Active Directory 群組與動態使用者登入
本主題說明下列搭配 ThingWorx Platform 使用 Active Directory 的功能:
動態使用者登入
* 
建議啟用「動態使用者登入」時,使用者使用相同使用者名稱向 ThingWorx Platform 驗證。否則,由於 ThingWorx Platform 目前的限制,會針對相同使用者建立多個 ThingWorx Platform 帳戶。例如,假設使用者使用其 displayName testuser 登入。使用者帳戶會建立在名為 testuser 的平台上。但是,如果同一位使用者使用其通用主體名稱 (UPN) (在本例中為 testuser@domain.com) 登入,則也會在平台上建立使用者 testuser@domain.com
如果啟用「動態使用者登入」,則會略過「管理主體名稱」與「管理主體密碼」的連線設定。登入 ThingWorx Platform 目錄的使用者會在 Active Directory 中使用其使用者名稱與密碼進行驗證。Active Directory 中目前支援的驗證方法是使用 displayName、UPN 與 domain\samAccountName。
如果禁用「動態使用者登入」,使用者登入的工作流程會保持與其在 ThingWorx Platform 8.3.0 至 8.3.4 時相同。
欲疑難排解「動態使用者登入」的問題,請參閱疑難排解:Active Directory 網域前置碼與動態使用者登入
群組對應
確保您瞭解適用於使用者和群組的 ThingWorx 可見度權限組織規則,以按照預期配置對應。如果未正確指派權限,使用者可以存取他們本來無法存取的內容。
雖然不需要群組對應,但在授權或更新某個使用者時,沒有任何群組對應的情況會導致權限受限 (只會有該使用者具備的預設權限)。
「群組對應」組態位於 Active Directory 目錄服務的組態頁中下方附近。欲設定群組對應:
1. 在 ThingWorx Composer 中,請導覽至 Composer 中的 Active Directory 目錄服務 (「安全性」 > 「目錄服務」 > <Active Directory 服務名稱>
2. 開啟組態頁,向下捲動至「群組對應」部份,並按一下「新增」,如下圖所示:
3. 在「群組對應」視窗的「Active Directory 群組名稱」欄位中,鍵入您要對應至 ThingWorx 群組之 Active Directory 群組的名稱。
4. 在「ThingWorx 群組名稱」欄位中,按一下 + 號以顯示 ThingWorx 群組的下拉清單,如下所示。請注意,此處提供「進階搜尋」,您可以按特定實體與其他項目篩選。此下拉清單自 ThingWorx v.8.3.5 開始提供。
* 
禁用「動態使用者登入」時,會顯示下列「群組對應」表單。
5. 請注意,在「群組對應」表單的下列版本中,當啟用「動態群組登入」時會顯示「所需認證」訊息。欲輸入「Active Directory 群組名稱」,請按一下綠色鎖定圖示。
6. 「提供認證」對話方塊出現時,設定 AdministrativePrincipalNameAdministrativePassword,然後按一下「設定」
下表描述群組對應的設定:
群組對應
名稱
描述
有效值
Active Directory 群組名稱
在執行時間關聯/對應至 ThingWorx 群組進行權限/授權核對之 Active Directory 群組的名稱。
這個非空白的字串包含在所配置網域下對應於 Active Directory 中某個 groupObjectClass 物件的群組名稱。
ThingWorx 群組名稱
將包含在執行時間使用的 ThingWorx 權限/授權組態之 ThingWorx 群組的名稱。由 Active Directory 授權的使用者將會新增至這個 ThingWorx 群組。這會取決於使用者所屬且對應至這個 ThingWorx 群組的 Active Directory 群組。
這個非空白的字串包含對應於 ThingWorx 中某個群組實體的群組名稱。
使用動態使用者身份登入的群組對應
在 v.8.3.5 中新增「動態使用者登入」後,啟用「動態使用者登入」功能時,GetDomainGroupsIsValidGroup 服務會取用允許傳入 Active Directory 管理使用者認證的引數 (例如從 UI 傳入)。禁用「動態使用者登入」時 (依預設為禁用),管理使用者認證對 IsValidGroupGetDomainGroups 服務而言是選用的。TestConnection 服務可與所有必要的認證搭配使用。當參數是空時,服務會使用管理員認證。
群組對應的群組驗證
從 v.8.3.5 開始,ThingWorx Composer 在「群組對應」頁中提供一個文字方塊,可以讓您在其中輸入 Active Directory 群組的名稱。從下拉清單中選取 Active Directory 群組的選項仍然可用。文字方塊支援按名稱或完整辨別名稱輸入群組。例如,名稱 TestGroup 是簡單名稱,而 CN=TestGroup, CN=Users, DC=domain, DC=com 是完整辨別名稱。
從 v.8.3.5 開始也提供 IsValidGroup 服務,可讓您在 Active Directory 中搜尋有效群組的名稱。此服務採用單一的 STRING 參數 groupName,指定您要尋找的群組名稱。服務會傳回 BOOLEAN 結果,指示群組是否存在於 Active Directory 中。
* 
萬用字元 ("*") 不允許作為 groupName 輸入的一部份存在。
巢狀群組成員資格
從 v.8.3.5 開始,Active Directory 組態的「結構描述對應」部份中提供「將使用者新增至對應的上階群組」組態選項。此 BOOLEAN 設定可啟用或禁用巢狀群組成員資格。
如果啟用了巢狀群組成員資格,會發生下列情況:
會使用「可延伸比對」規則查詢 Active Directory,藉以將使用者所屬的群組以及這些群組所屬的群組擷取至任何巢狀深度。
這些群組會與「群組對應」表進行比較,以將產生的 ThingWorx 使用者指派給使用者群組。
此選項可能會導致造成效能影響,因為它會增加 Active Directory 的負載,並可能導致產生較大的結果集。
如果禁用巢狀群組成員資格,則工作流程會在存在於 ThingWorx Platform v.8.3.0 至 8.3.4 時保持不變。
結構對應
為了使驗證與群組擷取/對應能夠正常使用,本部份中的下列欄位為必填:「使用者 ID 屬性名稱」、「群組物件類別名稱」、「群組成員資格屬性名稱」、「群組屬性名稱」、「使用者旗標屬性名稱」、「使用者控制屬性的已停用位元」和「使用者控制屬性的反鎖位元」。
結構對應
名稱
描述
XML 屬性名稱
預設值
值範例
使用者 ID 屬性名稱
包含在登入 ThingWorx 時用來比對指定使用者名稱之使用者名稱值的屬性名稱。
attributeUserIdName
cn
cn, userPrincipalName
使用者基準辨別名稱
使用者認證驗證期間所使用的頂層目錄之辨別名稱。
userBaseDN
ou=people
DC=test、DC=acme、DC=com
群組物件類別名稱
表示物件為群組之 objectClass 屬性的值。將針對「群組對應」組態表中的 Active Directory/ThingWorx 群組對應查詢與呈現的群組物件。
groupObjectClass
group
group
用於篩選網域群組的群組 LDAP 篩選器
允許篩選大量網域群組。
* 
如果您有大量群組,則必須配置此參數 (請勿保留空白)。若保留空白,可能會影響到擷取大量群組時的效能。
groupLdapFilter
n/a
(cn=a_testgroup111*)(cn=b_testgroup222*)
群組成員資格屬性名稱
表示使用者或群組是另一個群組「的成員」之屬性的名稱。系統會針對 Active Directory 中使用者內的每個 memberOf 項目,將該使用者以成員身份新增至 ThingWorx 群組,且將該群組對應至在 memberOf 項目中指定的 Active Directory 群組。
memberOfAttribute
memberOf
memberOf
群組屬性名稱
應用來在 ThingWorx UI 中,尤其是在「群組對應」組態表選取項中擷取群組顯示名稱之屬性的名稱。
* 
使用 distinguishedName 在 Active Directory 中顯示群組位置的完整路徑。這可在群組存在於多個網域中時提供其所屬子網域的前後關聯。
groupAttribute
cn
cn
使用者旗標屬性名稱
userControlAttribute
userAccountControl
userAccountControl
使用者控制屬性的已停用位元
所指定使用者旗標屬性名稱 (亦即預設的 userControlAttribute) 內已停用位元旗標的整數/小數值。如需詳細資訊,請前往 https://msdn.microsoft.com/en-us/library/cc223145.aspx
userDisableBit
2
2
使用者控制屬性的反鎖位元
所指定使用者旗標屬性名稱 (亦即預設的 userControlAttribute) 內反鎖位元旗標的整數/小數值。如需詳細資訊,請前往 https://msdn.microsoft.com/en-us/library/cc223145.aspx
userLockoutBit
16
16
樹系名稱識別元
識別網域控制器集合/樹系。使用相同字串來配置的每個目錄服務物件將能夠在其「群組對應」組態內對應彼此網域中的群組。如需使用此選項的範例,請參閱接下來幾部份的內容。
forestNameIdentifier
n/a
這是否有幫助?