Active Directory 使用者
本主題說明您需要瞭解的 Active Directory 使用者的相關資訊,從授權到鎖定情境都包括在內:
• 使用者授權
• 使用者預設設定
• 使用者登入情境
• 使用者反鎖情境
使用者授權
使用者授權提供可在 ThingWorx 中自動建立、修改及刪除使用者的選項。
|
名稱
|
描述
|
XML 屬性名稱
|
預設值
|
註記
|
|---|---|---|---|---|
|
啟用使用者建立
|
當使用者認證在協助處理登入請求的 Active Directory 伺服器中正確無誤時,控制 ThingWorx 使用者的自動建立/授權。
若欄位已核取,便會以指定的登入使用者名稱以及在「使用者預設設定」組態表中指定的任何預設值來建立使用者。
如果欄位已取消核取/false (預設),使用者必須存在於 ThingWorx 中,才能嘗試登入。
使用者必須存在於 ThingWorx 中才能成功登入。如果使用者屬於「使用者授權排除清單」組態表,那麼此欄位對於自動建立使用者沒有影響。
|
userCreationEnabled
|
false
|
如果您希望 ThingWorx 中的目錄服務能夠自動建立使用者,請設定為 true。
|
|
啟用使用者修改
|
當使用者認證在協助處理登入請求的 Active Directory 伺服器中正確無誤時,控制 ThingWorx 使用者的自動更新/授權。
若欄位已核取或為 true,則會在每次嘗試登入時更新使用者。系統會以在「使用者預設設定」組態表中指定的任何預設值來更新這些使用者。
若欄位未核取或為 false (預設),而且是自動建立/授權的使用者,那麼在使用者初次嘗試登入之後,不會在其每次嘗試登入時都更新使用者。使用者必須存在於 ThingWorx 中才能成功登入。
如果使用者屬於「使用者授權排除清單」組態表,那麼此欄位對於自動更新使用者沒有影響。
|
userModificationEnabled
|
false
|
設定為 true 以允許 ThingWorx 中的目錄服務更新使用者。
|
|
啟用使用者刪除
|
當使用者不存在於協助處理登入請求的 Active Directory 伺服器中時,控制 ThingWorx 使用者的自動刪除/取消授權。
若欄位已核取或為 true,則會在使用者嘗試登入時將其刪除。
若欄位未核取或為 false,則不會在使用者嘗試登入時將其刪除。使用者必須存在於 ThingWorx 中才能成功登入及成功刪除。如果使用者屬於「使用者授權排除清單」組態表,那麼此欄位對於自動刪除使用者沒有影響。
|
userDeletionEnabled
|
false
|
設定為 true 以允許 ThingWorx 中的目錄服務刪除使用者。
|
使用者預設設定
下表描述使用者的可用預設設定。這些欄位都是選用欄位。
|
名稱
|
描述
|
XML 屬性名稱
|
有效值
|
註記
|
||||||
|---|---|---|---|---|---|---|---|---|---|---|
|
所授權使用者的預設網域前置碼
|
假設為使用者名稱前綴的字串值,用以區分來自網域伺服器 Y 的使用者 X 和來自網域伺服器 Z 的使用者 X。
這讓經過配置的 Active Directory 目錄服務可明確知道要驗證的使用者是否為管理的目標。若有配置值,Active Directory 目錄服務不會嘗試驗證或授權使用者,而是會記錄安全性訊息並將使用者登入嘗試傳遞至鏈中的下一項 ThingWorx 目錄服務。
|
userDefaultDomainPrefix
|
空白字串或包含有效實體名稱字元的任意字串
|
若有多部已配置的網域伺服器,則應使用此組態。例如,NA 或 EUR 可用來作為網域前綴。
|
||||||
|
所授權使用者的預設描述
|
設定為用於所有授權使用者之描述的描述字串值。這是一項很有幫助的設定,可允許向使用者新增前後關聯資訊,比如「由網域伺服器 Y 自動授權」。
|
userDefaultDescription
|
空白字串或任何描述字串
|
如果偏好讓所有授權使用者 (亦即自動建立/更新的使用者) 均使用預設的描述,則應使用此選項。
|
||||||
|
所授權使用者的預設主混搭
|
設定為用於所有授權使用者之預設混搭的主混搭名稱值。此設定允許所有授權使用者在登入 ThingWorx 時從一個通用的主混搭開始作業。這些混搭的其中一些範例包括訪客主混搭、自助服務主混搭,或是操作人員主混搭等等。
|
userDefaultHomeMashupName
|
要取消設定的空白字串,或是有效的現有混搭名稱
|
如果偏好讓所有授權使用者 (亦即自動建立/更新的使用者) 均使用預設的主混搭,則應使用此選項。
比如說,如果偏好讓所有使用者在進入 ThingWorx 應用程式時開始使用相同的 GuestMashup、SelfServiceMashup 或 LandingPageMashup,這會相當有用。
|
||||||
|
所授權使用者的預設行動混搭
|
針對所有授權使用者,設定用於行動裝置上的行動混搭名稱值。此設定允許所有授權使用者在登入 ThingWorx 時從一個通用的行動混搭開始作業。這些混搭的其中一些範例包括訪客行動混搭、自助服務行動混搭,或是操作人員行動混搭等等。
|
userDefaultMobileMashupName
|
要取消設定的空白字串,或是有效的現有混搭名稱
|
如果偏好讓所有授權使用者 (亦即自動建立/更新的使用者) 均使用預設的行動混搭,請使用此選項。
比如說,如果偏好讓所有使用者在進入 ThingWorx 應用程式時開始使用相同的 GuestMashup、SelfServiceMashup 或 LandingPageMashup,這會相當有用。
|
||||||
|
所授權使用者的預設標籤
|
一組設定在所有授權使用者上的模型標籤。此設定允許所有授權使用者擁有可用於搜尋/前後關聯識別的通用標籤。這些標籤的其中一些範例包括操作人員標籤、ProvisionedByDomainServerY、ProvisionedByDomainServerZ 等等。
|
userDefaultTags
|
要取消設定的空白字串,或是有效的現有標籤名稱
|
如果偏好讓所有授權使用者 (亦即自動建立/更新的使用者) 均使用一組預設的模型標籤,則應使用此選項。
|
使用者授權排除清單
這份組態表可讓 Active Directory 目錄服務的管理員使特定的 ThingWorx 使用者不參與 Active Directory 目錄服務的使用者授權功能。
使用者授權功能包括使用者建立、修改和刪除。使用 Active Directory 目錄服務配置 ThingWorx 時,現有使用者可能不希望由 Active Directory 管理其組態和存在性;而僅將其用於認證驗證。應將這些類型的使用者新增至「使用者授權排除」清單組態。
 |
管理員使用者會自動新增至此清單,而且不應移除。
|
管理員使用者是無法建立或刪除的 ThingWorx 預設使用者。不應自動修改管理員使用者。這麼做可能會造成在登入時發生不想要的組態變更。
使用者登入情境
下表依據在 ThingWorx 裡的 Active Directory 目錄服務中設定的組態選項,提供使用者在嘗試登入 ThingWorx 期間的預先與事後狀態。
|
|
以下情境不會變更 Active Directory 伺服器中的使用者狀態/組態。
以粗體顯示的項目是使用者在 ThingWorx 中事後狀態的主要決定因素。
|
|
使用者在 AD 伺服器中的狀態
|
使用者在 ThingWorx 中的預先狀態
|
組態選項
|
使用者在 ThingWorx 中的事後狀態
|
|---|---|---|---|
|
不存在
|
不存在
|
任何組態
|
• 不存在
• 無法用來登入
|
|
不存在
|
• 存在 (由 ThingWorx 管理員手動建立)
• 密碼已設定/在 ThingWorx 中
|
• 啟用使用者授權建立
• 啟用使用者授權修改
• 啟用使用者授權刪除
• 已列在使用者授權排除清單中
|
• 存在
• 未修改或刪除
• 可用來登入
|
|
不存在
|
• 存在 (由 ThingWorx 管理員手動建立)
• 密碼未設定或不在 ThingWorx 中
|
• 啟用使用者授權建立
• 啟用使用者授權修改
• 啟用使用者授權刪除
• 已列在使用者授權排除清單中
|
• 存在
• 未修改或刪除
• 無法用來登入
|
|
不存在
|
存在 (由 ThingWorx 管理員手動建立)
|
• 啟用使用者授權建立
• 啟用使用者授權修改
• 啟用使用者授權刪除
• 未列在使用者授權排除清單中
|
• 不存在
• 無法用來登入
|
|
不存在
|
• 存在 (由 ThingWorx 管理員手動建立)
|
• 啟用使用者授權建立
• 啟用使用者授權修改
• 禁用使用者授權刪除
• 未列在使用者授權排除清單中
|
• 不存在
• 無法用來登入
|
|
存在
|
不存在
|
• 啟用使用者授權建立
• 啟用使用者授權修改
• 啟用使用者授權刪除
• 已列在使用者授權排除清單中
|
• 不存在
• 無法用來登入
|
|
• 存在
• 已禁用
|
不存在
|
• 啟用使用者授權建立
• 啟用使用者授權修改
• 啟用使用者授權刪除
• 未列在使用者授權排除清單中
|
• 不存在
• 無法用來登入
|
|
• 存在
• 「已鎖定」
|
不存在
|
• 啟用使用者授權建立
• 啟用使用者授權修改
• 啟用使用者授權刪除
• 未列在使用者授權排除清單中
|
• 不存在
• 無法用來登入
|
|
存在
|
不存在
|
• 禁用使用者授權建立
• 啟用使用者授權修改
• 啟用使用者授權刪除
• 未列在使用者授權排除清單中
|
• 不存在
• 無法用來登入
|
|
存在
|
不存在
|
• 啟用使用者授權建立
• 啟用使用者授權修改
• 啟用使用者授權刪除
• 未列在使用者授權排除清單中
|
• 存在 (已建立)
• 以成員身份新增至對應的群組
• 已新增預設的使用者設定
• 可用來登入
|
|
存在
|
存在
|
• 啟用使用者授權建立
• 啟用使用者授權修改
• 啟用使用者授權刪除
• 未列在使用者授權排除清單中
• 已配置使用者預設設定
|
• 已修改使用者
• 以成員身份新增至對應的群組或從中移除
• 已新增預設的使用者設定
• 可用來登入
|
|
存在
|
存在
|
• 啟用使用者授權建立
• 啟用使用者授權修改
• 啟用使用者授權刪除
• 已列在使用者授權排除清單中
• 已配置使用者預設設定
|
• 未修改使用者
• 可用來登入
|
|
• 存在
• 「已鎖定」
|
存在
|
任何組態
|
• 已鎖定使用者
• 無法用來登入
|
|
• 存在
• 已禁用
|
存在
|
任何組態
|
• 已禁用使用者
• 無法用來登入
|
使用者反鎖情境
帳戶反鎖設定是在 ThingWorx 中的使用者管理子系統裡進行配置。
會將「鎖定管理員」定義為根據鎖定評估確定鎖定的系統 (ThingWorx 或 Active Directory)。
下表的關鍵字如下:
• ThingWorx 反鎖嘗試組態:TLA
• Active Directory 反鎖嘗試組態:ADL
|
鎖定評估
|
鎖定管理員
|
鎖定管理員最大嘗試次數組態範例
|
動作
|
結果
|
||
|---|---|---|---|---|---|---|
|
TLA > ADL
|
ADL
|
2 次嘗試
|
ThingWorx 發現一個使用者在 Active Directory 中遭到鎖定
|
立即鎖定 ThingWorx 使用者
|
||
|
TLA > ADL
|
ADL
|
2 次嘗試
|
使用者登入錯誤兩次
|
在兩次嘗試後鎖定 ThingWorx 使用者
|
||
|
TLA = ADL
|
ADL
|
2 次嘗試
|
使用者登入錯誤兩次
|
在兩次嘗試後鎖定 ThingWorx 使用者
|
||
|
TLA < ADL
|
ADL
|
2 次嘗試
|
使用者登入錯誤兩次
|
在兩次嘗試後鎖定 ThingWorx 使用者
|