ThingWorx Modelldefinition in Composer > Sicherheit > Verzeichnisdienste > Benutzer in Active Directory verwalten > Active Directory-Benutzer
Active Directory-Benutzer
In diesem Thema wird erläutert, was Sie über Active Directory-Benutzer wissen müssen, von der Bereitstellung bis hin zu Sperrszenarios:
Benutzerbereitstellung
Die Benutzerbereitstellung bietet Optionen, um Benutzer in ThingWorx automatisch zu erstellen, zu ändern und zu löschen.
Name
Beschreibung
XML-Attributname
Standardwert
Hinweise
Benutzererstellung aktiviert
Steuert die automatische Erstellung/Bereitstellung von ThingWorx Benutzern, wenn die Benutzeranmeldeinformationen auf dem Active Directory-Server richtig sind, der die Anmeldeanforderung vereinfacht.
Wenn das Feld aktiviert ist, werden Benutzer mit dem Benutzernamen für die Anmeldung erstellt, sowie mit allen Standardwerten, die in der Konfigurationstabelle "Benutzerstandardeinstellungen" angegeben sind.
Wenn das Feld deaktiviert/falsch ist (Standardeinstellung), müssen Benutzer in ThingWorx vorhanden sein, bevor sie versuchen, sich anzumelden.
Benutzer müssen in ThingWorx vorhanden sein, damit Anmeldungen erfolgreich sind. Wenn der Benutzer zur Konfigurationstabelle "Ausschlussliste für Benutzerbereitstellung" gehört, hat dieses Feld keine Auswirkung auf die automatische Erstellung des Benutzers.
userCreationEnabled
false
Legen Sie dies auf wahr fest, wenn der Verzeichnisdienst in ThingWorx in der Lage sein soll, Benutzer automatisch zu erstellen.
Benutzeränderung aktiviert
Steuert die automatische Aktualisierung/Bereitstellung von ThingWorx Benutzern, wenn die Benutzeranmeldeinformationen auf dem Active Directory-Server richtig sind, der die Anmeldeanforderung vereinfacht.
Wenn das Feld aktiviert/wahr ist, werden Benutzer bei jedem Anmeldeversuch aktualisiert. Sie werden mit allen Standardwerten aktualisiert, die in der Konfigurationstabelle User Default Settings angegeben sind.
Wenn das Feld deaktiviert/falsch (Standard) ist, werden Benutzer nicht bei jedem Anmeldeversuch nach dem ersten Versuch aktualisiert, als der Benutzer automatisch erstellt/bereitgestellt wurde. Benutzer müssen in ThingWorx vorhanden sein, damit Anmeldungen erfolgreich sind.
Wenn der Benutzer zur Konfigurationstabelle Ausschlussliste für Benutzerbereitstellung gehört, hat dieses Feld keine Auswirkung auf die automatische Aktualisierung des Benutzers.
userModificationEnabled
false
Legen Sie dies auf wahr fest, um dem Verzeichnisdienst in ThingWorx das Aktualisieren von Benutzern zu erlauben.
Benutzerlöschung aktiviert
Steuert die automatische Löschung/Aufhebung der Bereitstellung von ThingWorx Benutzern, wenn der Benutzer nicht auf dem Active Directory-Server vorhanden ist, der die Anmeldeanforderung vereinfacht.
Wenn das Feld aktiviert/wahr ist, werden Benutzer bei einem Anmeldeversuch gelöscht.
Wenn das Feld deaktiviert/falsch ist, werden Benutzer bei einem Anmeldeversuch nicht gelöscht. Benutzer müssen in ThingWorx vorhanden sein, damit Anmeldungen und Löschvorgänge erfolgreich sind. Wenn der Benutzer zur Konfigurationstabelle Ausschlussliste für Benutzerbereitstellung gehört, hat dieses Feld keine Auswirkung auf die automatische Löschung des Benutzers.
userDeletionEnabled
false
Legen Sie dies auf wahr fest, um dem Verzeichnisdienst in ThingWorx das Löschen von Benutzern zu erlauben.
Zurück nach oben
Benutzerstandardeinstellungen
In der folgenden Tabelle werden die verfügbaren Standardeinstellungen für Benutzer beschrieben. Diese Felder sind optional.
Name
Beschreibung
XML-Attributname
Gültige Werte
Hinweise
Standard-Domänen-Präfix für bereitgestellten Benutzer
Zeichenfolgenwert, von dem angenommen wird, dass es sich um das Präfix für Benutzernamen handelt, um Benutzer X vom Domänenserver Y oder Benutzer X vom Domänenserver Z zu unterscheiden.
Dadurch wissen die konfigurierten Active Directory-Verzeichnisdienste explizit, ob der zu validierende Benutzer Ziel für die Verwaltung ist. Wenn ein Wert konfiguriert wurde, versucht der Active Directory-Verzeichnisdienst nicht, den Benutzer zu validieren oder bereitzustellen. Stattdessen protokolliert er Sicherheitsmeldungen und gibt den Benutzeranmeldeversuch an den nächsten ThingWorx Verzeichnisdienst in der Kette weiter.
* 
Es wird empfohlen, ein Domänenpräfix zu verwenden, wenn derselbe Benutzer auf verschiedenen Domänenservern und in ihren Domänen vorhanden ist. Dies minimiert nicht deterministisches Verhalten, das aufgrund der "Water Flow Down"-Funktionalität bei fehlgeschlagener Benutzervalidierung auftreten könnte.
userDefaultDomainPrefix
Leere Zeichenfolge oder beliebige Zeichenfolge, die gültige Entitätsnamenzeichen enthält
Wenn es mehr als einen konfigurierten Domänenserver gibt, sollte diese Konfiguration verwendet werden. Beispielsweise kann NA oder EUR als Domänenpräfix verwendet werden.
* 
Diese Einstellung kann bei aktivierter dynamischer Benutzeranmeldung zu unerwarteten Ergebnissen führen, da das Standard-Domänen-Präfix des bereitgestellten Benutzers aus dem Benutzernamen entfernt wird, der zum Zeitpunkt der Benutzerauthentifizierung eingegeben wurde, bevor eine Bindung mit Active Directory versucht wird. Beispiel: Wenn "Standard-Domänen-Präfix für bereitgestellten Benutzer" auf "mydomain\" festgelegt ist und ein Benutzer während der Authentifizierung bei ThingWorx "mydomain\username" eingibt, wird nur "username" zur Authentifizierung an Active Directory gesendet. Diese Authentifizierung kann für diesen Benutzer selbst dann fehlschlagen, wenn "mydomain\username" der "domain\samAccountName" des Benutzers in Active Directory ist.
* 
Wenn derselbe Benutzername in mehreren Active Directory-Domänen vorhanden ist, schlägt die Authentifizierung fehl, wenn der Benutzer, der sich anmeldet, nicht der tatsächliche Benutzer in Active Directory ist. Dies basiert auf der Abfragereihenfolge.
Standardbeschreibung für bereitgestellten Benutzer
Beschreibungszeichenfolgenwert, der als Beschreibung für alle bereitgestellten Benutzer festgelegt wird. Dies ist eine hilfreiche Einstellung, die das Hinzufügen von Kontextinformationen zu einem Benutzer ermöglicht, wie "automatisch bereitgestellt von Domänenserver Y".
userDefaultDescription
Leere Zeichenfolge oder beliebige Beschreibungszeichenfolge
Diese Option sollte verwendet werden, wenn eine Standardbeschreibung für alle bereitgestellten Benutzer (automatisch erstellte/aktualisierte Benutzer) bevorzugt wird.
Standard-Start-Mashup für bereitgestellten Benutzer
Start-Mashup-Namenswert, der als Standard-Mashup für alle bereitgestellten Benutzer festgelegt wird. Diese Einstellung ermöglicht es allen bereitgestellten Benutzern, bei der ThingWorx Anmeldung ein gemeinsames Start-Mashup zu verwenden. Einige Beispiele dieser Mashups sind: Guest Home Mashup, Self Service Home Mashup oder Operators Home Mashup.
userDefaultHomeMashupName
Leere Zeichenfolge (kein Wert) oder gültiger vorhandener Mashup-Name
Diese Option sollte verwendet werden, wenn ein Standard-Start-Mashup für alle bereitgestellten Benutzer (automatisch erstellte/aktualisierte Benutzer) bevorzugt wird.
Dies wäre beispielsweise hilfreich, wenn dasselbe GuestMashup, SelfServiceMashup oder LandingPageMashup für alle Benutzer bevorzugt wird, wenn sie die ThingWorx Anwendung starten.
Mobiles Standard-Mashup für bereitgestellten Benutzer
Namenswert für mobiles Mashup, der für alle bereitgestellten Benutzer für die Verwendung auf Mobilgeräten festgelegt wird. Diese Einstellung ermöglicht es allen bereitgestellten Benutzern, bei der ThingWorx Anmeldung ein gemeinsames mobiles Mashup zu verwenden. Einige Beispiele dieser Mashups sind: Guest Mobile Mashup, Self Service Mobile Mashup oder Operators Mobile Mashup.
userDefaultMobileMashupName
Leere Zeichenfolge (kein Wert) oder gültiger vorhandener Mashup-Name
Verwenden Sie diese Option, wenn ein mobiles Standard-Mashup für alle bereitgestellten Benutzer (automatisch erstellte/aktualisierte Benutzer) bevorzugt wird.
Dies wäre beispielsweise hilfreich, wenn dasselbe GuestMashup, SelfServiceMashup oder LandingPageMashup für alle Benutzer bevorzugt wird, wenn sie die ThingWorx Anwendung starten.
Standard-Tags für bereitgestellten Benutzer
Satz an Modell-Tags, die für alle bereitgestellten Benutzer festgelegt sind. Diese Einstellung ermöglicht es allen bereitgestellten Benutzern, allgemeine Tags zu verwenden, die zum Suchen oder Identifizieren von Kontext verwendet werden können. Einige Beispiele dieser Tags sind: Operator, ProvisionedByDomainServerY, ProvisionedByDomainServerZ.
userDefaultTags
Leere Zeichenfolge zum Widerrufen des aktuellen Werts, oder gültige vorhandene Tag-Namen
Diese Option sollte verwendet werden, wenn ein Standardsatz an Modell-Tags für alle bereitgestellten Benutzer (automatisch erstellte/aktualisierte Benutzer) bevorzugt wird.
Zurück nach oben
Ausschlussliste für Benutzerbereitstellung
Dies ist eine Konfigurationstabelle, die es dem Administrator des Active Directory-Verzeichnisdiensts ermöglicht, bestimmte ThingWorx Benutzer von den Benutzerbereitstellungsfunktionen des Active Directory-Verzeichnisdiensts auszuschließen.
Die Benutzerbereitstellungsfunktionen umfassen das Erstellen, Ändern und Löschen von Benutzern. Wenn Sie ThingWorx mit einem Active Directory-Verzeichnisdienst konfigurieren, möchten vorhandene Benutzer evtl. nicht, dass ihre Konfiguration und sie selbst durch Active Directory verwaltet werden. Verwenden Sie es nur für eine Validierung der Anmeldeinformationen. Diese Benutzertypen sollten zur Konfiguration "Ausschlussliste für Benutzerbereitstellung" hinzugefügt werden.
* 
Der Administrator wird automatisch dieser Liste hinzugefügt und sollte nicht entfernt werden.
Der Administrator ist ein ThingWorx Standardbenutzer, der nicht erstellt oder gelöscht werden kann. Der Administrator sollte nicht automatisch geändert werden. Dies könnte zu unerwünschten Konfigurationsänderungen bei der Anmeldung führen.
Zurück nach oben
Szenarios der Benutzeranmeldung
Die folgende Tabelle enthält die Pre- und Post-Benutzerstatus während Anmeldeversuchen bei ThingWorx gemäß den Konfigurationsoptionen im Active Directory-Verzeichnisdienst in ThingWorx.
* 
Die Szenarien unten ändern nicht Benutzerstatus/Konfiguration auf dem Active Directory-Server.
Die fett formatierten Elemente sind der Hauptfaktor in Bezug auf den Post-Status des Benutzers in ThingWorx.
Benutzerstatus auf AD-Server
Pre-Status des Benutzers in ThingWorx
Konfigurationsoption(en)
Post-Status des Benutzers in ThingWorx
Nicht vorhanden
Nicht vorhanden
Beliebige Konfiguration
Nicht vorhanden
Kann nicht für Anmeldung verwendet werden
Nicht vorhanden
Ist vorhanden (manuell erstellt von ThingWorx Administrator)
Passwort wurde festgelegt/ist in Thingworx gespeichert
Erstellung der Benutzerbereitstellung aktiviert
Änderung der Benutzerbereitstellung aktiviert
Löschung der Benutzerbereitstellung aktiviert
In Ausschlussliste für Benutzerbereitstellung aufgelistet
Ist vorhanden
Wird nicht geändert oder gelöscht
Kann für Anmeldung verwendet werden
Nicht vorhanden
Ist vorhanden (manuell erstellt von ThingWorx Administrator)
Passwort wurde nicht festgelegt oder ist nicht in ThingWorx gespeichert
Erstellung der Benutzerbereitstellung aktiviert
Änderung der Benutzerbereitstellung aktiviert
Löschung der Benutzerbereitstellung aktiviert
In Ausschlussliste für Benutzerbereitstellung aufgelistet
Ist vorhanden
Wird nicht geändert oder gelöscht
Kann nicht für Anmeldung verwendet werden
Nicht vorhanden
Ist vorhanden (manuell erstellt von ThingWorx Administrator)
Erstellung der Benutzerbereitstellung aktiviert
Änderung der Benutzerbereitstellung aktiviert
Löschung der Benutzerbereitstellung aktiviert
Nicht in Ausschlussliste für Benutzerbereitstellung aufgelistet
Nicht vorhanden
Kann nicht für Anmeldung verwendet werden
Nicht vorhanden
Ist vorhanden (manuell erstellt von ThingWorx Administrator)
Erstellung der Benutzerbereitstellung aktiviert
Änderung der Benutzerbereitstellung aktiviert
Löschung der Benutzerbereitstellung deaktiviert
Nicht in Ausschlussliste für Benutzerbereitstellung aufgelistet
Nicht vorhanden
Kann nicht für Anmeldung verwendet werden
Ist vorhanden
Nicht vorhanden
Erstellung der Benutzerbereitstellung aktiviert
Änderung der Benutzerbereitstellung aktiviert
Löschung der Benutzerbereitstellung aktiviert
In Ausschlussliste für Benutzerbereitstellung aufgelistet
Nicht vorhanden
Kann nicht für Anmeldung verwendet werden
Ist vorhanden
Deaktiviert
Nicht vorhanden
Erstellung der Benutzerbereitstellung aktiviert
Änderung der Benutzerbereitstellung aktiviert
Löschung der Benutzerbereitstellung aktiviert
Nicht in Ausschlussliste für Benutzerbereitstellung aufgelistet
Nicht vorhanden
Kann nicht für Anmeldung verwendet werden
Ist vorhanden
Gesperrt
Nicht vorhanden
Erstellung der Benutzerbereitstellung aktiviert
Änderung der Benutzerbereitstellung aktiviert
Löschung der Benutzerbereitstellung aktiviert
Nicht in Ausschlussliste für Benutzerbereitstellung aufgelistet
Nicht vorhanden
Kann nicht für Anmeldung verwendet werden
Ist vorhanden
Nicht vorhanden
Erstellung der Benutzerbereitstellung deaktiviert
Änderung der Benutzerbereitstellung aktiviert
Löschung der Benutzerbereitstellung aktiviert
Nicht in Ausschlussliste für Benutzerbereitstellung aufgelistet
Nicht vorhanden
Kann nicht für Anmeldung verwendet werden
Ist vorhanden
Nicht vorhanden
Erstellung der Benutzerbereitstellung aktiviert
Änderung der Benutzerbereitstellung aktiviert
Löschung der Benutzerbereitstellung aktiviert
Nicht in Ausschlussliste für Benutzerbereitstellung aufgelistet
Ist vorhanden (erstellt)
Hinzugefügt als Mitglied zu zugeordneten Gruppen
Standardbenutzereinstellungen hinzugefügt
Kann für Anmeldung verwendet werden
Ist vorhanden
Ist vorhanden
Erstellung der Benutzerbereitstellung aktiviert
Änderung der Benutzerbereitstellung aktiviert
Löschung der Benutzerbereitstellung aktiviert
Nicht in Ausschlussliste für Benutzerbereitstellung aufgelistet
Benutzerstandardeinstellungen konfiguriert
Benutzer wird geändert
Hinzugefügt/entfernt als Mitglied zu zugeordneten Gruppen
Standardbenutzereinstellungen hinzugefügt
Kann für Anmeldung verwendet werden
Ist vorhanden
Ist vorhanden
Erstellung der Benutzerbereitstellung aktiviert
Änderung der Benutzerbereitstellung aktiviert
Löschung der Benutzerbereitstellung aktiviert
In Ausschlussliste für Benutzerbereitstellung aufgelistet
Benutzerstandardeinstellungen konfiguriert
Benutzer wird nicht geändert
Kann für Anmeldung verwendet werden
Ist vorhanden
Gesperrt
Ist vorhanden
Beliebige Konfiguration
Benutzer ist gesperrt
Kann nicht für Anmeldung verwendet werden
Ist vorhanden
Deaktiviert
Ist vorhanden
Beliebige Konfiguration
Benutzer ist deaktiviert
Kann nicht für Anmeldung verwendet werden
Zurück nach oben
Szenarios für Benutzersperren
Einstellungen für die Kontosperrung werden in ThingWorx im Untersystem für Benutzerverwaltung konfiguriert.
Der Lockout Manager wird als System (ThingWorx oder Active Directory) definiert, das die Sperre basierend auf der Sperrauswertung bestimmt.
Der Schlüssel für die Tabelle unten ist:
ThingWorx Konfiguration der Sperrversuche: TLA
Active Directory-Konfiguration der Sperrversuche: ADL
Sperrenauswertung
Lockout Manager
Max. Versuche in Lockout Manager – Konfigurationsbeispiel
Aktion
Ergebnis
TLA > ADL
ADL
2 Versuche
ThingWorx findet einen Benutzer, der in Active Directory gesperrt ist
ThingWorx Benutzer wird sofort gesperrt
TLA > ADL
ADL
2 Versuche
Benutzer meldet sich zweimal falsch an
ThingWorx Benutzer wird nach zwei Versuchen gesperrt
TLA = ADL
* 
Die empfohlene Sperrkonfiguration ist eine Übereinstimmung zwischen ThingWorx und Active Directory.
ADL
2 Versuche
Benutzer meldet sich zweimal falsch an
ThingWorx Benutzer wird nach zwei Versuchen gesperrt
TLA < ADL
ADL
2 Versuche
Benutzer meldet sich zweimal falsch an
ThingWorx Benutzer wird nach zwei Versuchen gesperrt
Zurück nach oben
Benutzer in Active Directory verwalten
Active Directory-Gruppen und dynamische Benutzeranmeldung
Änderungen an Active Directory
Active Directory-Benutzerattribute der ThingWorx Eigenschaft "UserExtension" zuordnen
Benutzer und Gruppen zuordnen, die in mehreren Domänen vorhanden sind
Problembehandlung bei Active Directory
War dies hilfreich?