Active Directory에서 사용자 관리
사용자가 Microsoft AD(Active Directory) 디렉터리 서비스에 이미 있는 경우 ThingWorx에서 사용자 및 사용자 그룹을 관리할 수 있습니다. ThingWorx를 통해 Active Directory 사용자 그룹을 ThingWorx 사용자 그룹으로 매핑할 수 있습니다. 사용자 프로비져닝 옵션을 통해 사용자를 생성, 수정 또는 삭제할 수 있습니다. 각 사용자 그룹에 대한 권한은 ThingWorx에서 관리됩니다.
 |
Active Directory 기능은 ThingWorx에서 기본적으로 활성화되어 있지 않습니다. ThingWorx에서 인증을 받는 데 Active Directory를 사용하려면 먼저 ThingWorx 관리자 사용자가 Active Directory를 활성화해야 합니다.
|
시작하고, ThingWorx에서 Active Directory를 사용하도록 구성하고, 연결을 설정하고, 연결을 테스트하는 방법에 대한 자세한 내용은 이 항목의 다음 단원을 참조하십시오.
1. 시작하기
2. 디렉터리 서비스의 구성
3. 연결 설정
시작하기
시작하려면 XML 파일을 엔티티와 함께 ThingWorx로 가져와 ThingWorx에서 디렉터리 서비스를 만듭니다. 파일을 가져온 후 ThingWorx에서 디렉터리 서비스를 구성할 수 있습니다. XML 파일로 작업할 때 다음 규칙을 따릅니다.
• XML 파일은 com.thingworx.security.directoryservices.ActiveDirectoryDirectoryService Java 클래스를 DirectoryService 요소의 className 속성으로 사용하는 디렉터리 서비스를 하나 이상 포함해야 합니다.
• 각 DirectoryService 요소에 대해 name의 고유한 값을 제공해야 합니다.
• name 값도 ThingWorx Runtime 내 존재하는 모든 디렉터리 서비스 간에 고유해야 합니다.
• priority 속성에는 인증을 위한 고유한 우선 순위 번호가 있어야 합니다. 또한 파일 및 ThingWorx Runtime에서 각 디렉터리 서비스에 고유한 우선 순위를 추가해야 합니다. 이 우선 순위는 ThingWorx가 자격 증명의 유효성을 검사할 때 디렉터리 서비스를 조회하는 순서에 해당합니다.
|
|
디렉터리 서비스는 인증 시 연결된 우선 순위대로 작동합니다. 우선 순위 설정이 가장 낮은 디렉터리 서비스(1)가 사용자 인증의 유효성 검사를 실패하면 체인에서는 다음으로 우선 순위가 높은 체인의 디렉터리 서비스에 대해 사용자의 유효성 검사를 시도합니다.
|
이러한 규칙을 사용하려면 다음 예를 참조하십시오.
준비가 완료되면 Active Directory 서버에 대한 XML 파일을 ThingWorx로 가져옵니다. 가져오기와 관련된 문제는 다음 문제 해결 단원 중 하나를 참조하십시오.
• 가져오기 검증이 실패했지만 가져오기에 성공한 경우 누락된 필수 필드 또는 잘못된 구성으로 인해 가져오기 유효성 검사가 실패했지만 해당 엔티티를 가져오고 비활성화한 경우
디렉터리 서비스의 구성
Active Directory 디렉터리 서비스에 대한 XML 파일을 가져온 후 해당 파일을 구성해야 합니다. ThingWorx Composer의 구성 페이지에 액세스하려면 다음을 수행합니다.
1. 찾아보기 탐색 패널에서 보안을 확장하고 디렉터리 서비스를 선택합니다.
2. 디렉터리 서비스 페이지에서 Active Directory 디렉터리 서비스의 이름을 클릭합니다. 디렉터리 서비스에 대한 일반 정보 페이지가 나타납니다.
3. 활성화됨 확인란을 선택하여 이 디렉터리 서비스를 활성화하고 저장을 클릭합니다.
4. 구성을 선택하여 구성 페이지를 표시합니다. 디렉터리 서비스를 구성할 준비가 완료되었습니다.
 |
이 단원 및 다음 단원에서 설명하는 구성 옵션은 디렉터리 서비스 엔티티에 대한 구성 페이지에 모두 표시됩니다. 구성 오류 메시지에 대한 자세한 내용은 구성 오류 메시지를 참조하십시오.
|
ThingWorx에 로그인하는 동안 사용자 입력에 대한 자격 증명 유효성 검사는 User Base Distinguished Name 구성 테이블 설정에서 사용자 객체와 해당 객체에 대한 암호를 조회하여 수행됩니다. Active Directory 엔티티에 도메인을 지정하기 위한 두 개의 위치가 있으며 이러한 위치는 서로 완전히 독립적일 수 있습니다. Domain Distinguished Name 은 그룹 조회 중에 사용되므로 그룹 매핑 기능을 사용하려면 사용자가 있는 모든 그룹이 지정된 Domain Distinguished Name 값 아래에 속해 있는지 확인하십시오. User Base Distinguished Name은 ThingWorx에 로그인 중 제공된 사용자 이름과 암호를 사용하여 Active Directory에서 사용자 객체를 조회하는 동안 사용되는 위치입니다.
|
|
여러 디렉터리 서비스 객체를 구성할 때 Active Directory 구조 내에서 사용자 검색 기준을 중첩하지 마십시오.
|
연결 설정
Active Directory 구성의 연결 설정에는 동적 사용자 로그인 옵션이 포함되어 있습니다. 페이지는 다음과 같습니다.
다음 표에서는 디렉터리 서비스에 대한 연결 설정에 대해 설명합니다. 모든 연결 설정 필드는 필수 사항입니다.
이름 | 설명 | XML 속성 이름 | 기본값 | 값의 예 |
|---|---|---|---|---|
URI 스키마 | Active Directory 서버와의 통신에 사용되는 연관된 프로토콜을 지정하는 문자열입니다. | protocol | LDAP | LDAP |
서버 FQDN 또는 IP 주소 | 디렉터리 질의 대상으로 지정되는 서버 이름/주소입니다. | server | localhost | localhost, domainserver.acme.com, 127.0.0.1 |
서버 네트워크 포트 | 디렉터리 질의 대상으로 지정되는 서버의 포트입니다. | port | 389 | 389, 369, 10389 |
도메인 고유 이름 | 사용자 그룹 조회 중에 사용된 최상위 수준 디렉터리의 고유 이름입니다. | domain | 해당 없음 | DC=test, DC=acme, DC=com |
동적 사용자 로그인 | 동적 사용자 로그인이 활성화되어 있는지 여부를 결정합니다. 자세한 내용은 다음 단원을 참조하십시오. | dynamicUserLogin | 확인란이 비어 있음(비활성화됨) | 확인란이 선택됨 |
관리 주체 이름 | 지정된 도메인 객체에 대한 관리자 읽기 권한을 가진 사용자의 이름입니다. 이 이름의 값은 스키마 매핑 구성 테이블에 지정된 User Id Attribute에 따라 달라집니다. | adminPrincipal | 해당 없음 | AcmeAdmin |
관리 암호 | 연결 설정 구성 테이블에 지정된 관리 주체 이름의 암호입니다. | adminPassword | 해당 없음 | AcmePassword |
Active Directory 연결 테스트
디렉터리 서비스 구성 페이지의 연결 설정 섹션에서 연결 테스트 아래의 확인 버튼을 통해 현재 구성을 기준으로 Active Directory 서버에 대한 연결을 테스트할 수 있습니다. 구성의 연결 설정 섹션에서 다음 필드는 Active Directory 연결을 테스트하는 데 사용됩니다.
• URI 스키마
• 서버 FQDN 또는 IP 주소
• 서버 네트워크 포트
• 관리 주체 이름
• 관리 암호
확인 버튼을 클릭하면 다음 매개 변수를 사용하는 TestConnection 서비스가 시작됩니다.
매개 변수 | 기본 유형 | 설명 |
|---|---|---|
userName | STRING | Active Directory의 사용자 이름입니다. |
password | STRING | Active Directory 사용자의 암호화된 암호입니다. |
protocol | STRING | 사용된 스키마(LDAP 또는 LDAPS)입니다. |
server | STRING | Active Directory 인스턴스의 호스트 또는 IP 주소입니다. |
port | INTEGER | Active Directory 인스턴스의 포트입니다. |
연결 테스트의 결과가 result에서 반환됩니다. 이는 다음 정보를 포함하는 INFOTABLE입니다.
• status: (부울) Active Directory에 성공적으로 연결했는지 여부를 나타냅니다.
• message: (문자열) 테스트가 실패한 원인과 같은 유용한 정보를 제공하는 메시지입니다.
| | 동적 사용자 로그인이 활성화되면 "관리 주체 이름" 및 "관리 암호"가 사용되지 않으며 확인 버튼이 숨겨집니다. |