管理 Active Directory 角色映射
- Updated: 2023/03/15
具有查看和管理角色权限的管理员或用户可以查看可用 Active Directory 角色映射的详细信息。
先决条件
确保您以管理员身份登录到 Control Room。
默认情况下,Control Room 将从用户目录中检索所有安全组。
要为用户目录以及其他组织单元 (OU) 创建带有过滤器的角色映射,您必须更新 um.properties 文件。 在 Control Room 中,用户目录被认为与 OU 相似。 因此,您必须在 um.properties 文件中定义过滤器。
um.ldap.groupmapping.domain.filter='mydomain.com:OU1&groupFilter|OU2&groupFilter|Users&groupFilter'
- 转到域名 mydomain.com
- 从组织单位 OU1 中检索所有组名以 groupFilter 开头的安全组。
- 从组织单位 OU2 中检索所有组名以 groupFilter 开头的安全组。
- 从用户目录中检索所有组名以 groupFilter 开头的安全组。
此设置确保除了用户目录之外,系统还将从组织单位 OU1
和 OU2
中检索用户。
在 um.properties 文件中定义的过滤器存储在数据库中。 当您更新到 Control Room 的新版本时,Control Room 会引用数据库中存储的过滤器,因为随安装附带的默认 um.properties 文件将不包含这些过滤器。 如果您在默认 um.properties 文件中定义了新的过滤器,Control Room 会引用 um.properties 文件中定义的过滤器,并覆盖数据库中存储的过滤器。
多域映射
映射支持用逗号分隔的多个域。
um.ldap.groupmapping.domain.filter='mydomain.com:OU1&groupFilter|OU2&groupFilter|Users&groupFilter,mydomain2.com:OU3|OU4'
- 转到域名 mydomain2.com
- 从组织单元 OU3 中检索所有安全组。
- 从组织单元 OU4 中检索所有安全组。
从嵌套的 OU 中检索安全组
从嵌套的 OU 中检索安全组的示例。
在下面的示例组织中,将“营销”视为父 OU,具有其他嵌套的 OU 和安全组,这些安全组位于这些嵌套的 OU 中的每个嵌套的 OU 中。
- 营销
- 组 1
- 组 2
- US_OU
- 组 3
- California_OU
- 组 4
- NoCal_OU
- 组 5
- SoCal_OU
- 组 6
um.ldap.groupmapping.domain.filter='mydomain.com:Marketing'
Active Directory 角色映射
导航到 Control Room 中创建的任何角色映射。 您可以查看或编辑角色映射。 您还可以在 Control Room 和 Active Directory 之间创建新的角色映射或重新启动角色同步过程。
,页面将显示在启用后,此同步过程默认每天触发一次(1440 分钟)。 您可以通过更改分钟数来触发同步。 我们建议您将时间间隔设置为大于默认值。
- 您应该将时间间隔设置为大于默认设置的值 1440 分钟。
- 同步过程映射和用户是资源密集型过程。 我们建议您保持简短的组列表,并在 Active Directory 上为每个组分配特定用户,避免任何可扩展性问题。
- 不要在同一个系统中同时使用导入和不导入映射,因为这可能会使场景复杂化,并使排查工单问题变得更加困难。
- 如果同时定义了导入和不导入映射,并且用户同时包含在这两个映射中,则导入映射优先于不导入映射。
请考虑以下示例:
- AD 映射 A = 角色 A - 组 A - 将此组中的用户导入到 Automation 360
- AD 映射 B = 角色 B - 组 B - 不导入此组中的用户
用户 D 包含在 Active Directory 中的组 A 和组 B 中。
用户 D 将在 Automation 360 中创建,并将被分配给角色 A。
- AD 映射 A = 角色 A - 组 A - 将此组中的用户导入到 Automation 360
- AD 映射 B = 角色 B - 组 B - 不导入此组中的用户
- AD 映射 C = 角色 C - 组 C - 将此组中的用户导入到 Automation 360
用户 D 包含在 Active Directory (AD) 中的组 A、组 B 和组 C 中。
用户 D 将在 Automation 360 中创建,并将被分配给角色 A 和角色 C。
- 开发
- 运行时
- 有人值守运行时
- 公民开发者
通过在 um.properties 文件中添加首选关键字作为新条目,您可以更改默认设备许可证。
关键字 | 许可证 |
---|---|
开发 | Bot Creator |
运行时 | 无人值守 Bot Runner |
有人值守运行时 | 有人值守 Bot Runner |
公民开发者 | Citizen Developer |
如果用户被映射到多个映射,并且这些映射对于不同的自动登录选项(启用或禁用)具有相同的设备许可证,那么自动登录配置将覆盖这些设置。 因此,我们建议您在相同设备许可证的所有映射中保持自动登录选项一致。
um.ldap.groupmapping.sync.on.get.mappings=true
。 当您同步 Active Directory 和 Control Room 之间的角色映射时,就会发生角色映射的验证。您可以在被设置为您的 bot 运行设备的设备上运行自动化,也可以从您拥有消费者权限的设备池中运行自动化(创建用户)。 使用 Active Directory 角色映射时,如果您希望任何映射的 Active Directory 用户能够使用多个设备,则必须配置设备池(创建设备池)。