Active Directory-Gruppen und dynamische Benutzeranmeldung
In diesem Thema werden die folgenden Funktionen der Verwendung von Active Directory mit Ihrer ThingWorx Platform erläutert:
Dynamische Benutzeranmeldung
 |
Wenn Dynamische Benutzeranmeldung aktiviert ist, sollten sich Benutzer nach Möglichkeit immer mit demselben Benutzernamen bei ThingWorx Platform authentifizieren. Andernfalls werden aufgrund einer aktuellen Beschränkung der von ThingWorx Platform mehrere ThingWorx Platform Konten für denselben Benutzer erstellt. Beispiel: Nehmen wir an, ein Benutzer meldet sich mit displayName, testuser, an. Auf der Plattform wird ein Benutzerkonto namens testuser erstellt. Wenn sich derselbe Benutzer jedoch mit seinem Universal Principal Name (UPN) anmeldet, in diesem Beispiel testuser@domain.com, wird auch der Benutzer testuser@domain.com auf der Plattform erstellt.
|
Wenn Dynamische Benutzeranmeldung aktiviert ist, werden die Verbindungseinstellungen für "Administrativer Prinzipalname" und "Administrative Principal Password" ignoriert. Der Benutzer, der sich beim ThingWorx Platform Verzeichnis anmeldet, wird in Active Directory mithilfe seines Benutzernamens und Passworts authentifiziert. Die derzeit unterstützte Authentifizierungsmethode in Active Directory ist die Verwendung von displayName, UPN und domain\samAccountName.
Wenn Dynamische Benutzeranmeldung deaktiviert ist, ist der Workflow für die Benutzeranmeldung derselbe wie in ThingWorx Platform 8.3.0 bis 8.3.4.
Informationen zur Problembehandlung mit "Dynamische Benutzeranmeldung" finden Sie unter Problembehandlung: Active Directory-Domänen-Präfix und dynamische Benutzeranmeldung.
Gruppenzuordnungen
Stellen Sie sicher, dass Sie die ThingWorx Regeln für Sichtbarkeit, Berechtigung und Organisation für Benutzer und Gruppen kennen, um Zuordnungen wie gewünscht zu konfigurieren. Wenn Berechtigungen nicht ordnungsgemäß zugewiesen sind, können Benutzer evtl. auf Inhalt zugreifen, auf den sie nicht zugreifen sollten.
Während Gruppenzuordnungen nicht erforderlich sind, führt das Nichtvorhandensein von Gruppenzuordnungen zu eingeschränkten Berechtigungen (nur die Standardberechtigungen des Benutzers), wenn ein Benutzer bereitgestellt oder aktualisiert wird.
Die Konfiguration Gruppenzuordnungen befindet sich ungefähr in der Mitte der Konfigurationsseite für einen Active Directory-Verzeichnisdienst. So richten Sie Gruppenzuordnungen ein:
1. Navigieren Sie in ThingWorx Composer zum Active Directory-Verzeichnisdienst in Composer ( > > .
2. Öffnen Sie die Konfigurationsseite, blättern Sie nach unten zum Bereich Gruppenzuordnungen, und klicken Sie auf Hinzufügen, wie in der folgenden Abbildung dargestellt:
3. Geben Sie im Feld "Active Directory-Gruppenname" des Fensters "Gruppenzuordnungen" den Namen einer Active Directory-Gruppe ein, die Sie einer ThingWorx Gruppe zuordnen möchten.
4. Klicken Sie im Feld "ThingWorx Gruppenname" auf das Pluszeichen (+), um die Dropdown-Liste der ThingWorx Gruppen anzuzeigen, wie unten dargestellt. Beachten Sie, dass die Option Erweiterte Suche verfügbar ist, mit der Sie nach bestimmten Entitäten und weiteren Kriterien filtern können. Diese Dropdown-Liste ist ab ThingWorx Version 8.3.5 verfügbar.
 | Das folgende Gruppenzuordnungsformular wird angezeigt, wenn die dynamische Benutzeranmeldung deaktiviert ist.  |
5. Beachten Sie in der folgenden Version des Gruppenzuordnungsformulars, dass die Meldung "Anmeldeinformationen erforderlich" angezeigt wird, wenn die dynamische Gruppenanmeldung aktiviert ist. Klicken Sie auf das grüne Schloss-Symbol, um einen Active Directory-Gruppennamen einzugeben.
6. Wenn das Dialogfenster Anmeldeinformationen angeben angezeigt wird, legen Sie AdministrativePrincipalName und AdministrativePassword fest, und klicken Sie auf Festlegen.
In der folgenden Tabelle werden die Einstellungen für Gruppenzuordnungen beschrieben:
Name | Beschreibung | Gültige Werte |
|---|---|---|
Active Directory-Gruppenname | Name der Active Directory-Gruppe, die der ThingWorx Gruppe für die Überprüfung von Berechtigungen/Autorisierung zur Laufzeit zugeordnet wird. | Nicht leere Zeichenfolge, die einen Gruppennamen enthält, der einem groupObjectClass-Objekt in Active Directory unter der konfigurierten Domäne entspricht. |
ThingWorx Gruppenname | Name der ThingWorx Gruppe, die die ThingWorx Berechtigungen/Autorisierungskonfigurationen enthält, die zur Laufzeit verwendet werden. Benutzer, die durch Active Directory bereitgestellt wurden, werden dieser ThingWorx Gruppe hinzugefügt. Dies basiert auf der Active Directory-Gruppe, zu der der Benutzer gehört und die dieser ThingWorx Gruppe zugeordnet wurde. | Nicht leere Zeichenfolge, die einen Gruppennamen enthält, der einer Gruppenentität in ThingWorx entspricht. |
Gruppenzuordnung mit dynamischer Benutzeranmeldung
Seit der Einführung von "Dynamische Benutzeranmeldung" in Version 8.3.5 akzeptieren die Dienste GetDomainGroups und IsValidGroup Argumente, mit denen Anmeldeinformationen von Active Directory-Administratoren übergeben werden können, z.B. über die Benutzeroberfläche, wenn die Funktion Dynamische Benutzeranmeldung aktiviert ist. Wenn die dynamische Benutzeranmeldung deaktiviert ist (Standardeinstellung), sind die Administrator-Anmeldeinformationen für die Dienste IsValidGroup und GetDomainGroups optional. Der Dienst TestConnection unterstützt alle erforderlichen Anmeldeinformationen. Wenn die Parameter leer sind, verwenden die Dienste die Administrator-Anmeldeinformationen.
Gruppenvalidierung für die Gruppenzuordnung
Ab Version 8.3.5 steht in ThingWorx Composer ein Textfeld auf der Seite Gruppenzuordnungen zur Verfügung, in das Sie den Namen der Active Directory-Gruppe eingeben können. Die Möglichkeit, eine Active Directory-Gruppe in einer Dropdown-Liste auszuwählen, ist weiterhin verfügbar. Das Textfeld unterstützt die Eingabe einer Gruppe nach Name oder nach vollständig definiertem Namen. Der Name TestGroup ist beispielsweise ein einfacher Name, während CN=TestGroup, CN=Users, DC=domain, DC=com ein vollständig definierter Name ist.
Der Dienst IsValidGroup wird ebenfalls ab Version 8.3.5 bereitgestellt und ermöglicht es Ihnen, in Active Directory nach dem Namen einer gültigen Gruppe zu suchen. Dieser Dienst akzeptiert einen einzelnen STRING-Parameter, groupName, der den Namen der gesuchten Gruppe angibt. Der Dienst gibt ein BOOLEAN-Ergebnis zurück, das angibt, ob die Gruppe in Active Directory vorhanden ist.
| | Das Sternchen als Platzhalterzeichen (*) darf NICHT als Teil der Eingabe für groupName verwendet werden. |
Verschachtelte Gruppenmitgliedschaft
Ab Version 8.3.5 ist die Konfigurationsoption Benutzer zu zugeordneten Vorgängergruppen hinzufügen im Abschnitt "Schemazuordnungen" der Active Directory-Konfiguration verfügbar. Diese BOOLEAN-Einstellung aktiviert oder deaktiviert die verschachtelte Gruppenmitgliedschaft.
Wenn die verschachtelte Gruppenmitgliedschaft aktiviert ist, geschieht Folgendes:
• Active Directory wird mit einer erweiterbaren Abgleichsregel abgefragt, um sowohl die Gruppen abzurufen, denen der Benutzer angehört, als auch die Gruppen, zu denen diese Gruppen gehören, und dies bis zu einer beliebigen Verschachtelungstiefe.
• Diese Gruppen werden mit der Tabelle Gruppenzuordnungen verglichen, um den resultierenden ThingWorx Benutzer zu Benutzergruppen zuzuweisen.
• Diese Option kann die Leistung beeinträchtigen, da sie die Auslastung von Active Directory erhöht und zu einer großen Menge von Ergebnissen führen kann.
Wenn die verschachtelte Gruppenmitgliedschaft deaktiviert ist, ist der Workflow derselbe wie in ThingWorx Platform Version 8.3.0 bis 8.3.4.
Schemazuordnungen
Damit Authentifizierung und Gruppenabruf/-zuordnung funktionieren, sind die folgenden Felder in diesem Bereich Pflichtfelder: "Benutzer-ID-Attributname", "Gruppenobjektklassenname", "Gruppenmitgliedschafts-Attributname", "Gruppenattributname", "Benutzer-Flags-Attributname", "Deaktiviertes Bit für Benutzersteuerungsattribut" und "Sperrungsbit für Benutzersteuerungsattribut".
Name | Beschreibung | XML-Attributname | Standardwert | Beispiel des Werts | ||
|---|---|---|---|---|---|---|
Benutzer-ID-Attributname | Name des Attributs, das den Benutzernamenwert enthält. Dieser wird verwendet, um ihn mit dem angegebenen Benutzernamen bei der ThingWorx Anmeldung abzugleichen. | attributeUserIdName | cn | cn, userPrincipalName | ||
Definierter Name für Benutzerbasis | Der definierte Name des Verzeichnisses der obersten Ebene, das während der Validierung der Benutzeranmeldeinformationen verwendet wird. | userBaseDN | ou=people | DC=test, DC=acme, DC=com | ||
Gruppenobjektklassenname | Der Wert des Attributs objectClass, das das Objekt als Gruppe ausweist. Die Gruppenobjekte werden für die Gruppenzuordnung zwischen Active Directory/ThingWorx in der Konfigurationstabelle "Gruppenzuordnungen" abgefragt und dargestellt. | groupObjectClass | group | group | ||
Gruppen-LDAP-Filter zum Filtern von Domänengruppen | Ermöglicht die Filterung einer großen Anzahl von Domänengruppen.
| groupLdapFilter | N/A | (cn=a_testgroup111*)(cn=b_testgroup222*) | ||
Gruppenmitgliedschafts-Attributname | Name des Attributs, das angibt, dass ein Benutzer oder eine Gruppe "Mitglied" einer anderen Gruppe ist. Für jeden memberOf-Eintrag innerhalb eines Benutzers in Active Directory wird dieser Benutzer als Mitglied zur ThingWorx Gruppe hinzugefügt, die der im memberOf-Eintrag benannten Active Directory-Gruppe zugeordnet ist. | memberOfAttribute | memberOf | memberOf | ||
Gruppenattributname | Name des Attributs, das verwendet werden sollte, um die Gruppe "Anzeigename" in der ThingWorx Benutzeroberfläche abzurufen, besonders bei Auswahl in der Konfigurationstabelle Gruppenzuordnungen.
| groupAttribute | cn | cn | ||
Benutzer-Flags-Attributname | Weitere Informationen finden Sie unter https://msdn.microsoft.com/de-de/library/cc223145.aspx | userControlAttribute | userAccountControl | userAccountControl | ||
Deaktiviertes Bit für Benutzersteuerungsattribut | Ganzzahl-/Dezimalwert des Flags für das deaktivierte Bit im angegebenen Benutzer-Flags-Attributnamen (d.h. standardmäßiges userControlAttribute). Weitere Informationen finden Sie unter https://msdn.microsoft.com/de-de/library/cc223145.aspx | userDisableBit | 2 | 2 | ||
Sperrungsbit für Benutzersteuerungsattribut | Ganzzahl-/Dezimalwert des Flags des Sperrungsbits im angegebenen Benutzer-Flags-Attributnamen (d.h. standardmäßiges userControlAttribute). Weitere Informationen finden Sie unter https://msdn.microsoft.com/de-de/library/cc223145.aspx | userLockoutBit | 16 | 16 | ||
Gesamtstrukturnamen-ID | Gibt eine Sammlung/Gesamtstruktur der Domänencontroller an. Jedes Verzeichnisdienst-Objekt mit derselben Zeichenfolge kann Gruppen der jeweils anderen Domäne innerhalb der Konfiguration seiner Gruppenzuordnungen zuordnen. In den nächsten Abschnitten finden Sie Beispiele für die Verwendung dieser Option. | forestNameIdentifier | N/A |