在 Active Directory 中管理用户
如果用户已存在于 Microsoft Active Directory (AD) 目录服务中,则可在 ThingWorx 中管理用户和用户组。ThingWorx 允许将 Active Directory 用户组映射到 ThingWorx 用户组。用户设置选项允许创建、修改或删除用户。在 ThingWorx 中管理每个用户组的权限。
 |
ThingWorx 中默认不启用 Active Directory 功能。ThingWorx 管理员用户必须启用 Active Directory,才可以使用它在 ThingWorx 中进行身份验证。
|
为帮助您入门、将 ThingWorx 配置为使用 Active Directory、设置连接并测试连通性,请参阅本主题中的以下部分:
1. 快速上手
2. 目录服务配置
3. 连接设置
快速上手
开始使用前,请在 ThingWorx 中创建目录服务,方法是将包含实体的 XML 文件导入 ThingWorx。导入文件后,您可以在 ThingWorx 中配置目录服务。在使用 XML 文件时,请遵循以下规则:
• 该 XML 文件必须包含一个或多个使用 com.thingworx.security.directoryservices.ActiveDirectoryDirectoryService Java 类作为 DirectoryService 元素的 className 属性的目录服务。
• 对于每个 DirectoryService 元素,必须提供 name 的唯一值。
• ThingWorx 运行时中存在的所有目录服务中的 name 值也必须具有唯一性。
• priority 属性应具有唯一的优先级顺序编号才能进行身份验证。此外,应将唯一的优先级顺序添加到文件中以及 ThingWorx 运行时中的每个目录服务。此优先级顺序对应于验证凭据期间 ThingWorx 参考目录服务时应遵循的顺序。
|
|
目录服务以链接的优先级顺序进行身份验证。如果具有最低优先级设置 1 的目录服务无法验证用户身份验证,则链将尝试针对具有下一个最高优先级的链中的目录服务来验证用户。
|
有关这些规则的使用方法,请参阅以下示例:
准备就绪后,将 Active Directory 服务器的 XML 文件导入 ThingWorx。有关导入问题的信息,请参阅以下故障排除部分之一:
• 导入验证失败,但导入成功 如果导入验证因缺少必填字段或配置无效而失败,但实体已导入且禁用
目录服务配置
导入 Active Directory 目录服务的 XML 文件后,您必须对其进行配置。要访问 ThingWorx Composer 的配置页面:
1. 在“浏览”导航面板中,展开“安全”,然后选择“目录服务”。
2. 在“目录服务”页面上,单击 Active Directory 目录服务的名称。目录服务的“常规信息”页面随即出现。
3. 选中“已启用”复选框以启用此目录服务,然后单击“保存”。
4. 选择“配置”以显示“配置”页面。您已准备好配置目录服务。
 |
本部分及随后几部分中所述的配置选项均会显示在“目录服务”实体的“配置”页面上。有关配置错误消息的帮助,请参阅配置错误消息。
|
通过在 User Base Distinguished Name 配置表设置中查找用户对象和该对象的密码,对用户登录 ThingWorx 时输入的凭据进行验证。在 Active Directory 实体上有两个位置可以指定域,这两个位置可以完全相互独立。在组查找过程中会使用 Domain Distinguished Name ,因此,如果您要使用组映射功能,请验证用户所在的所有组是否均属于指定的 Domain Distinguished Name 值。User Base Distinguished Name 是使用 ThingWorx 登录期间给出的用户名和密码在 Active Directory 中查找用户对象时使用的位置。
|
|
配置多个目录服务对象时,请勿在 Active Directory 结构中重叠用户搜索库。
|
连接设置
Active Directory 配置的连接设置包括选项“动态用户登录”。以下为其页面:
下表介绍了目录服务的“连接设置”。所有连接设置字段均为必填字段。
名称 | 说明 | XML 属性名称 | 默认值 | 值示例 |
|---|---|---|---|---|
URI 模式 | 一个字符串,用于指定与 Active Directory 服务器进行通信时使用的关联协议。 | protocol | LDAP | LDAP |
服务器 FQDN 或 IP 地址 | 用于目录查询的服务器名称/地址。 | server | localhost | localhost, domainserver.acme.com, 127.0.0.1 |
服务器网络端口 | 用于目录查询的服务器的端口。 | 端口 | 389 | 389, 369, 10389 |
域可分辨名称 | 在用户组查找过程中使用的顶级目录的可分辨名称。 | 域 | 不适用 | DC=test, DC=acme, DC=com |
动态用户登录 | 确定是否已启用动态用户登录。有关详细信息,请参阅下一部分。 | dynamicUserLogin | 复选框为空 (已禁用)。 | 复选框已选中。 |
管理者名称 | 具有指定域对象的管理读取权限的用户名称。此名称的值取决于“架构映射”配置表中指定的 User Id Attribute。 | adminPrincipal | 不适用 | AcmeAdmin |
管理密码 | 连接设置配置表中指定的管理者名称的密码。 | adminPassword | 不适用 | AcmePassword |
测试 Active Directory 连接
在“目录服务”配置页面的“连接设置”部分中,“测试连接”下的“验证”按钮可用于根据当前配置测试与 Active Directory 服务器的连接。配置的“连接设置”部分中的以下字段用于测试 Active Directory 连接:
• URI 模式
• 服务器 FQDN 或 IP 地址
• 服务器网络端口
• 管理者名称
• 管理密码
“验证”按钮可用于启动 TestConnection 服务,采用了以下参数:
参数 | 基本类型 | 说明 |
|---|---|---|
userName | STRING | Active Directory 用户的名称。 |
password | STRING | Active Directory 用户的加密密码。 |
protocol | STRING | 使用的架构 (LDAP 或 LDAPS)。 |
server | STRING | Active Directory 实例的主机或 IP 地址。 |
port | INTEGER | Active Directory 实例的端口。 |
连接测试的结果在 result 中返回,这是一个 INFOTABLE,其中包含以下信息:
• status:(布尔型) 指示是否成功连接到 Active Directory。
• message:(字符串) 提供有关测试失败原因的任何有用信息的消息。
| | 如果启用了动态用户登录,则不使用“管理者名称”和“管理密码”,并且“验证”按钮处于隐藏状态。 |