Définition du modèle ThingWorx dans Composer > Sécurité > Services d'annuaire > Gestion des utilisateurs dans l'Active Directory > Utilisateurs Active Directory
Utilisateurs Active Directory
Cette rubrique vous explique tout ce que vous devez savoir sur les utilisateurs Active Directory, depuis l'approvisionnement utilisateur jusqu'aux scénarios de verrouillage :
Approvisionnement utilisateur
L'approvisionnement utilisateur fournit des options permettant de créer, de modifier et de supprimer automatiquement des utilisateurs dans ThingWorx.
Nom
Description
Nom d'attribut XML
Valeur par défaut
Remarques
Création d'utilisateur activée
Contrôle la création ou le provisionnement automatique des utilisateurs ThingWorx si les informations d'identification sont correctes sur le serveur Active Directory qui émet la requête de connexion.
Si ce champ est sélectionné, les utilisateurs seront créés à l'aide du nom d'utilisateur de connexion spécifié, ainsi qu'avec les valeurs par défaut définies dans la table de configuration des paramètres utilisateur par défaut.
Lorsque ce champ n'est pas sélectionné/porte la valeur "faux" (par défaut), les utilisateurs doivent préalablement exister dans ThingWorx pour pouvoir se connecter.
Les utilisateurs doivent exister dans ThingWorx pour que les connexions soient fructueuses. Si l'utilisateur figure dans la table de configuration Liste d'exclusion d'approvisionnement utilisateur, ce champ n'a aucun effet sur la création automatique de l'utilisateur.
userCreationEnabled
false
A définir sur vrai si vous souhaitez que le service d'annuaire de ThingWorx ait la possibilité de créer automatiquement des utilisateurs.
Modification d'utilisateur activée
Contrôle la mise à jour ou le provisionnement automatique des utilisateurs ThingWorx si les informations d'identification sont correctes sur le serveur Active Directory qui émet la requête de connexion.
Lorsque ce champ est sélectionné/porte la valeur "vrai", les utilisateurs sont mis à jour lors de chaque tentative de connexion. Ils sont mis à jour en fonction des valeurs par défaut spécifiées dans la table de configuration des paramètres utilisateur par défaut.
Lorsque ce champ n'est pas sélectionné/porte la valeur "faux" (par défaut), les utilisateurs ne sont pas mis à jour lors de chaque tentative de connexion faisant suite à la tentative initiale lorsque l'utilisateur avait été automatiquement créé ou configuré. Les utilisateurs doivent exister dans ThingWorx pour que les connexions soient fructueuses.
Si l'utilisateur figure dans la table de configuration Liste d'exclusion d'approvisionnement utilisateur, ce champ n'a aucun effet sur la mise à jour automatique de l'utilisateur.
userModificationEnabled
false
Définissez cette option sur vrai pour autoriser le service d'annuaire de ThingWorx à mettre à jour des utilisateurs.
Suppression d'utilisateur activée
Contrôle la suppression/déconfiguration automatique des utilisateurs ThingWorx si ceux-ci n'existent pas sur le serveur Active Directory qui émet la requête de connexion.
Lorsque ce champ est sélectionné/porte la valeur "vrai", les utilisateurs sont supprimés lors d'une tentative de connexion.
Lorsque ce champ n'est pas sélectionné/porte la valeur "faux", les utilisateurs ne sont pas supprimés lors d'une tentative de connexion. Les utilisateurs doivent exister dans ThingWorx pour que les connexions aboutissent et que les suppressions soient possibles. Si l'utilisateur figure dans la table de configuration Liste d'exclusion d'approvisionnement utilisateur, ce champ n'a aucun effet sur la suppression automatique de l'utilisateur.
userDeletionEnabled
false
Définissez cette option sur vrai pour autoriser le service d'annuaire de ThingWorx à supprimer des utilisateurs.
Retour en haut
Paramètres utilisateur par défaut
La table ci-après décrit les paramètres par défaut disponibles pour les utilisateurs. Ces champs sont facultatifs.
Nom
Description
Nom d'attribut XML
Valeurs valides
Remarques
Préfixe de domaine par défaut de l'utilisateur configuré
Valeur de chaîne considérée comme préfixe pour les noms d'utilisateurs afin de pouvoir distinguer un utilisateur X issu du serveur de domaine Y d'un utilisateur X issu du serveur de domaine Z.
Cela permet aux services d'annuaire Active Directory configurés de savoir explicitement si l'utilisateur à valider est visé pour les opérations de gestion. Lorsqu'une valeur est configurée, le service d'annuaire Active Directory n'essaie pas de valider ou de configurer l'utilisateur. Au lieu de cela, il consigne les messages de sécurité appropriés et transmet la tentative de connexion de l'utilisateur au service d'annuaire ThingWorx suivant dans le circuit.
* 
Il est recommandé d'utiliser un préfixe de domaine si le même utilisateur existe dans plusieurs serveurs de domaine et dans les domaines connexes. Cela réduit au minimum le comportement non déterministe qui pourrait survenir en raison de la fonctionnalité de réduction du "débit d'eau" en cas d'échec de validation de l'utilisateur.
userDefaultDomainPrefix
Chaîne vide ou toute chaîne contenant des caractères de nom d'entité valides
S'il existe plusieurs serveurs de domaine configurés, cette configuration doit être utilisée. Par exemple, NA ou EUR peut être utilisé comme préfixe de domaine.
* 
Ce paramètre peut produire des résultats inattendus lorsque la fonction Connexion utilisateur dynamique est activée, car le préfixe de domaine par défaut de l'utilisateur configuré est supprimé du nom d'utilisateur saisi au moment de l'authentification de l'utilisateur avant toute tentative de liaison avec Active Directory. Par exemple, si le "Préfixe de domaine par défaut de l'utilisateur configuré" est défini sur "mydomain\" et que l'utilisateur entre "mydomain\username" pour s'authentifier auprès de ThingWorx, seul le "username" est envoyé à Active Directory pour l'authentification. L'authentification pourra échouer pour l'utilisateur même si "mydomain\username" correspond au domain\samAccountName de l'utilisateur dans Active Directory.
* 
Si le même nom d'utilisateur existe sur plusieurs domaines Active Directory, l'authentification échouera si l'utilisateur qui se connecte n'est pas précisément l'utilisateur trouvé dans Active Directory. Cela dépendra de l'ordre d'interrogation.
Description par défaut de l'utilisateur configuré
Valeur chaîne de description qui est définie en tant que description pour tous les utilisateurs configurés. Il s'agit d'un paramètre utile qui permet l'ajout d'informations contextuelle à un utilisateur, telles que "Auto-configuré par le serveur de domaine Y".
userDefaultDescription
Chaîne vide ou toute chaîne de description
Cette option doit être utilisée si une description par défaut de tous les utilisateurs configurés (à savoir les utilisateurs créés ou mis à jour automatiquement) est privilégiée.
Application composite d'accueil par défaut de l'utilisateur configuré
Valeur de nom de l'application composite d'accueil qui est définie comme application composite par défaut pour tous les utilisateurs configurés. Il s'agit d'un paramètre qui permet à tous les utilisateurs configurés de démarrer avec une application composite d'accueil commune lorsqu'ils se connectent à ThingWorx. Exemples de ces applications composites : application composite pour invités, application composite en self-service, application composite pour opérateurs, etc.
userDefaultHomeMashupName
Chaîne vide pour annuler ou nom valide d'une application composite existante
Cette option doit être utilisée si une application composite d'accueil par défaut pour tous les utilisateurs configurés (à savoir les utilisateurs créés ou mis à jour automatiquement) est privilégiée.
Par exemple, cela peut s'avérer utile si la même application composite (GuestMashup, SelfServiceMashup ou LandingPageMashup) est choisie pour s'afficher au démarrage pour tous les utilisateurs lorsqu'ils se connectent à ThingWorx.
Application composite mobile par défaut de l'utilisateur configuré
Valeur de nom de l'application composite mobile qui est définie pour tous les utilisateurs configurés et destinée à une utilisation sur les périphériques mobiles. Il s'agit d'un paramètre qui permet à tous les utilisateurs configurés de démarrer avec une application composite mobile commune lorsqu'ils se connectent à ThingWorx. Exemples de ces applications composites : application composite mobile pour invités, application composite mobile en self-service, application composite mobile pour opérateurs, etc.
userDefaultMobileMashupName
Chaîne vide pour annuler ou nom valide d'une application composite existante
Cette option doit être utilisée si une application composite mobile par défaut pour tous les utilisateurs configurés (à savoir les utilisateurs créés ou mis à jour automatiquement) est privilégiée.
Par exemple, cela peut s'avérer utile si la même application composite (GuestMashup, SelfServiceMashup ou LandingPageMashup) est choisie pour s'afficher au démarrage pour tous les utilisateurs lorsqu'ils se connectent à ThingWorx.
Tags par défaut de l'utilisateur configuré
Ensemble de tags de modèle qui sont définis pour tous les utilisateurs configurés. Il s'agit d'un paramètre qui permet à tous les utilisateurs configurés d'avoir des tags communs pouvant être utilisés pour les opérations de recherche ou d'identification contextuelle. Exemples de ces tags : tag opérateur, ProvisionedByDomainServerY, ProvisionedByDomainServerZ, etc.
userDefaultTags
Chaîne vide pour annuler ou nom valide d'un tag existant
Cette option doit être utilisée si un jeu par défaut de tags de modèle pour tous les utilisateurs configurés (à savoir les utilisateurs créés ou mis à jour automatiquement) est privilégié.
Retour en haut
Liste d'exclusion d'approvisionnement utilisateur
Il s'agit d'une table de configuration permettant à l'administrateur du service d'annuaire Active Directory d'empêcher des utilisateurs ThingWorx spécifiques de bénéficier des fonctions d'approvisionnement utilisateur du service d'annuaire Active Directory.
Les fonctions d'approvisionnement utilisateur incluent la création, la modification et la suppression des utilisateurs. Lorsque vous configurez ThingWorx avec un service d'annuaire Active Directory, les utilisateurs existants peuvent souhaiter que l'annuaire Active Directory se charge uniquement de gérer la validation de leurs informations d'identification, et aucunement de leur configuration et de leur présence. Ces types d'utilisateurs doivent être ajoutés à la configuration de la Liste d'exclusion d'approvisionnement utilisateur.
* 
L'utilisateur administrateur est automatiquement ajouté à cette liste et ne doit pas en être supprimé.
L'utilisateur administrateur est un utilisateur ThingWorx par défaut qui ne peut pas être créé ni détruit. L'utilisateur administrateur ne doit pas être modifié automatiquement. Cela pourrait en effet entraîner des changements de configuration indésirables à l'ouverture d'une session.
Retour en haut
Scénarios de connexion de l'utilisateur
La table ci-après recense les états pré et post-utilisateur lors des tentatives de connexion à ThingWorx en fonction des options de configuration définies dans le service d'annuaire Active Directory sur ThingWorx.
* 
Les scénarios ci-dessous n'entraînent pas de modification de l'état ou de la configuration de l'utilisateur sur le serveur Active Directory.
Les éléments en gras désignent le principal critère de prise de décision de l'état "post" de l'utilisateur dans ThingWorx.
Etat de l'utilisateur sur le serveur AD
Pré-état de l'utilisateur dans ThingWorx
Option(s) de configuration
Post-état de l'utilisateur dans ThingWorx
N'existe pas
N'existe pas
N'importe quelle configuration
N'existe pas
Ne peut pas être utilisé pour se connecter
N'existe pas
Existe (manuellement créé par l'administrateur ThingWorx)
Le mot de passe a été défini/est stocké dans ThingWorx
Création de l'approvisionnement utilisateur activée
Modification de l'approvisionnement utilisateur activée
Suppression de l'approvisionnement utilisateur activée
Répertorié dans la Liste d'exclusion d'approvisionnement utilisateur
Existe
N'est pas modifié ou supprimé
Peut être utilisé pour se connecter
N'existe pas
Existe (manuellement créé par l'administrateur ThingWorx)
Le mot de passe n'a pas été défini ou n'est pas stocké dans ThingWorx
Création de l'approvisionnement utilisateur activée
Modification de l'approvisionnement utilisateur activée
Suppression de l'approvisionnement utilisateur activée
Répertorié dans la Liste d'exclusion d'approvisionnement utilisateur
Existe
N'est pas modifié ou supprimé
Ne peut pas être utilisé pour se connecter
N'existe pas
Existe (manuellement créé par l'administrateur ThingWorx)
Création de l'approvisionnement utilisateur activée
Modification de l'approvisionnement utilisateur activée
Suppression de l'approvisionnement utilisateur activée
Non répertorié dans la Liste d'exclusion d'approvisionnement utilisateur
L'utilisateur existe
Peut être utilisé pour se connecter
N'existe pas
Existe (manuellement créé par l'administrateur ThingWorx)
Création de l'approvisionnement utilisateur activée
Modification de l'approvisionnement utilisateur activée
Suppression de l'approvisionnement utilisateur désactivée
Non répertorié dans la Liste d'exclusion d'approvisionnement utilisateur
L'utilisateur existe
Peut être utilisé pour se connecter
Existe
N'existe pas
Création de l'approvisionnement utilisateur activée
Modification de l'approvisionnement utilisateur activée
Suppression de l'approvisionnement utilisateur activée
Répertorié dans la Liste d'exclusion d'approvisionnement utilisateur
N'existe pas
Ne peut pas être utilisé pour se connecter
Existe
Désactivé
N'existe pas
Création de l'approvisionnement utilisateur activée
Modification de l'approvisionnement utilisateur activée
Suppression de l'approvisionnement utilisateur activée
Non répertorié dans la Liste d'exclusion d'approvisionnement utilisateur
N'existe pas
Ne peut pas être utilisé pour se connecter
Existe
Verrouillé
N'existe pas
Création de l'approvisionnement utilisateur activée
Modification de l'approvisionnement utilisateur activée
Suppression de l'approvisionnement utilisateur activée
Non répertorié dans la Liste d'exclusion d'approvisionnement utilisateur
N'existe pas
Ne peut pas être utilisé pour se connecter
Existe
N'existe pas
Création de l'approvisionnement utilisateur désactivée
Modification de l'approvisionnement utilisateur activée
Suppression de l'approvisionnement utilisateur activée
Non répertorié dans la Liste d'exclusion d'approvisionnement utilisateur
N'existe pas
Ne peut pas être utilisé pour se connecter
Existe
N'existe pas
Création de l'approvisionnement utilisateur activée
Modification de l'approvisionnement utilisateur activée
Suppression de l'approvisionnement utilisateur activée
Non répertorié dans la Liste d'exclusion d'approvisionnement utilisateur
Existe (créé)
Ajouté en tant que membre aux groupes mappés
Paramètres utilisateur par défaut ajoutés
Peut être utilisé pour se connecter
Existe
Existe
Création de l'approvisionnement utilisateur activée
Modification de l'approvisionnement utilisateur activée
Suppression de l'approvisionnement utilisateur activée
Non répertorié dans la Liste d'exclusion d'approvisionnement utilisateur
Paramètres utilisateur par défaut configurés
L'utilisateur est modifié
Ajouté/supprimé en tant que membre dans les groupes mappés
Paramètres utilisateur par défaut ajoutés
Peut être utilisé pour se connecter
Existe
Existe
Création de l'approvisionnement utilisateur activée
Modification de l'approvisionnement utilisateur activée
Suppression de l'approvisionnement utilisateur activée
Répertorié dans la Liste d'exclusion d'approvisionnement utilisateur
Paramètres utilisateur par défaut configurés
L'utilisateur n'est pas modifié
Peut être utilisé pour se connecter
Existe
Verrouillé
Existe
N'importe quelle configuration
L'utilisateur est verrouillé
Ne peut pas être utilisé pour se connecter
Existe
Désactivé
Existe
N'importe quelle configuration
L'utilisateur est désactivé
Ne peut pas être utilisé pour se connecter
Retour en haut
Scénarios de verrouillage de l'utilisateur
Les paramètres de verrouillage de compte sont configurés dans ThingWorx au niveau du sous-système de gestion de l'utilisateur.
Le gestionnaire de verrouillage est défini en tant que système (ThingWorx ou Active Directory) qui détermine le verrouillage en fonction de l'évaluation du verrou.
Légende de la table ci-dessous :
Configuration des tentatives de verrouillage ThingWorx : TVT
Configuration des tentatives de verrouillage Active Directory : VAD
Evaluation du verrouillage
Gestionnaire de verrouillage
Exemple de configuration du nombre maximum de tentatives du gestionnaire de verrouillage
Action
Résultat
TVT > VAD
VAD
2 tentatives
ThingWorx recherche un utilisateur verrouillé dans l'Active Directory
L'utilisateur ThingWorx est verrouillé immédiatement
TVT > VAD
VAD
2 tentatives
L'utilisateur se connecte à deux reprises de manière incorrecte
L'utilisateur ThingWorx est verrouillé après deux tentatives
TVT = VAD
* 
La configuration de verrouillage recommandée consiste à établir une correspondance entre ThingWorx et l'Active Directory.
VAD
2 tentatives
L'utilisateur se connecte à deux reprises de manière incorrecte
L'utilisateur ThingWorx est verrouillé après deux tentatives
TVT < VAD
VAD
2 tentatives
L'utilisateur se connecte à deux reprises de manière incorrecte
L'utilisateur ThingWorx est verrouillé après deux tentatives
Retour en haut
Gestion des utilisateurs dans l'Active Directory
Groupes Active Directory et connexion utilisateur dynamique
Modifications dans Active Directory
Mappage des attributs utilisateur Active Directory aux propriétés UserExtension de ThingWorx
Mappage d'utilisateurs et de groupes qui existent dans plusieurs domaines
Résolution des problèmes liés à Active Directory
Est-ce que cela a été utile ?