Active Directory 그룹 및 동적 사용자 로그인
이 항목에서는 ThingWorx Platform과 함께 Active Directory를 사용하는 다음 기능에 대해 설명합니다.
• 그룹 매핑
• 스키마 매핑
동적 사용자 로그인
 |
동적 사용자 로그인이 활성화될 때 사용자는 동일한 사용자 이름을 사용하여 ThingWorx Platform에 인증하는 것이 좋습니다. 그렇지 않으면 ThingWorx Platform의 현재 제한으로 인해 동일한 사용자에 대해 여러 ThingWorx Platform 계정이 작성됩니다. 예를 들어, 사용자가 자신의 displayName인 testuser를 사용하여 로그인한다고 가정합니다. 그러면 ThingWorx Platform에서 이름이 testuser인 사용자 계정이 작성됩니다. 그러나 동일한 사용자가 자신의 UPN(Universal Principal Name)(이 예에서는 testuser@domain.com임)을 사용하여 로그인하면 플랫폼에서 사용자 testuser@domain.com도 작성됩니다.
|
동적 사용자 로그인이 활성화된 경우 관리 주체 이름 및 관리 주체 암호에 대한 연결 설정이 무시됩니다. ThingWorx Platform 디렉터리에 로그인 중인 사용자는 사용자 이름 및 암호를 사용하여 Active Directory에 인증됩니다. Active Directory에서 현재 지원되는 인증 방법은 displayName, UPN 및 domain\samAccountName을 사용하는 것입니다.
동적 사용자 로그인이 비활성화된 경우 사용자 로그인에 대한 워크플로는 ThingWorx Platform 8.3.0부터 8.3.4까지 동일한 상태를 유지합니다.
동적 사용자 로그인에 대한 문제를 해결하려면 문제 해결: Active Directory 도메인 접두사 및 동적 사용자 로그인 항목을 참조하십시오.
그룹 매핑
사용자 및 그룹에 대한 ThingWorx 표시 유형, 권한 및 조직 규칙을 파악하여 매핑을 의도한 대로 구성해야 합니다. 권한을 올바르게 지정하지 않으면 사용자가 액세스할 수 없어야 하는 콘텐츠에 액세스할 수 있습니다.
그룹 매핑이 필요하지는 않지만 그룹 매핑이 없으면 사용자가 프로비져닝되거나 업데이트되는 경우 권한이 제한(사용자가 보유한 기본 권한만 가능함)될 수 있습니다.
그룹 매핑 구성은 Active Directory 디렉터리 서비스에 대한 구성 페이지 아래쪽 중간에 위치합니다. 그룹 매핑을 설정하려면 다음을 수행하십시오.
1. ThingWorx Composer에서 Composer의 Active Directory 디렉터리 서비스로 이동합니다( > > ).
2. 구성 페이지를 열고 그룹 매핑 섹션으로 스크롤한 다음 추가를 클릭합니다(다음 그림 참조).
3. ThingWorx 그룹에 매핑할 Active Directory 그룹의 이름을 그룹 매핑 창의 Active Directory 그룹 이름 필드에 입력합니다.
4. ThingWorx 그룹 이름 필드에서 + 기호를 클릭하여 아래에 표시된 ThingWorx 그룹의 드롭다운 목록을 표시합니다. 특정 엔티티 등으로 필터링할 수 있는 고급 검색이 제공됩니다. 이 드롭다운 목록은 ThingWorx의 v.8.3.5부터 사용할 수 있습니다.
 | 동적 사용자 로그인이 비활성화되면 다음 GroupMappings 양식이 표시됩니다.  |
5. 다음 버전의 GroupMappings 양식에서는 동적 그룹 로그인이 활성화되면 "자격 증명이 필요합니다" 메시지가 표시됩니다. Active Directory 그룹 이름을 입력하려면 녹색 잠금 아이콘을 클릭합니다.
6. 자격 증명 제공 대화 상자가 나타나면 AdministrativePrincipalName 및 AdministrativePassword를 클릭하고 설정을 클릭합니다.
다음 표에서는 그룹 매핑의 설정에 대해 설명합니다.
이름 | 설명 | 유효한 값 |
|---|---|---|
Active Directory 그룹 이름 | 실행 시간에 권한/승인 확인을 위해 ThingWorx 그룹으로 연관/매핑되는 Active Directory 그룹의 이름입니다. | 구성된 도메인 아래의 Active Directory에 있는 groupObjectClass 객체에 해당하는 그룹 이름을 포함하는 비어 있지 않은 문자열, 공백 없는 문자열입니다. |
ThingWorx 그룹 이름 | 실행 시간에 사용되는 ThingWorx 권한/승인 구성을 포함하는 ThingWorx 그룹의 이름입니다. Active Directory에서 프로비젼된 사용자가 이 ThingWorx 그룹에 추가됩니다. 이는 이 ThingWorx 그룹으로 매핑되는 사용자가 속한 Active Directory 그룹을 기반으로 합니다. | ThingWorx의 그룹 엔티티에 해당하는 그룹 이름을 포함하는 비어 있지 않은 문자열, 공백 없는 문자열입니다. |
동적 사용자 로그인을 사용하는 그룹 매핑
v.8.3.5에 동적 사용자 로그인이 추가되어 GetDomainGroups 및 IsValidGroup 서비스에서는 동적 사용자 로그인 기능이 활성화될 때의 UI와 같이 Active Directory 관리 사용자 자격 증명을 전달할 수 있는 인수를 사용합니다. 동적 사용자 로그인이 비활성화(기본값)되면 IsValidGroup 및 GetDomainGroups 서비스에 대한 관리 사용자 자격 증명은 선택 사항입니다. TestConnection 서비스는 모든 필수 자격 증명으로 작동합니다. 매개 변수가 비어 있으면 언제든지 서비스에서 관리자 자격 증명을 사용합니다.
그룹 매핑에 대한 그룹 유효성 검사
v.8.3.5부터 ThingWorx Composer는 그룹 매핑 페이지에 Active Directory 그룹의 이름을 입력할 수 있는 텍스트 상자를 제공합니다. 드롭다운 목록에서 Active Directory 그룹을 선택하는 옵션도 여전히 제공됩니다. 텍스트 상자에는 그룹을 이름별 또는 전체 고유 이름별로 입력할 수 있습니다. 예를 들어, 이름 TestGroup은 단순 이름이며, CN=TestGroup, CN=Users, DC=domain, DC=com은 전체 고유 이름입니다.
Active Directory에서 올바른 그룹의 이름을 검색할 수 있도록 IsValidGroup 서비스도 v.8.3.5부터 제공됩니다. 이 서비스는 찾을 그룹의 이름을 지정하는 단일 STRING 매개 변수인 groupName을 사용합니다. 서비스는 그룹이 Active Directory에 존재하는지를 나타내는 BOOLEAN 결과를 반환합니다.
| | 와일드카드 문자("*")는 groupName에 대한 입력의 일부로 허용되지 않습니다. |
중첩된 그룹 멤버 자격
v.8.3.5부터 매핑된 상위 그룹에 사용자 추가 구성 옵션은 Active Directory 구성의 스키마 매핑 섹션에서 제공됩니다. 이 BOOLEAN 설정은 중첩된 그룹 멤버 자격을 활성화하거나 비활성화합니다.
중첩된 그룹 멤버 자격이 활성화된 경우 다음이 발생합니다.
• 사용자가 속한 그룹과 이러한 그룹이 속한 그룹 모두를 중첩 깊이에 상관없이 검색하는 확장 가능 일치 규칙을 사용하여 Active Directory를 질의합니다.
• 이러한 그룹을 그룹 매핑 테이블과 비교하여 결과 ThingWorx 사용자를 사용자 그룹에 지정합니다.
• 이 옵션은 Active Directory에 대한 로드를 증가시키고 결과 집합 수가 많아질 수 있으므로 성능에 영향을 줄 수 있습니다.
중첩된 그룹 멤버 자격이 비활성화된 경우 워크플로는 ThingWorx Platform v.8.3.0부터 8.3.4까지 동일한 상태를 유지합니다.
스키마 매핑
인증 및 그룹 검색/매핑이 작동하려면 이 섹션에 있는 "사용자 ID 속성 이름, 그룹 객체 클래스 이름, 그룹 멤버 자격 속성 이름, 그룹 속성 이름, 사용자 플래그 속성 이름, 사용자 제어 속성의 비활성 비트, 사용자 제어 속성의 잠금 비트" 필드가 필요합니다.
이름 | 설명 | XML 속성 이름 | 기본값 | 값의 예 | ||
|---|---|---|---|---|---|---|
사용자 ID 속성 이름 | ThingWorx에 로그인할 때 지정된 사용자 이름과 일치시키는 데 사용되는 사용자 이름 값을 포함하는 속성의 이름입니다. | attributeUserIdName | cn | cn, userPrincipalName | ||
사용자 기반 고유 이름 | 사용자 자격 증명 유효성 검사 중 사용된 최상위 수준 디렉터리의 고유 이름입니다. | userBaseDN | ou=people | DC=test, DC=acme, DC=com | ||
그룹 객체 클래스 이름 | 객체가 그룹임을 나타내는 objectClass 속성의 값입니다. 그룹 객체는 그룹 매핑 구성 테이블의 Active Directory/ThingWorx 그룹 매핑에 대해 질의되고 표시됩니다. | groupObjectClass | group | group | ||
도메인 그룹을 필터링하는 그룹 LDAP 필터 | 도메인 그룹을 대량으로 필터링할 수 있습니다.
| groupLdapFilter | 해당 없음 | (cn=a_testgroup111*)(cn=b_testgroup222*) | ||
그룹 멤버 자격 속성 이름 | 사용자 또는 그룹이 다른 그룹의 "멤버"임을 나타내는 속성의 이름입니다. Active Directory의 사용자 내 각 memberOf 엔트리에서 해당 사용자는 memberOf 엔트리에 명명된 Active Directory 그룹으로 매핑되는 ThingWorx 그룹에 멤버로 추가됩니다. | memberOfAttribute | memberOf | memberOf | ||
그룹 속성 이름 | 특히, 그룹 매핑 구성 테이블 선택에서 ThingWorx UI의 그룹 표시 이름을 읽어들이는 데 사용해야 하는 속성의 이름입니다.
| groupAttribute | cn | cn | ||
사용자 플래그 속성 이름 | 자세한 내용은 https://msdn.microsoft.com/en-us/library/cc223145.aspx를 참조하십시오. | userControlAttribute | userAccountControl | userAccountControl | ||
사용자 제어 속성의 비활성 비트 | 지정된 사용자 플래그 속성 이름 내에 있는 비활성 비트 플래그의 정수 값/소수 값(예: 기본값 userControlAttribute)입니다. 자세한 내용은 https://msdn.microsoft.com/en-us/library/cc223145.aspx를 참조하십시오. | userDisableBit | 2 | 2 | ||
사용자 제어 속성의 잠금 비트 | 지정된 사용자 플래그 속성 이름 내에 있는 잠금 비트 플래그의 정수 값/소수 값(예: 기본값 userControlAttribute)입니다. 자세한 내용은 https://msdn.microsoft.com/en-us/library/cc223145.aspx를 참조하십시오. | userLockoutBit | 16 | 16 | ||
포리스트 이름 식별자 | 도메인 컨트롤러의 컬렉션/포리스트를 식별합니다. 동일한 문자열로 구성된 각 디렉터리 서비스 객체는 해당 그룹 매핑 구성 내 서로의 도메인에서 그룹을 매핑할 수 있습니다. 이 옵션 사용에 대한 예는 다음 단원을 참조하십시오. | forestNameIdentifier | 해당 없음 |