反饋已提交
網絡繁忙
11.0
V1.7.3
新增支援同步时重新同步用户类型、優化同步速度、刪除插件不會清空配置項、支援部分特殊符號、支援多域重名使用者同步,新增使用者型別選擇限制(當前使用者型別配置需要同時勾選"平台使用者"型別才能生效)。
ldap節點配置頁面新增"節點名稱"編輯框。
ldap同步頁面新增顯示"節點名稱",且支援搜尋名稱。
ldap節點支援暫停同步。
新增GetUserAdDomain()函式,可透過函式獲取使用者所屬域。
優化SSL認證邏輯(詳情見本文3.2節)
優化帳號重複策略、帳號轉換策略邏輯(詳情見本文3.4節)
使用者資訊儲存在多個 LDAP 認證伺服器中,管理者希望在數據決策系統中使用插件實現多域 LDAP 認證,並把LDAP伺服器中的使用者直接同步到數據決策系統中,而且相關的設定可以直接複用LDAP認證的配置。
基於原同步LDAP域使用者插件,新增支援從多LDAP域同步使用者。
支援配置LDAPS,並同步多域使用者。
支援單個user屬於多group的ad域結構(例如使用安全組),將user與group之間進行聯動。
透過安裝「多域LDAP認證增強版」插件,在進行「全局設定>認證方式」時,可配置「多域LDAP認證」;設定同步使用者時,可選「從多個LDAP伺服器中同步」;多域認證和同步使用者均支援LDAPS。
注1:若曾配置了「多域 LDAP 認證」插件,需刪除舊插件後,重新安裝「多域 LDAP 認證增強版」插件,重新配置LDAP認證。
注2:若在不同域存在相同帳號的使用者,使用各自的密碼均可登入數據決策系統,但需要共用同一個平台賬戶。
注3:超級管理者不受 LDAP 認證的影響,依舊使用平台內建認證。
注4:暫不支援postgresql 外接資料庫,如果有特殊需求請聯絡技術支援。
點選安裝:點選下載
設計器插件安裝方法參照:設計器插件管理
伺服器安裝插件方法參照:伺服器插件管理
插件安裝完成後,在進行「全局設定>認證方式」時,可配置「多域LDAP認證」
在同步使用者時,使用者來源可選擇「從多個LDAP伺服器中同步」。如下圖所示:
管理者登入數據決策系統,點選「管理系統>使用者管理>全局設定」,同步使用者的認證方式選擇「多域LDAP認證」,填寫配置資訊。如下圖所示:
多域LDAP認證的配置方法請參見:使用者管理-多域LDAP認證。
參數填寫完成後,點選「測試連結」,連結成功後,點選「儲存」,即配置認證方式成功。
全部新增完成後,點選「儲存」按鈕,跳出數據決策系統,需重新登入。
3.1節為一般LDAP認證的配置方式,當需要用到LDAPS連結時,有以下需要注意:
1)節點名稱
V1.8.3及之後的版本支援配置「節點名稱」:
歷史使用V1.8.3之前版本建立的LDAP(s)認證,「節點名稱」顯示為空。
節點名稱不可重複,若重複則提示:節點名稱已存在。
2)URL格式為 ldaps://ip:port
3)點選按鈕,開啟SSL認證。(非必須)
注:SSL認證只支援使用JDK內建證書。若在FineReport工程所在伺服器成功安裝認證,即成功配置系統信任認證,無需手動填寫認證所在路徑,Java可自動讀取已配置為信任的認證。手動填寫的內容不會生效。
1)若管理者首次使用同步使用者
管理者登入數據決策系統,點選「管理系統>使用者管理>所有使用者」,點選「同步使用者」。
跳出提示框「是否保留現有非同步資料,包括匯入/新增的使用者、部門職務、角色」,如下圖所示:
不同選擇對應的更新邏輯如下:
保留
如果現有使用者不在同步資料集中,該使用者資訊和權限將被保留,不修改
如果現有使用者在同步使用者來源中(帳號相同):
該使用者的帳號不變,權限保留
該使用者的姓名、密碼、手機、郵箱改寫更新
該使用者當前所屬的部門職務、角色若存在於同步使用者來源中,則改寫更新
該使用者當前所屬的部門職務、角色若不存在於同步使用者來源中,則保留不變
清空
注1:根據選擇的更新邏輯,首次同步後有部分使用者資訊被更新。
注2:之後能被自動更新的只有已變為同步型別的使用者。
注3:之後的同步,資料集不能再改寫更新內建資料,否則將衝突報錯。
2)若數據決策系統配置過同步使用者
管理者直接點選「同步使用者管理」,選擇「編輯」按鈕,即可進入同步使用者配置頁面。
使用者來源選擇「從多個LDAP伺服器中同步」,系統自動讀取 3.1 節 多域LDAP 認證中的配置,並測試連結。同步使用者配置如下圖所示:
注:若之前配置過「同步使用者」,且使用者來源為「伺服器資料集」,切換時會跳出提示「切換使用者來源後將清空原有同步資料,包括使用者及其部門、職務、角色、權限等,確認切換?」,點選「確定」,即可完成LDAP使用者同步。
其他配置項:
支援透過兩種方式執行同步使用者操作:簡單重複執行、表式設定。
1)簡單重複執行
從LDAP伺服器中自動同步使用者的間隔時間,預設為 43200 秒。
同步使用者設定了同步頻率,可自動進行多次同步,到達設定頻率後自動進行同步,不斷把LDAP伺服器中變化的資料同步到平台。
注:同步頻率不宜過高,否則會導緻後臺日誌不斷重新整理,日誌體積無限膨脹。
2)表式設定
支援透過 Cron 表式設定任務執行的時間點,該任務可以是每天重複執行,隔日重複執行或者是單次執行等等各種不同組合的觸發時間點。
Cron 表式的文法和寫法請參見:Cron 表式
「使用者可編輯」按鈕預設不勾選,勾選後,同步狀態下使用者資訊可編輯。
使用者可編輯姓名、手機、郵箱,已存在使用者的以上欄位在自動同步/手動同步時將不再更新。具體功能如下表所示:
注:由於開啟了同步使用者LDAP認證,除了超管使用者和內建使用者外,所有的同步使用者涉及密碼相關的操作都是不可用的:包括設定加密方式、忘記密碼、修改密碼、重置密碼等。
1)再次同步時,平台現存使用者的姓名、手機、郵箱欄位將不再更新
2)可編輯平台所有現存使用者的姓名、手機、郵箱,不可編輯角色
3)超管可在「帳號設定」處編輯自己的姓名、密碼、手機、郵箱
4)可在登入頁使用 忘記密碼 功能
同步使用者型別的
次級管理者
1)可修改有權限的同步使用者的姓名、手機、郵箱,不可編輯角色、密碼
2)可修改有權限的內建使用者的姓名、密碼、手機、郵箱,不可編輯角色
2)次管可在「帳號設定」處編輯自己的姓名、手機、郵箱
普通使用
支援2種處理方式:自動覆蓋、提示重復資訊並中斷同步
特殊情況:
當設定多個同步任務(如任務A和任務B)來從不同的LDAP域(如域A和域B)中同步使用者時,如果這些域中存在重複使用者(假设为User1),且不具有安全組結構,並且帳號重複策略選擇「自動改寫」,則在任務A暫停後,同步任務B時會按以下邏輯處理重複使用者(User1)的資訊:
如果域B在域A之上:域B中User1的資訊會覆蓋FineDB中原先從域A中同步的User1的資訊。
如果域B在域A之下:保留任務A上次同步成功的User1的資訊。
注:僅支持V1.8.7及之後版本。
1)V1.7.9之前的版本
同步使用者時,會將帳號統一轉換成小寫。
2)V1.7.9及之後的版本
新增「帳號轉換策略」,支援2種策略:
注1:無特殊需求建議不勾選此項,預設以小寫形式存入資料庫。
注2:若同時勾選2種策略,效果等同於勾選「轉大寫」。
維持大小寫不變:勾選後同步使用者時,保持原帳號大小寫不變。
轉大寫:勾選後同步使用者時,會將原帳號轉為大寫。
LDAP內大小寫不同的使用者將會被視為同一個使用者,同步時依照上一步中選定的「帳號重複策略」進行自動覆蓋或中斷同步任務。
當同步任務成功後:
a)若外接資料庫大小寫敏感:使用者需根據設定的「帳號轉換策略」,使用轉為大寫/小寫後的帳號進行登入決策系統。
b)若外接資料庫大小寫不敏感:使用大寫/小謝帳號均能登入決策系統。
注:若外接資料庫大小寫敏感且歷史同步過LDAP使用者時,切換「帳號轉換策略」會導致同步失敗,需要清空歷史資料後重新同步。
修改配置後重新同步可能會導緻部分使用者配置權限丟失,例如:ANNA原先同步時入庫保存為anna,勾選「維持大小寫不變」後重新同步,該使用者將保存為ANNA,此時,原先分配給anna的角色配置將丟失,ANNA無法繼承anna的角色配置。
注:V1.8.3之前的版本無此功能且不顯示節點名稱。
2)點選按鈕,即可編輯該域的同步屬性。
3)點選按鈕,即可控制多個域的同步狀態為「已開啟」或「已禁用」。
4)點選按鈕,可控制同步任務的啟動和暫停。
禁用狀態下點選「暫停同步」,提示:請先啟動同步
禁用狀態下點選「啟用同步」,提示:確定啟動同步,點選確定後恢復到"已啟動狀態",並正常同步該節點資料
處於暫停狀態的節點,每次同步時不會丟失之前已經同步成功的資料
注:V1.8.3之前的版本無此功能。
對於使用者屬性欄位,需要先選擇ObjectClass,再選擇ObjectClass內的屬性值。
注:配置「同步使用者」時,不需要配置密碼,實際認證走 LDAP 密碼認證。
選擇儲存使用者屬性的ObjectClass
可選擇透過帳號或使用者ID進行使用者重複驗證
1)若選擇使用者ID,則同步「使用者ID 帳號」欄位,所在表中的 ID 欄位值為同步使用者時LDAP伺服器中的使用者ID
注:若LDAP中使用者A與平台已有使用者A重複,此重複使用者A同步結果為失敗,平台中保留之前平台內A使用者及其配置。
2)若選擇帳號,則同步「帳號」欄位,所在表中的 使用者ID 欄位值將由系統隨機生成
注:若LDAP中使用者A與平台已有使用者A重複,此重複使用者A同步結果為成功,平台中保留LDAP中A使用者及其配置(去重疊加)。
3)若「使用者重複驗證欄位」選擇的欄位配置cn,且在LDAP源資料中存在cn重名的使用者時:
單域情況下:同步失敗。建議此處選擇具有唯一性的欄位,比如說AD域中的登入使用者欄位userPrincipalName 或 sAMAccountName。
多域情況下:同步正常進行,使用者的部門或角色會去重疊加。
選擇使用者屬性中的UID(使用者ID)
注:僅在「使用者重複驗證欄位」選擇「使用者ID」時需要填寫。
選擇使用者屬性中的帳號
LDAP 伺服器中儲存的帳號,不可使用雙位元組日語、繁體中文或朝鮮文字元。否則在平台登入時提示「帳號或密碼錯誤」。
共有2種預設的類型:「平台使用者」、「行動平台使用者」
適用開啟平台使用者分類的場景,若未做相應限制可以忽略此項。
V1.8.3之前的版本需要手動輸入對應屬性值;V1.8.3及之後的版本可直接選擇對應欄位。
V1.8.3之前的版本,單節點只支援選擇2種預設類型,不支援使用LDAP中的欄位。
若有上述2種類型之外的值則報錯:
使用者類型支援多個值,在LDAP中可以用「,」或「;」分隔,例如:platform,platform_mobile或 platform;platform_mobile
使用者類型對應值說明:
其他說明:
1)1.7.5版本及之後的版本
每次同步時使用者型別均會重新同步,配置變更值或新增值每次同步均生效。若同步時將使用者型別設定為空,則該修改同步時不生效,平台中保留之前平台內的使用者型別設定。
2)v1.7.4版本及之前的版本
一個使用者的使用者類型只有在首次配置的時候同步生效。如果A使用者在平台已有使用者型別配置,LDAP同步時,即使配了新的使用者型別,A不會新增新的使用者型別。如需修改,請聯絡管理者去平台使用者型別配置下手動修改。
選擇需要同步的其他內容(支援多選)
注:V1.8.0及之後的版本支援該功能。設定後數據將以JSON格式儲存至FineDB庫Fine_Extra_Properties表中。
3.5.2 部門屬性
對於部門屬性欄位,需要先選擇ObjectClass,再選擇ObjectClass內的屬性值。
部門屬性可不配置,但若選擇了ObjectClass,則必須配置部門名稱/部門ID。
注:若使用安全組作為部門進行同步,可忽略此部分配置。
選擇儲存部門屬性的ObjectClass
注:不支援部門屬性和角色屬性使用同一個ObjectClass的不同屬性。
非必填
要麼都不填、要麼都填
可選擇透過部門名稱或部門ID進行部門重複驗證。
1)若選擇 ID,則同步「ID 名稱」欄位,所在表中的 ID 欄位值為同步使用者時LDAP伺服器中的 ID。
2)若選擇名稱,則同步「名稱」欄位,所在表中的 ID 欄位值將由系統隨機生成。
僅在「部門重複驗證欄位」選擇「部門ID」時需要填寫
選擇部門屬性中的UID(部門ID)
對於角色屬性欄位,需要先選擇ObjectClass,再選擇ObjectClass內的屬性值。
角色屬性可不配置,但若選擇了ObjectClass,則必須配置角色名稱/角色ID。
選擇儲存角色屬性的ObjectClass
可選擇透過角色名稱或角色ID進行角色重複驗證
1)若選擇 ID,則同步「ID 名稱」欄位,所在表中的 ID 欄位值為同步使用者時LDAP伺服器中的 ID
2)若選擇名稱,則同步「名稱」欄位,所在表中的 ID 欄位值將由系統隨機生成
僅在「角色重複驗證欄位」選擇「角色ID」時需要填寫
選擇角色屬性中的UID(角色ID)
在Active Directory(AD)域中,安全組(Security Group)是一種用於管理和分配權限的物件。安全組是AD中的一個重要概念,它允許管理者將一組使用者或計算機歸為一組,並向該組授予特定資源或物件的存取權限。
該項配置講實現同步安全組member屬性對應的使用者。
注1:安全組屬性不可和部門屬性同時配置,否則提示:“部門屬性和安全組屬性不可同時配置“
注2:安全組屬性不可和自訂部門屬性同時配置,否則提示:“自訂部門屬性和安全組屬性不可同時配置“
一般適用的結構為:
配置項如下:
選擇儲存安全組(部門)屬性的ObjectClass。
選擇ObjectClass後根據ObjectClass載入所有安全組(作為“組選擇”對應的下拉複選框元件的選項)。
若不填,“組選擇”下拉選項將預設讀取cn
組選擇
組與部門映射
注:安全組名稱可重名,但安全組映射的部門不能重複(即單域下多個組可以映射到同一個部門,多域下安全組不能映射到與其他域相同的部門)。此條件下,安全組重名,安全組裏的使用者是可以正常被同步的。若使用者名稱也相同時,配置不同時去重疊加。
若 LDAP 系統認證成功,且LDAP域使用者同步成功。
如圖所示啟用了兩個LDAP URL,點選確認後進行同步。
同步成功提示如下
使用者輸入LDAP伺服器中儲存的帳號、LDAP伺服器中的密碼,即可進入數據決策系統,按照該使用者在平台中的權限進行相應操作。如下圖所示:
注1:若在平台中不存在輸入帳號,或平台中對應的使用者被禁用,或開啟了平台使用使用者限制且不包含使用者,則不與 LDAP 伺服器進行通訊,直接提示「帳號或密碼錯誤」或「使用者不可用」。
注2:LDAP 伺服器中儲存的帳號,不可使用雙位元組日語、繁體中文或朝鮮文字元。否則在平台登入時提示「帳號或密碼錯誤」。
LDAP 伺服器中儲存的密碼,不可使用雙位元組日語、繁體中文、簡體中文或朝鮮文字元。否則在平台登入時提示「帳號或密碼錯誤」。
1)安全組名稱
在AD中建立安全組時禁用以下符號: / \ [] : ; | = , + * ? < > "
2)使用者名稱
在AD中建立使用者時禁用以下符號: / \ [] : ; | = , + * ? < > @ "
綜上,同步時支援的帳號包含的特殊符號僅有:( ) _ 空格
3)OU名稱
支援使用: / \ () _ ; , + * < > 空格
1)v1.7.5版本及之後的版本
插件刪除後配置保留
插件刪除會刪除已有配置,請謹慎刪除並做好配置資訊的備份。
配置連結相關資訊存儲在FineDB庫FINE_CONF_ENTITY表中。查詢語句:SELECT * FROM FINE_CONF_ENTITY WHERE ID LIKE '%FINE_MULTI_LDAP VALUES%'
注:如刪除重裝插件後需恢復原有配置,需手動修改FineDB後重啟,該操作較危險,請聯絡技術支援協助進行,並務必保證操作前做好備份工作。
V1.8.3及之後版本支援透過GetUserAdDomain()函式獲取使用者所在域。
以jack使用者為例:
滑鼠選中內容,快速回饋問題
滑鼠選中存在疑惑的內容,即可快速回饋問題,我們將會跟進處理。
不再提示
10s後關閉
反馈已提交
网络繁忙