当创建用户时,他们将自动继承分配给其 Active Directory 安全组的角色。 在用户登录或后台过程中同步用户和角色之前,先创建映射。

先决条件

要完成此任务,您必须拥有指定的 AAE_Admin 角色。 确保您以管理员身份登录到 Control Room
注: Automation 360 通过允许所有权限为非默认且可编辑,支持自定义角色创建。 但是,对于 v30 之前的版本,系统创建的角色(例如 AAE_Admin)是强制性的。 有关更多信息,请参阅 系统创建的角色
注: Active Directory 集成支持在 On-Premises 部署上进行。
为了创建角色映射,管理员需要提供以下信息:
  • 唯一映射名称。
  • 安全组将从中提取凭据的目标域(有关详细信息,请参阅 um.properties)。
注: 为了避免导入长用户列表,建议在 AD 端创建一个特定的安全组,该组仅包含将访问 Control Room 的用户。
将单个或多个 AD 安全组映射到一个或多个 Control Room 角色。 创建您想用于 Active Directory 安全组的任何角色。 您还可以使用 Control Room 中提供的默认角色。.
注: 建议不要使用 AAE_Admin 角色。

过程

  1. 登录到 Control Room
  2. 导航到管理 > 角色
  3. 单击 Active Directory 角色映射
  4. 单击创建角色映射
  5. 输入名称
  6. 单击 Active Directory 域下拉列表,然后选择可用域。
  7. 使用 Active Directory 安全组字段搜索组。
    例如,如果您有一个名为 Certified Publishers 的组,请搜索 Certified。 名称中包含 Certified 的所有组都列在 GROUPS 中。
  8. 选择导入用户不导入用户
    选项结果
    导入用户 将创建为所选安全组分配的所有用户,并在 Control Room 中分配映射的角色和许可证。 如果用户已经存在于 Control Room 中,他们将根据映射中的最新角色和许可证进行更新。

    如果同步过程已启用并触发,现有的 Control Room 用户将拥有映射中更新后的角色和许可证。

    如果在 Active Directory 端的安全组中添加了新用户,这些用户将在 Control Room 中创建。

    如果有用户从安全组中移除,这些用户将从 Control Room 中删除。
    不导入用户
    创建角色映射后,将不会在 Control Room 中创建任何用户。 此映射在此部署中的使用方式:
    • 在创建用户配置页面上,当您创建新用户时,如果任何用户安全组映射到现有角色映射,则角色将自动分配给新用户。
    • 如果同步过程已启用并触发,任何现有的 Control Room 用户(其安全组映射到任何角色映射)都将获得角色分配更新。

    从不同域控制器为多个安全组创建多个 Active Directory (AD) 角色映射时,映射中使用的角色会合并到属于安全组的用户中。

    请考虑以下示例:
    • AD 映射 1 = 角色 Y – 组 Y – 用户 A、用户 B、用户 C
    • AD 映射 2 = 角色 Z – 组 Z – 用户 A、用户 D、用户 E
    Active Directory 中,用户 A 是组 Y 和组 Z 的成员。 将在 Automation 360 中创建用户 A,并分配角色 Y 和角色 Z。如果删除 AD 映射 2,则用户 A 的角色 Z 将被移除。然而,用户 A 将继续使用角色 Y。
    注: 在创建映射并从导入用户选项切换到不导入用户选项后,系统将保留之前分配给用户的许可证。
  9. 单击向右箭头 () 以添加您的选择。
  10. 可用角色列表中选择所需的角色。
  11. 单击向右箭头 () 以添加您的选择。
  12. 选择要分配给安全组的设备许可证。
    仅在选择导入用户选项时才支持许可证映射。
    注: 不导入用户选项不支持许可证分配。 管理员将需要为用户手动映射许可证。 如果在同步过程中映射中定义的任何许可证变得不可用(许可证不足),将不会为用户分配许可证。 因此,在创建映射之前,请确保有足够的许可证。

    您可以在被设置为您的 bot 运行设备的设备上运行自动化,也可以从您拥有消费者权限的设备池中运行自动化(创建用户)。 使用 Active Directory 角色映射时,如果您希望任何映射的 Active Directory 用户能够使用多个设备,则必须配置设备池(创建设备池)。

  13. 单击创建映射
    注: 当启用 AD 角色映射时,您无法手动为 AD 映射用户添加角色。

当同步运行时,具有指定角色的所有用户都会更新。