Active Directory 使用者
本主題說明您需要瞭解的 Active Directory 使用者的相關資訊,從授權到鎖定情境都包括在內:
使用者授權
使用者授權提供可在 ThingWorx 中自動建立、修改及刪除使用者的選項。
名稱
描述
XML 屬性名稱
預設值
註記
啟用使用者建立
當使用者認證在協助處理登入請求的 Active Directory 伺服器中正確無誤時,控制 ThingWorx 使用者的自動建立/授權。
若欄位已核取,便會以指定的登入使用者名稱以及在「使用者預設設定」組態表中指定的任何預設值來建立使用者。
如果欄位已取消核取/false (預設),使用者必須存在於 ThingWorx 中,才能嘗試登入。
使用者必須存在於 ThingWorx 中才能成功登入。如果使用者屬於「使用者授權排除清單」組態表,那麼此欄位對於自動建立使用者沒有影響。
userCreationEnabled
false
如果您希望 ThingWorx 中的目錄服務能夠自動建立使用者,請設定為 true
啟用使用者修改
當使用者認證在協助處理登入請求的 Active Directory 伺服器中正確無誤時,控制 ThingWorx 使用者的自動更新/授權。
若欄位已核取或為 true,則會在每次嘗試登入時更新使用者。系統會以在「使用者預設設定」組態表中指定的任何預設值來更新這些使用者。
若欄位未核取或為 false (預設),而且是自動建立/授權的使用者,那麼在使用者初次嘗試登入之後,不會在其每次嘗試登入時都更新使用者。使用者必須存在於 ThingWorx 中才能成功登入。
如果使用者屬於「使用者授權排除清單」組態表,那麼此欄位對於自動更新使用者沒有影響。
userModificationEnabled
false
設定為 true 以允許 ThingWorx 中的目錄服務更新使用者。
啟用使用者刪除
當使用者不存在於協助處理登入請求的 Active Directory 伺服器中時,控制 ThingWorx 使用者的自動刪除/取消授權。
若欄位已核取或為 true,則會在使用者嘗試登入時將其刪除。
若欄位未核取或為 false,則不會在使用者嘗試登入時將其刪除。使用者必須存在於 ThingWorx 中才能成功登入及成功刪除。如果使用者屬於「使用者授權排除清單」組態表,那麼此欄位對於自動刪除使用者沒有影響。
userDeletionEnabled
false
設定為 true 以允許 ThingWorx 中的目錄服務刪除使用者。
使用者預設設定
下表描述使用者的可用預設設定。這些欄位都是選用欄位。
名稱
描述
XML 屬性名稱
有效值
註記
所授權使用者的預設網域前置碼
假設為使用者名稱前綴的字串值,用以區分來自網域伺服器 Y 的使用者 X 和來自網域伺服器 Z 的使用者 X。
這讓經過配置的 Active Directory 目錄服務可明確知道要驗證的使用者是否為管理的目標。若有配置值,Active Directory 目錄服務不會嘗試驗證或授權使用者,而是會記錄安全性訊息並將使用者登入嘗試傳遞至鏈中的下一項 ThingWorx 目錄服務。
* 
如果相同使用者存在於若干網域伺服器和其網域中,則建議使用網域前綴。這樣可盡量減少因使用者驗證失敗時的連鎖效應所可能引發的不確定行為。
userDefaultDomainPrefix
空白字串或包含有效實體名稱字元的任意字串
若有多部已配置的網域伺服器,則應使用此組態。例如,NAEUR 可用來作為網域前綴。
* 
啟用「動態使用者登入」時,此設定可能會導致產生非預期的結果,因為所授權使用者的預設網域前置碼會從在使用者驗證時輸入的使用者名稱中去除,然後才嘗試繫結 Active Directory。例如,如果「所授權使用者的預設網域前置碼」設為 "mydomain\",且使用者向 ThingWorx 驗證時輸入了 "mydomain\username",則只會將「使用者名稱」傳送至 Active Directory 進行驗證。即使 "mydomain\username" 是該使用者在 Active Directory 之內的 domain\samAccountName,此驗證也可能會失敗
* 
如果相同的使用者名稱存在於多個 Active Directory 網域中,則如果正在登入的使用者不是在 Active Directory 中找到的實際使用者,驗證將會失敗。這將視查詢的順序而定。
所授權使用者的預設描述
設定為用於所有授權使用者之描述的描述字串值。這是一項很有幫助的設定,可允許向使用者新增前後關聯資訊,比如「由網域伺服器 Y 自動授權」。
userDefaultDescription
空白字串或任何描述字串
如果偏好讓所有授權使用者 (亦即自動建立/更新的使用者) 均使用預設的描述,則應使用此選項。
所授權使用者的預設主混搭
設定為用於所有授權使用者之預設混搭的主混搭名稱值。此設定允許所有授權使用者在登入 ThingWorx 時從一個通用的主混搭開始作業。這些混搭的其中一些範例包括訪客主混搭、自助服務主混搭,或是操作人員主混搭等等。
userDefaultHomeMashupName
要取消設定的空白字串,或是有效的現有混搭名稱
如果偏好讓所有授權使用者 (亦即自動建立/更新的使用者) 均使用預設的主混搭,則應使用此選項。
比如說,如果偏好讓所有使用者在進入 ThingWorx 應用程式時開始使用相同的 GuestMashup、SelfServiceMashup 或 LandingPageMashup,這會相當有用。
所授權使用者的預設行動混搭
針對所有授權使用者,設定用於行動裝置上的行動混搭名稱值。此設定允許所有授權使用者在登入 ThingWorx 時從一個通用的行動混搭開始作業。這些混搭的其中一些範例包括訪客行動混搭、自助服務行動混搭,或是操作人員行動混搭等等。
userDefaultMobileMashupName
要取消設定的空白字串,或是有效的現有混搭名稱
如果偏好讓所有授權使用者 (亦即自動建立/更新的使用者) 均使用預設的行動混搭,請使用此選項。
比如說,如果偏好讓所有使用者在進入 ThingWorx 應用程式時開始使用相同的 GuestMashup、SelfServiceMashup 或 LandingPageMashup,這會相當有用。
所授權使用者的預設標籤
一組設定在所有授權使用者上的模型標籤。此設定允許所有授權使用者擁有可用於搜尋/前後關聯識別的通用標籤。這些標籤的其中一些範例包括操作人員標籤、ProvisionedByDomainServerY、ProvisionedByDomainServerZ 等等。
userDefaultTags
要取消設定的空白字串,或是有效的現有標籤名稱
如果偏好讓所有授權使用者 (亦即自動建立/更新的使用者) 均使用一組預設的模型標籤,則應使用此選項。
使用者授權排除清單
這份組態表可讓 Active Directory 目錄服務的管理員使特定的 ThingWorx 使用者不參與 Active Directory 目錄服務的使用者授權功能。
使用者授權功能包括使用者建立、修改和刪除。使用 Active Directory 目錄服務配置 ThingWorx 時,現有使用者可能不希望由 Active Directory 管理其組態和存在性;而僅將其用於認證驗證。應將這些類型的使用者新增至「使用者授權排除」清單組態。
* 
管理員使用者會自動新增至此清單,而且不應移除。
管理員使用者是無法建立或刪除的 ThingWorx 預設使用者。不應自動修改管理員使用者。這麼做可能會造成在登入時發生不想要的組態變更。
使用者登入情境
下表依據在 ThingWorx 裡的 Active Directory 目錄服務中設定的組態選項,提供使用者在嘗試登入 ThingWorx 期間的預先與事後狀態。
* 
以下情境不會變更 Active Directory 伺服器中的使用者狀態/組態。
以粗體顯示的項目是使用者在 ThingWorx 中事後狀態的主要決定因素。
使用者在 AD 伺服器中的狀態
使用者在 ThingWorx 中的預先狀態
組態選項
使用者在 ThingWorx 中的事後狀態
不存在
不存在
任何組態
不存在
無法用來登入
不存在
存在 (由 ThingWorx 管理員手動建立)
密碼已設定/在 ThingWorx 中
啟用使用者授權建立
啟用使用者授權修改
啟用使用者授權刪除
已列在使用者授權排除清單中
存在
未修改或刪除
可用來登入
不存在
存在 (由 ThingWorx 管理員手動建立)
密碼未設定或不在 ThingWorx 中
啟用使用者授權建立
啟用使用者授權修改
啟用使用者授權刪除
已列在使用者授權排除清單中
存在
未修改或刪除
無法用來登入
不存在
存在 (由 ThingWorx 管理員手動建立)
啟用使用者授權建立
啟用使用者授權修改
啟用使用者授權刪除
未列在使用者授權排除清單中
不存在
無法用來登入
不存在
存在 (由 ThingWorx 管理員手動建立)
啟用使用者授權建立
啟用使用者授權修改
禁用使用者授權刪除
未列在使用者授權排除清單中
不存在
無法用來登入
存在
不存在
啟用使用者授權建立
啟用使用者授權修改
啟用使用者授權刪除
已列在使用者授權排除清單中
不存在
無法用來登入
存在
已禁用
不存在
啟用使用者授權建立
啟用使用者授權修改
啟用使用者授權刪除
未列在使用者授權排除清單中
不存在
無法用來登入
存在
「已鎖定」
不存在
啟用使用者授權建立
啟用使用者授權修改
啟用使用者授權刪除
未列在使用者授權排除清單中
不存在
無法用來登入
存在
不存在
禁用使用者授權建立
啟用使用者授權修改
啟用使用者授權刪除
未列在使用者授權排除清單中
不存在
無法用來登入
存在
不存在
啟用使用者授權建立
啟用使用者授權修改
啟用使用者授權刪除
未列在使用者授權排除清單中
存在 (已建立)
以成員身份新增至對應的群組
已新增預設的使用者設定
可用來登入
存在
存在
啟用使用者授權建立
啟用使用者授權修改
啟用使用者授權刪除
未列在使用者授權排除清單中
已配置使用者預設設定
已修改使用者
以成員身份新增至對應的群組或從中移除
已新增預設的使用者設定
可用來登入
存在
存在
啟用使用者授權建立
啟用使用者授權修改
啟用使用者授權刪除
已列在使用者授權排除清單中
已配置使用者預設設定
未修改使用者
可用來登入
存在
「已鎖定」
存在
任何組態
已鎖定使用者
無法用來登入
存在
已禁用
存在
任何組態
已禁用使用者
無法用來登入
使用者反鎖情境
帳戶反鎖設定是在 ThingWorx 中的使用者管理子系統裡進行配置。
會將「鎖定管理員」定義為根據鎖定評估確定鎖定的系統 (ThingWorx 或 Active Directory)。
下表的關鍵字如下:
ThingWorx 反鎖嘗試組態:TLA
Active Directory 反鎖嘗試組態:ADL
鎖定評估
鎖定管理員
鎖定管理員最大嘗試次數組態範例
動作
結果
TLA > ADL
ADL
2 次嘗試
ThingWorx 發現一個使用者在 Active Directory 中遭到鎖定
立即鎖定 ThingWorx 使用者
TLA > ADL
ADL
2 次嘗試
使用者登入錯誤兩次
在兩次嘗試後鎖定 ThingWorx 使用者
TLA = ADL
* 
建議的反鎖組態是讓 ThingWorx 與 Active Directory 相符。
ADL
2 次嘗試
使用者登入錯誤兩次
在兩次嘗試後鎖定 ThingWorx 使用者
TLA < ADL
ADL
2 次嘗試
使用者登入錯誤兩次
在兩次嘗試後鎖定 ThingWorx 使用者
這是否有幫助?