPS、从安全組同步使用者，可以考慮使用 多域ldap認證增強版插件 解決，其功能和改寫的場景更多。 

2.1 插件安裝

伺服器安裝插件方法參照：A11-18 伺服器-插件管理。

2.2 配置多域 LDAP 認證

1）管理者登入數據決策系統，點選【管理系統】→【使用者管理】→【全域設定】，新增【多域LDAP認證】方式。

2）認證方式選擇【多域 LDAP 認證】。

點選【新增】按鈕，輸入各個參數，點選【測試連結並儲存】按鈕，即可新增一個 AD 域的URL。

全部新增完成後，點選【儲存】按鈕，跳出數據決策系統，需重新登入。

LDAP 設定時各參數項說明如下表所示：

2.3 添加平台使用者

LDAP 伺服器裏一般儲存着使用者的員工列表，想要其中的某使用者能在平台使用 LDAP 認證登入，平台也需要新增一個同名使用者，因為綁定郵箱、分配權限等平台操作都是以平台使用者為作用物件的。當平台裏的對應使用者存在時，可以認為啟用【多域 LDAP 認證】僅是將該平台使用者的密碼認證從預設的平台內建認證改成了 LDAP 伺服器認證。

點選【管理系統】→【使用者管理】→【新增使用者】，新增使用者【test001】，如下圖所示：

注1：多域 LDAP 認證配置【新增使用者】時，不需要配置密碼。

注2：同步的使用者，匯出/新增的使用者，可分別選擇不同的認證方式。

2.4 效果查看

使用者輸入LDAP伺服器中儲存的使用者名、LDAP伺服器中的密碼，若某個域的 LDAP 認證成功，且對應的使用者存在於平台使用者中，則平台判斷認證成功，可進入數據決策系統，按照該使用者在平台中的權限進行相應操作。如下圖所示。

平台的同步使用者對於配置的同步 LDAP 多個域均生效，若某個使用者存在於平台同步使用者中，登入時會逐一遍曆這些域，直到認證成功，沒有則繼續遍曆直到結束報錯使用者名或密碼錯誤，登入失敗。

手動新增/匯出的使用者對於配置的內建 LDAP 多域也是如此，但和同步 LDAP 多域各自配置分開生效。

注1：若在不同域存在相同使用者名的使用者，使用各自的密碼均可登入數據決策系統，但需要共用同一個平台賬戶。

注2：若在平台中不存在輸入使用者名，或平台中對應的使用者被禁用，或開啟了平台使用使用者限制且不包含使用者，則不與 LDAP 伺服器進行通訊，直接提示【使用者名或密碼錯誤】或【使用者不可用】。

注3：若某個域的 LDAP 認證失敗，該域的使用者無法登入數據決策系統，不影響其他域的使用者。

注4：LDAP 伺服器中儲存的使用者名，不可使用雙位元組日語、繁體中文或朝鮮文字元。否則在平台登入時提示【使用者名或密碼錯誤】。

         LDAP 伺服器中儲存的密碼，不可使用雙位元組日語、繁體中文、簡體中文或朝鮮文字元。否則在平台登入時提示【使用者名或密碼錯誤】。