與已建立企業目錄服務的整合
Windchill Organization Services 是 Windchill 子系統,負責提供及管理主參與者 (使用者、群組及組織) 的相關資訊。「Windchill 組織服務」會與基於 LDAP 的目錄整合以獲取並維護有關使用者、群組及組織的資訊。每個 Windchill 主參與者的相關資訊的主要來源就是 LDAP 目錄服務。在此層級上與基於 LDAP 的目錄的整合可讓 Windchill 與其他企業應用程式相容,這些應用程式會從 LDAP 目錄服務 (包括 Web 伺服器、企業電子郵件、單一登入解決方案及公開金鑰架構 (PKI,Public Key Infrastructure)) 獲取有關主參與者的資訊。
對主參與者採用目錄化的管理具有許多優點,其中包括:
• 可在企業中實現單一使用者登入。當多個企業應用程式對照一般的共用目錄服務來驗證其使用者時,就實現了單一使用者登入的概念。如此便可省去為每個企業應用程式 (或是部署在企業中的每個 Windchill 安裝) 建立並維護單獨使用者名稱及密碼的必要。
• 將管理成本降到最低。當多個目錄化應用程式從單一共用的目錄服務獲取其有關主參與者的資訊時,就不需要在多個位置複製、維護或同步處理這些資訊了。此外,也不需要部署及維護用於建立及管理這些資訊的多個使用者介面。
• 啟用公開金鑰架構。要基於數位簽名技術在企業內部及企業之間進行企業資料的安全交換,需要在一個易於存取及維護的位置註冊公開金鑰。共用的標準型目錄服務 (例如 LDAP 目錄) 是非常方便的公開金鑰的註冊方法。個人的公開金鑰可以在目錄項目中與描述此人的所有其他資訊 (例如,名稱、電子郵件及郵寄地址、電話及傳真號碼等等) 一起註冊。
使用者資訊
Windchill 類別 wt.org.WTUser 可為應用程式提供有關其使用者的資訊。每個 Windchill 使用者在 LDAP 目錄服務中都有一個項目。wt.org.WTUser 的實例所傳遞的資訊是從相應使用者的 LDAP 目錄項目中取得的。特別是,此類別的每一實例均提供有關其使用者的下列資訊:
name
在使用者項目所在的目錄前後關聯範圍內,指定使用者的具唯一性名稱。
fullName
指定使用者的全名。
eMail
指定使用者的電子郵件位址
locale
指定使用者的地區設定,主要用於產生寄給使用者的電子郵件通知。
certificates
指定為使用者註冊的任何公開憑證 (例如,用於驗證數位簽名或是用於加密只有該使用者才能解密的資訊)。
postalAddress
指定使用者的郵寄地址。
organizationName
指定使用者所屬或相關聯之組織 (例如,公司或大學) 的名稱。
telephoneNumber
指定使用者的電話號碼。
faxNumber
指定使用者的傳真號碼。
mobilePhoneNumber
指定使用者的手機號碼。
webSite
指定使用者網站的 URL。
群組資訊
Windchill 類別 wt.org.WTGroup 可為應用程式提供與相關使用者群組有關的資訊。每個 Windchill 群組在 LDAP 目錄服務中都有一個項目。wt.org.WTGroup 的實例所傳遞的資訊是從相應群組的 LDAP 目錄項目中取得的。特別是,此類別的每一實例均提供有關群組的下列資訊:
name
在群組項目所在的目錄前後關聯範圍內,指定群組的具唯一性名稱。
description
提供組織的有關說明文字。
members
指定作為組織成員的使用者或群組。
組織資訊
Windchill 類別 wt.org.WTOrganization 可為應用程式提供與組織 (例如,公司、大學或是政府機構) 有關的資訊。Windchill 所參照的每個組織在 LDAP 目錄服務中都有一個項目。wt.org.WTOrganization 實例所傳遞的資訊是從組織的相應 LDAP 目錄項目中取得的。特別是,此類別的每一實例均提供有關組織的下列資訊:
name
在組織項目所在的目錄前後關聯範圍內,指定組織的具唯一性名稱。
organizationIdentifier
指定以其註冊組織的全域具唯一性識別元。這可能會是 DUNS 號碼、ISO 組織識別元,或是一般識別碼。
description
提供群組的有關說明文字。
members
指定作為群組成員的使用者或巢狀群組。
administrator
指定作為組織系統管理員的使用者或群組。
classification
指定組織的業務類別。
conferencingIdentifier
指定與 conferencingURL 屬性搭配使用的識別元,以建立或同意參加組織所排定的集會和會議。
conferencingURL
指定可用來建立或同意參加組織所排定之集會和會議的服務 URL。
internetDomain
指定與組織相關聯的 Web 網域的名稱。
location
指定組織的郵寄地址。
subscriber
指定組織是否為 Windchill 所主持之 Web 交換的訂閱者。
webSite
指定組織網站的 URL。
雖然與每個使用者、群組和組織有關的所有詳細資訊均來自 LDAP 目錄,但是與每一項有關的部分資訊也儲存在 Windchill 資料庫中。每一個這樣的資料庫項目主要是作為 LDAP 目錄項目的指標,但是它也包含與使用者、群組或組織 (例如,主參與者所在的 Windchill 系統管理網域) 有關的 Windchill 特定資訊,此外,它還允許建構使用者、群組和組織的 Windchill 物件參照,並使其與其他 Windchill 物件類別 (例如,建立者、修改者,以及零件和文件的擁有者參考) 相關聯。
Windchill Organization Services 負責與 LDAP 目錄進行對接,以查詢並管理 Windchill 主參與者的相關資訊。這包括向 Windchill 類別 wt.org.WTUser、wt.org.WTGroup 和 wt.org.WTOrganization 對應以及從中對應目錄屬性。其中還包括自動建立和管理資料庫項目,這些項目會參考目錄服務中的項目或主參與者。
隨附及協力廠商目錄服務
Windchill 從 LDAP 目錄服務中取得有關使用者與群組以及系統基礎結構的資訊。這包括 Info*Engine 組態資訊以及與 Windchill 任務指派及資訊存放庫有關的資訊。
Windchill 使用標準型目錄服務 API 與 LDAP 目錄服務進行通訊。因此,Windchill 在理論上能夠存取任何實行網際網路標準 LDAP 版本 3 通訊協定的目錄服務並與其互動。不同的 LDAP 型目錄產品之間的確存在差異。例如,各種 LDAP 目錄實行所支援的可擴充性、效能特性,以及延伸結構描述都不盡相同,因此 Windchill 會對它所支援的目錄解決方案施加某些限制。
Windchill 包括且需要為 Windchill Directory Server 命名的隨附 LDAP 目錄伺服器。Windchill Directory Server 符合 Windchill 的所有目錄服務需求,且可以保留有關 Windchill 使用者與群組的資訊,以及 Windchill 的所有目錄型基礎結構資訊。事實上,Windchill 要求由 Windchill Directory Server 保存其基礎架構資訊。另一方面,如果需要,Windchill 允許將使用者與群組相關資訊保存在另一 LDAP 目錄中。
這樣,就可以將 Windchill 配置為與多個 LDAP 目錄伺服器同時互動。這些目錄伺服器中,必須至少有一個是 Windchill Directory Server,並且 Windchill Directory Server 必須包含 Windchill 的所有目錄型基礎結構資訊 (例如,Info*Engine 組態屬性,以及 Windchill Federation 組態資訊)。Windchill 可以從任何符合網際網路 LDAP 版本 3 標準的 LDAP 目錄服務 (包括但不限於 Windchill Directory Server) 中取得與使用者及群組有關的資訊。由於 Windchill 必須能夠更新 Windchill 群組與組織資訊,因此此資訊必須儲存在 LDAP 伺服器 (例如 Windchill Directory Server) 中,以提供 Windchill 的完整存取權。
使用企業目錄服務的組態選項
可供維護使用者、群組與組織資訊的企業目錄服務組態選項如下所示:
|
選項一
|
|
描述
|
議題
|
|
您可以將現有 LDAP 目錄使用者、群組與組織資訊匯入到 Windchill Directory Server 中。因此,所有使用者、群組與組織資訊皆位於 Windchill Directory Server 中。
|
必須就使用者、群組與組織資訊的發佈和操作性維護做出決定。您必須決定是否要在多個位置管理資訊,以及如何將資訊發佈給資訊的使用者。例如,必須建立哪些目錄同步程序以使 Windchill Directory Server 中的資訊保持最新狀態?
|
|
選項二
|
|
描述
|
議題
|
|
會在一或多個單獨的 LDAP 目錄中維護使用者資訊。使用此選項時,Windchill Directory Server 會保存群組及組織資訊,而其他 LDAP 目錄則將保存使用者資訊。
此選項允許在不同目錄之間分割使用者資訊,進而解決有關在多個目錄中維護及發佈使用者資訊的「選項一」問題。
|
您必須選擇要使用哪些使用者管理工具。作為使用 Windchill 管理工具的替代方法,您可以使用所選擇的 LDAP 管理工具在企業目錄中維護資訊。然而,如果您使用 Windchill 管理工具,則 Windchill 將要求現有 LDAP 目錄的寫入權限。
如需有關 Windchill 管理工具的其他資訊,請參閱 基本管理。 |
還有許多其他解決方案,這些方案需要具備有關在複雜的安全環境中部署多個 Web 伺服器及多個 LDAP 目錄的知識及專業技能。擁有現有 LDAP 目錄的大多數客戶會發現「選項二」是複雜性最低的解決方案。以下主題將說明如何實行「選項二」。