管理 Active Directory 中的使用者
如果使用者已存在於 Microsoft Active Directory (AD) 目錄服務中,您可以在 ThingWorx 中管理使用者與使用者群組。ThingWorx 允許將 Active Directory 使用者群組對應至 ThingWorx 使用者群組。使用者授權選項可讓您建立、修改或刪除使用者。可在 ThingWorx 中針對每個使用者群組管理權限。
 |
依預設,在 ThingWorx 中不會啟用 Active Directory 功能。ThingWorx 管理員使用者必須先啟用 Active Directory,才能用它在 ThingWorx 中進行驗證。
|
為協助您快速開始、配置 ThingWorx 以使用 Active Directory、設定連線及測試連線性,請參閱本主題以下各部份的內容:
1. 入門
2. 目錄服務的組態
3. 連線設定
入門
開始使用之前,請先將包含實體的 XML 檔案匯入 ThingWorx,以在 ThingWorx 中建立目錄服務。匯入檔案之後,您即可在 ThingWorx 中配置目錄服務。使用 XML 檔案時,請遵循下列規則:
• XML 檔案必須包含將 com.thingworx.security.directoryservices.ActiveDirectoryDirectoryService Java 類別作為 DirectoryService 元素的 className 屬性使用的一或多項目錄服務。
• 針對每個 DirectoryService 元素,必須為 name 提供唯一值。
• name 值在 ThingWorx 執行時間內存在的所有目錄服務之間也必須具唯一性。
• priority 屬性應具有用於驗證的唯一優先順序編號。此外,應將具唯一性的優先順序新增至檔案以及 ThingWorx 執行時間裡的每項目錄服務。此優先順序對應於 ThingWorx 在認證驗證期間應該用來查閱目錄服務的順序。
|
|
目錄服務會以所連結的優先順序進行驗證。如果具有最低優先順序設定 1 的目錄服務無法進行某次使用者驗證,該鏈將會嘗試針對鏈中優先順序高一級的目錄服務來驗證使用者。
|
如需這些規則的用法,請參閱下列範例:
準備就緒之後,將 Active Directory 伺服器的 XML 檔案匯入 ThingWorx。有關匯入問題,請參閱下列其中一個疑難排解部份的內容:
• 如果匯入驗證因遺失必要欄位或無效組態而失敗,但已匯入及禁用實體,則匯入驗證失敗,但匯入成功
目錄服務的組態
當您針對 Active Directory 目錄服務匯入 XML 檔案之後,您必須對其進行配置。欲存取 ThingWorx Composer 中的組態頁:
1. 在「瀏覽」導覽面板中,展開「安全性」,並選取「目錄服務」。
2. 在目錄服務頁中,按一下 Active Directory 目錄服務的名稱。目錄服務的「一般資訊」頁隨即顯示。
3. 選取「已啟用」核取方塊來啟用此目錄服務,並按一下「儲存」。
4. 選取「組態」以顯示組態頁。您已準備好配置目錄服務。
 |
本部份與後續部份描述的組態選項全都顯示在目錄服務實體的組態頁中。如需組態錯誤訊息的協助,請參閱組態錯誤訊息。
|
對使用者在登入 ThingWorx 期間所輸入內容進行的認證驗證,可透過在 User Base Distinguished Name 組態表設定中查詢使用者物件及關於該物件的密碼來執行。有兩個位置可指定 Active Directory 實體的網域,而且這兩個位置可彼此完全獨立。Domain Distinguished Name 會在群組查詢期間使用,因此,如果您要利用群組對應功能,請核對使用者所在全部群組是否屬於指定的 Domain Distinguished Name 值。User Base Distinguished Name 是藉由在 ThingWorx 登入期間提供的使用者名稱與密碼,在 Active Directory 中查詢使用者物件時使用的位置。
|
|
配置多個目錄服務物件時,請勿與 Active Directory 結構內的使用者搜尋庫重疊。
|
連線設定
Active Directory 組態的連線設定包括「動態使用者登入」選項。頁面如下:
下表描述目錄服務的「連線設定」。所有連線設定欄位均為必填。
名稱 | 描述 | XML 屬性名稱 | 預設值 | 值範例 |
|---|---|---|---|---|
URI 配置 | 用於指定在與 Active Directory 伺服器通訊時使用之相關聯通訊協定的字串。 | 通訊協定 | LDAP | LDAP |
伺服器 FQDN 或 IP 位址 | 目錄查詢的目標伺服器名稱/位址。 | server | localhost | localhost、domainserver.acme.com、127.0.0.1 |
伺服器網路連接埠 | 目錄查詢的目標伺服器連接埠。 | 埠 | 389 | 389, 369, 10389 |
網域辨別名稱 | 使用者群組查詢期間所使用的頂層目錄之辨別名稱。 | 網域 | n/a | DC=test、DC=acme、DC=com |
動態使用者登入 | 決定是否已啟用「動態使用者登入」。如需詳細資訊,請參閱接下來一部份。 | dynamicUserLogin | 核取方塊為空 (已禁用)。 | 核取方塊已選取。 |
管理主體名稱 | 已指定對網域物件具有管理讀取存取權之使用者的名稱。此名稱的值取決於在「結構對應」組態表中指定的 User Id Attribute。 | adminPrincipal | n/a | AcmeAdmin |
管理密碼 | 在連線設定組態表中指定之管理主體名稱的密碼。 | adminPassword | n/a | AcmePassword |
測試 Active Directory 連線能力
在目錄服務組態頁的「連線設定」部份中,「測試連線」下的「核對」按鈕可讓您根據目前組態測試與 Active Directory 伺服器之間的連線。組態之「連線設定」部份中的下列欄位可用於測試 Active Directory 連線:
• URI 配置
• 伺服器 FQDN 或 IP 位址
• 伺服器網路連接埠
• 管理主體名稱
• 管理密碼
「核對」按鈕會啟動 TestConnection 服務,這會用到下列參數:
參數 | 基礎類型 | 描述 |
|---|---|---|
userName | STRING | Active Directory 中的使用者名稱。 |
password | STRING | Active Directory 使用者的加密密碼。 |
protocol | STRING | 使用的結構描述 (LDAP 或 LDAPS)。 |
server | STRING | Active Directory 實例的主機或 IP 位址。 |
port | INTEGER | Active Directory 實例的埠。 |
連線測試的結果會在 result 中傳回,其為 INFOTABLE,包含下列資訊:
• status:(布林值) 指示是否成功連線到 Active Directory。
• message:(字串) 提供測試失敗原因之任何實用資訊的訊息。
| | 若已啟用動態使用者登入,則不會使用「管理主體名稱」與「管理密碼」,並隱藏「核對」按鈕。 |