1. 版本
1.1 版本
| 報表伺服器版本 | 插件版本 | 功能變更 |
|---|---|---|
| 11.0 | V1.1 | - |
| 11.0.1 | V1.2 | 重複驗證欄位的預設方式從「名稱」改為「ID」 |
| V2.0 | 使用者屬性、部門屬性、角色屬性支援搜尋,支援手動輸入,支援批量貼上 |
1.2 應用場景
使用者希望從LDAP伺服器中同步使用者,但是需要把LDAP伺服器中的資料轉存到其他表中,既不安全,又非常麻煩。
使用者希望把LDAP伺服器中的使用者直接同步到數據決策系統中,而且相關的設定可以直接複用LDAP認證的配置。
1.3 功能介紹
透過安裝「同步LDAP域使用者」插件,在進行同步使用者設定的時候,可以直接選擇「從LDAP伺服器中同步」。
2. 插件介紹
2.1 插件安裝
點選下載插件:同步LDAP域使用者。
伺服器安裝插件方法請參見:伺服器插件管理。
設計器安裝插件方法請參見:設計器插件管理。
2.2 插件簡介
插件安裝完成後,在同步使用者時,使用者來源可選擇「從LDAP伺服器中同步」。如下圖所示。
3. 範例
3.1 配置LDAP認證
管理者登入數據決策系統,點選管理系統→使用者管理→全局設定,同步使用者的認證方式選擇「LDAP認證」,填寫配置資訊。如下圖一所示。
LDAP認證的配置方法請參見:LDAP 認證 。
參數填寫完成後,點選「測試連結」,連結成功後,點選「儲存」,即配置認證方式成功。
3.2 進入同步使用者編輯頁面
1)若管理者首次使用同步使用者
管理者登入數據決策系統,點選管理系統→使用者管理→所有使用者,點選「同步使用者」。
跳出提示框是否保留現有非同步資料,包括匯入/新增的使用者、部門職務、角色,如下圖所示:
不同選擇對應的更新邏輯如下:
| 選擇 | 定義 |
|---|---|
| 保留 | 如果現有使用者不在同步資料集中,該使用者資訊和權限將被保留,不修改 如果現有使用者在同步使用者來源中(使用者名相同):
|
| 清空 | 平台現有「手動新增/的使用者」的使用者名、姓名、密碼、手機、郵箱、部門、職務、角色、權限均被刪除,重新同步使用者 |
注:根據選擇的更新邏輯,首次同步後有部分使用者資訊被更新。
之後能被自動更新的僅有已變為同步型別的使用者。
之後的同步,資料集不能再改寫更新內建資料,否則將沖突報錯。
2)進入同步使用者編輯頁面-若數據決策系統配置過同步使用者
管理者直接點選「同步使用者管理」,選擇「編輯」按鈕,即可進入同步使用者配置頁面。
3.3 配置同步使用者
使用者來源選擇「從LDAP伺服器中同步」,系統自動讀取 3.1 節 LDAP 認證中的配置,並測試連結。同步使用者配置如下圖所示。
注1:若之前配置過「同步使用者」,且使用者來源為「伺服器資料集」,切換時會跳出提示「切換使用者來源後將清空原有同步資料,包括使用者及其部門、職務、角色、權限等,確認切換?」,點選「確定」,即可完成LDAP使用者同步。
注2:若第三章第1節 LDAP 認證連結失敗,則在此步驟中會出現紅色提示「提示:LDAP連結失敗,請在同步的使用者-LDAP認證中確認相關配置」。
注3:FineReport 11.0.1 版本前,預設重複驗證欄位為名稱。
FineReport 11.0.1 版本及之後,預設重複驗證欄位為ID。
3.3.1 同步频率
支援透過兩種方式執行同步使用者操作:簡單重複執行、表達式設定。
1)簡單重複執行
從LDAP伺服器中自動同步使用者的間隔時間,預設為 43200 秒。
同步使用者設定了同步頻率,可自動進行多次同步,到達設定頻率後自動進行同步,不斷把LDAP伺服器中變化的數據同步到平台。
注:同步頻率不宜過高,否則會導緻後臺日志不斷重新整理,日誌體積無限膨脹。
2)表達式設定
支援透過 Cron 表達式設定任務執行的時間點,該任務可以是每天重複執行,隔日重複執行或者是單次執行等等各種不同組合的觸發時間點。
Cron 表達式的語法和寫法請參見:Cron 表達式。
3.3.2 使用者可编辑
「使用者可編輯」按鈕預設不勾選,勾選後,同步狀態下使用者資訊可編輯。
使用者可編輯姓名、手機、郵箱,已存在使用者的以上欄位在自動同步/手動同步時將不再更新。具體功能如下表所示。
注:由於開啟了同步使用者LDAP認證,除了超管使用者和內建使用者外,所有的同步使用者涉及密碼相關的操作都是不可用的:包括設定加密方式、忘記密碼、修改密碼、重置密碼等。
| 使用者身份 | 說明 |
|---|---|
| 超級管理員 | 1)再次同步時,平台現存使用者的姓名、手機、郵箱字段将不再更新 2)可編輯平台所有現存使用者的姓名、手機、郵箱,不可編輯角色 3)超管可在「賬号設定」處編輯自己的姓名、密碼、手機、郵箱 4)可在登入頁使用 忘記密碼 功能 |
同步使用者型別的次級管理員 | 1)可修改有權限的同步使用者姓名、手機、郵箱,不可編輯角色、密碼 2)可修改有權限的内置使用者姓名、密碼、手機、郵箱,不可編輯角色 3)次管可在「賬号設定」處編輯自己的姓名、手機、郵箱 |
同步使用者型別的普通使用者 | 同步使用者可在「賬号設定」處編輯自己的姓名、手機、郵箱 |
3.3.3 使用者屬性
對於使用者屬性字段,需要先選擇ObjectClass,再選擇ObjectClass内的屬性值。
注:配置「同步使用者」時,不需要配置密碼,實際認證走 LDAP 密碼認證。
注2:V2.0 及之後版本的插件,使用者屬性支援搜尋,支援手動輸入,支援批量貼上,貼上值透過換列識別。
注3:請選擇你實際的ObjectClass,不要完全參考本文配置,本文僅作為範例。
| 配置項 | 說明 | 是否必填 |
|---|---|---|
| ObjectClass | 選擇儲存使用者屬性的ObjectClass | 必填 |
| 使用者重複驗證字段 | 可選擇透過使用者名或使用者ID進行使用者重複驗證 1)若選擇使用者名,則同步「使用者名」欄位,所在表中的 使用者ID 欄位值將由系統隨機生成 2)若選擇使用者ID,則同步「使用者ID+使用者名」欄位,所在表中的 ID 欄位值為同步使用者時LDAP伺服器中的使用者ID | 必填 |
| 使用者名 | 選擇使用者屬性中的使用者名 LDAP 伺服器中存儲的使用者名,不可使用雙字節日語、繁體中文或朝鮮文字符。否則在平台登入時提示「使用者名或密碼錯誤」。 | 必填 |
| 使用者ID | 僅在「使用者重複驗證字段」選擇「使用者ID」時需要填寫 選擇使用者屬性中的UID(使用者ID) | 必填 |
| 姓名 | 選擇使用者屬性中的姓名 | 必填 |
| 手機 | 選擇使用者屬性中的手機号 | 非必填 |
| 郵箱 | 選擇使用者屬性中的郵箱 | 非必填 |
3.3.4 部門屬性
對於部門屬性字段,需要先選擇ObjectClass,再選擇ObjectClass内的屬性值。
部門屬性可不配置,但若選擇了ObjectClass,則必須配置部門名稱/部門ID。
注1:V2.0 及之後版本的插件,使用者屬性支援搜尋,支援手動輸入,支援批量貼上,貼上值透過換列識別。
注2:請選擇你實際的ObjectClass,不要完全參考本文配置,本文僅作為範例。
| 配置項 | 說明 | 是否必填 |
|---|---|---|
| ObjectClass | 選擇存儲部門屬性的ObjectClass | 非必填 要麽都不填、要麽都填 |
| 部門重複驗證字段 | 可選擇透過部門名稱或部門ID進行部門重複驗證 1)若選擇名稱,則同步「名稱」字段,所在表中的 ID 字段值将由系統随機生成 2)若選擇 ID,則同步「ID+名稱」字段,所在表中的 ID 字段值為同步使用者時LDAP伺服器中的 ID | |
| 部門名稱 | 選擇部門屬性中的部門名稱 | |
| 部門ID | 僅在「部門重複驗證字段」選擇「部門ID」時需要填寫 選擇部門屬性中的UID(部門ID) |
3.3.5 角色屬性
對於角色屬性欄位,需要先選擇ObjectClass,再選擇ObjectClass內的屬性值。
角色屬性可不配置,但若選擇了ObjectClass,則必須配置角色名稱/角色ID。
注1:V2.0 及之後版本的插件,使用者屬性支援搜尋,支援手動輸入,支援批量貼上,貼上值透過換列識別。
注2:請選擇你實際的ObjectClass,不要完全參考本文配置,本文僅作為範例。
| 配置項 | 說明 | 是否必填 |
|---|---|---|
| ObjectClass | 選擇儲存角色屬性的ObjectClass | 非必填 要麽都不填、要麽都填 |
| 角色重複驗證字段 | 可選擇透過角色名稱或角色ID進行角色重複驗證 1)若選擇名稱,則同步「名稱」字段,所在表中的 ID 字段值将由系統随機生成 2)若選擇 ID,則同步「ID+名稱」字段,所在表中的 ID 字段值為同步使用者時LDAP伺服器中的 ID | |
| 角色名稱 | 選擇角色屬性中的角色名稱 | |
| 角色ID | 僅在「角色重複驗證字段」選擇「角色ID」時需要填寫 選擇角色屬性中的UID(角色ID) |
3.4 效果查看
若 LDAP 系統認證成功,且LDAP域使用者同步成功。
使用者輸入LDAP伺服器中儲存的使用者名、LDAP伺服器中的密碼,即可進入數據決策系統,按照該使用者在平台中的權限進行相應操作。如下圖所示。
注1:若在平台中不存在輸入使用者名,或平台中對應的使用者被禁用,或開啟了平台使用使用者限制且不包含使用者,則不與 LDAP 伺服器進行通訊,直接提示「使用者名或密碼錯誤」或「使用者不可用」。
注2:LDAP 伺服器中儲存的使用者名,不可使用雙位元組日語、繁體中文或朝鮮文字元。否則在平台登入時提示「使用者名或密碼錯誤」。
LDAP 伺服器中儲存的密碼,不可使用雙位元組日語、繁體中文、簡體中文或朝鮮文字元。否則在平台登入時提示「使用者名或密碼錯誤」。
