Группы Active Directory и динамическое имя пользователя
В этом разделе объясняются следующие возможности использования Active Directory с ThingWorx Platform.
Динамическое имя пользователя
 |
Если Динамическое имя пользователя включено, рекомендуется выполнять аутентификацию пользователя с ThingWorx Platform, используя одно и то же имя пользователя. В противном случае из-за текущего ограничения ThingWorx Platform для одного и того же пользователя создаются несколько учетных записей ThingWorx Platform. Предположим, что пользователь входит в систему и использует displayName, testuser. В платформе создается учетная запись testuser. Однако если тот же пользователь входит в систему с помощью универсального имени пользователя (UPN), в этом примере - testuser@domain.com, то в платформе создается также и пользователь testuser@domain.com
|
Если включено Динамическое имя пользователя, то настройки соединения для опций "Имя административного пользователя" и "Пароль административного пользователя" игнорируются. Подлинность пользователя, выполнившего вход в каталог ThingWorx Platform, проверяется в Active Directory с использованием имени пользователя и пароля. Текущие поддерживаемые средства аутентификации в Active Directory используют отображаемое имя, имя участника-пользователя (UPN) и формат "домен\имя_управления_лицензиями".
Если Динамическое имя пользователя отключено, рабочий процесс для входа пользователя остается таким же, как в ThingWorx Platform версий с 8.3.0 по 8.3.4.
Чтобы устранить неполадки с динамическим именем пользователя, см. раздел Устранение неисправностей: префикс домена Active Directory и динамическое имя пользователя..
Сопоставления групп
Чтобы выполнять сопоставление надлежащим образом, убедитесь, что вы правильно понимаете правила видимости, разрешений и организации ThingWorx для пользователей и групп. Если разрешения не назначены должным образом, пользователи могут получить доступ к содержимому, к которому они не должны иметь доступ.
Хотя сопоставления групп не являются обязательными, отсутствие таких сопоставлений приведет к доступности только ограниченных разрешений (только предоставленных ему разрешений по умолчанию) для пользователя после подготовки или обновления.
Конфигурация Сопоставления групп находится примерно на половине пути вниз по странице конфигурации для службы каталогов Active Directory. Чтобы настроить сопоставления групп, выполните следующие действия.
1. В ThingWorx Composer перейдите к службе каталогов Active Directory в Composer ( > > ).
2. Откройте страницу конфигурации, выполните прокрутку вниз до раздела Сопоставления групп и щелкните Добавить, как показано на следующем рисунке:
3. В поле "Наименование группы Active Directory" в окне "Сопоставления групп" введите наименование группы Active Directory, которую требуется сопоставить с группой ThingWorx.
4. В поле "Наименование группы ThingWorx" щелкните знак плюса (+), чтобы открыть выпадающий список групп ThingWorx, показанный ниже. Отметим, что при этом предоставляется Расширенный поиск, в котором можно фильтровать по определенным сущностям и т. п. Этот выпадающий список доступен с версии ThingWorx 8.3.5.
 | Следующая форма GroupMappings отображается, когда динамическое имя пользователя отключено.  |
5. В следующей версии формы GroupMappings обратите внимание на то, что сообщение "Требуются учетные данные" отображается, когда включено динамическое имя группы. Чтобы ввести Наименование группы Active Directory, щелкните зеленый значок замка.
6. Когда откроется диалоговое окно Необходимо указать учетные данные, укажите AdministrativePrincipalName и AdministrativePassword и щелкните Задать.
В следующей таблице описаны настройки для сопоставления групп.
Наименование | Описание | Допустимые значения |
|---|---|---|
Наименование группы Active Directory | Наименование группы Active Directory, связанной/сопоставленной с группой ThingWorx для проверки разрешений/авторизации во время выполнения. | Не пустая, не заполненная пробелами строка, содержащая наименование группы, которое соответствует объекту groupObjectClass в Active Directory в сконфигурированном домене. |
Наименование группы ThingWorx | Наименование группы ThingWorx, которая будет содержать конфигурации разрешений/авторизации ThingWorx, используемые во время выполнения. В эту группу ThingWorx будут добавляться пользователи, подготовленные службой Active Directory. Это действие выполняется на основе группы Active Directory, которой принадлежит пользователь, сопоставляемой с данной группой ThingWorx. | Непустая, непробельная строка, содержащая наименование группы, которое соответствует сущности группы в ThingWorx. |
Сопоставление группы с динамическим именем пользователя
После добавления динамического имени пользователя в версии 8.3.5 сервисы GetDomainGroups и IsValidGroup принимают аргументы, которые позволяют передавать в них учетные данные административного пользователя Active Directory, например из интерфейса пользователя, когда активирована функция Динамическое имя пользователя. Когда динамическое имя пользователя отключено (по умолчанию), учетные данные административного пользователя для сервисов IsValidGroup и GetDomainGroups являются необязательными. Сервис TestConnection работает со всеми требуемыми учетными данными. Когда параметры пусты, сервисы используют учетные данные администратора.
Проверка группы для сопоставления групп
Начиная с версии 8.3.5, ThingWorx Composer предоставляет на странице Сопоставления групп текстовое поле, в которое можно ввести наименование группы Active Directory. Опция для выбора группы Active Directory из выпадающего списка по-прежнему остается доступной. Текстовое поле поддерживает вывод группы по имени или по полному различающемуся имени. Например, наименование TestGroup является простым именем, тогда как CN=TestGroup, CN=Users, DC=domain, DC=com представляет полное различающееся имя.
Сервис IsValidGroup также предоставлен с версии 8.3.5, чтобы позволить искать имя действительной группы в Active Directory. Этот сервис принимает единственный параметр типа STRING, groupName, определяющий наименование группы, которую требуется найти. Сервис возвращает результат типа BOOLEAN, который показывает, существует ли группа в Active Directory.
| | Использовать символ подстановки (*) во входных данных для groupName НЕ допускается. |
Членство во вложенной группе
Начиная с версии 8.3.5 опция конфигурации Добавить пользователей в сопоставленные родительские группы доступна в разделе "Сопоставления схем" конфигурации Active Directory. Эта настройка типа BOOLEAN включает или отключает участие во вложенных группах.
Если включено членство во вложенной группе, происходит следующее:
• Active Directory запрашивается с помощью правила расширенного соответствия, чтобы загрузить и группы, в которые входит пользователь, и группы, которым принадлежит данная группа для любой глубины вложенности.
• Эти группы сравниваются с таблицей Сопоставления групп, чтобы в результате назначить пользователя ThingWorx в группы пользователей.
• Эта опция может влиять на производительность, поскольку она увеличивает нагрузку на Active Directory и может приводить к большому набору результатов.
Если участие во вложенных группах отключено, то рабочий процесс остается таким же, как и в ThingWorx Platform версии от 8.3.0 до 8.3.4.
Сопоставления схем
Чтобы выполнять аутентификацию и загрузку/сопоставление групп, требуется задать следующие поля в этом разделе: "Наименование атрибута идентификатора пользователя", "Наименование класса объекта группы", "Наименование атрибута членства в группе", "Наименование атрибута группы", "Наименование атрибута флагов пользователя", "Бит отключения атрибута управления пользователями" и "Бит блокировки атрибута управления пользователями".
Наименование | Описание | Наименование XML-атрибута | Значение по умолчанию | Пример значения | ||
|---|---|---|---|---|---|---|
Наименование атрибута идентификатора пользователя | Наименование атрибута, содержащее значение имени пользователя, которое используется для сопоставления с указанным именем пользователя при регистрации в ThingWorx. | attributeUserIdName | cn | cn, userPrincipalName | ||
Различающееся имя базы пользователей | Различающееся имя папки верхнего уровня, используемое при проверке учетных данных пользователя. | userBaseDN | ou=people | DC = test, DC = acme, DC = com | ||
Наименование класса объекта группы | Значение атрибута objectClass, который обозначает, что объект является группой. Объекты групп запрашиваются и представляются для сопоставления групп Active Directory/ThingWorx в таблице конфигурации "Сопоставления групп". | groupObjectClass | group | group | ||
Фильтр LDAP группы для фильтрации групп доменов | Позволяет фильтровать многочисленные группы доменов.
| groupLdapFilter | Н/Д | (cn=a_testgroup111*)(cn=b_testgroup222*) | ||
Наименование атрибута членства в группе | Наименование атрибута, которое обозначает, что пользователь или группа является "Участником" другой группы. Для каждой записи memberOf, относящейся к пользователю в Active Directory, соответствующий пользователь добавляется как участник в группу ThingWorx, которая сопоставлена с группой Active Directory, обозначенной в записи memberOf. | memberOfAttribute | memberOf | memberOf | ||
Наименование атрибута группы | Наименование атрибута, который должен использоваться для загрузки отображаемого наименования группы в интерфейс пользователя ThingWorx, а именно для элементов, выбранных в таблице конфигурации Сопоставления групп.
| groupAttribute | cn | cn | ||
Наименование атрибута флагов пользователя | Дополнительные сведения см. в статье https://msdn.microsoft.com/en-us/library/cc223145.aspx | userControlAttribute | userAccountControl | userAccountControl | ||
Бит отключения атрибута управления пользователями | Целочисленное/десятичное значение флага бита отключения в указанном наименовании атрибута флагов пользователя (т. е. userControlAttribute по умолчанию). Дополнительные сведения см. в статье https://msdn.microsoft.com/en-us/library/cc223145.aspx | userDisableBit | 2 | 2 | ||
Бит блокировки атрибута управления пользователями | Целочисленное/десятичное значение флага бита блокировки в указанном наименовании атрибута флагов пользователя (т. е. userControlAttribute по умолчанию). Дополнительные сведения см. в статье https://msdn.microsoft.com/en-us/library/cc223145.aspx | userLockoutBit | 16 | 16 | ||
Идентификатор наименования леса | Определяет набор/лес контроллеров домена. Для каждого объекта службы каталогов, сконфигурированного с этой же строкой, возможно сопоставление групп из доменов друг друга внутри их конфигурации Сопоставления групп. Примеры использования этой опции см. в следующих разделах. | forestNameIdentifier | Н/Д |