具有查看和管理角色权限的管理员或用户可以查看可用 Active Directory 角色映射的详细信息。

先决条件

确保您以管理员身份登录到 Control Room

默认情况下,Control Room 将从用户目录中检索所有安全组。

要为用户目录以及其他组织单元 (OU) 创建带有过滤器的角色映射,您必须更新 um.properties 文件。 在 Control Room 中,用户目录被认为与 OU 相似。 因此,您必须在 um.properties 文件中定义过滤器。

例如,在文件中设置过滤器,如下所示:
um.ldap.groupmapping.domain.filter='mydomain.com:OU1&groupFilter|OU2&groupFilter|Users&groupFilter'
注: groupFilter 等组过滤器是可选的。
在此示例中,将此更改应用于 um.properties,指示 Control Room 执行以下任务:
  1. 转到域名 mydomain.com
  2. 从组织单位 OU1 中检索所有组名以 groupFilter 开头的安全组。
  3. 从组织单位 OU2 中检索所有组名以 groupFilter 开头的安全组。
  4. 从用户目录中检索所有组名以 groupFilter 开头的安全组。

此设置确保除了用户目录之外,系统还将从组织单位 OU1OU2 中检索用户。

推荐: 使用过滤器来缩小组显示范围,因为显示较多组会改变性能并使故障排除变得困难。

um.properties 文件中定义的过滤器存储在数据库中。 当您更新到 Control Room 的新版本时,Control Room 会引用数据库中存储的过滤器,因为随安装附带的默认 um.properties 文件将不包含这些过滤器。 如果您在默认 um.properties 文件中定义了新的过滤器,Control Room 会引用 um.properties 文件中定义的过滤器,并覆盖数据库中存储的过滤器。

多域映射

映射支持用逗号分隔的多个域。

um.ldap.groupmapping.domain.filter='mydomain.com:OU1&groupFilter|OU2&groupFilter|Users&groupFilter,mydomain2.com:OU3|OU4'
在上面的示例中,Control Room 将执行其他过程:
  1. 转到域名 mydomain2.com
  2. 从组织单元 OU3 中检索所有安全组。
  3. 从组织单元 OU4 中检索所有安全组。

从嵌套的 OU 中检索安全组

从嵌套的 OU 中检索安全组的示例。

在下面的示例组织中,将“营销”视为父 OU,具有其他嵌套的 OU 和安全组,这些安全组位于这些嵌套的 OU 中的每个嵌套的 OU 中。

  • 营销
    • 组 1
    • 组 2
    • US_OU
      • 组 3
      • California_OU
        • 组 4
        • NoCal_OU
          • 组 5
        • SoCal_OU
          • 组 6
通过添加以下条目,Control Room 将从“营销”和嵌套的 OU 中检索所有组,即组 1、组 2、组 3、组 4、组 5 和组 6。
um.ldap.groupmapping.domain.filter='mydomain.com:Marketing'
注: 不支持在条目中提供嵌套的 OU。

Active Directory 角色映射

导航到 管理 > > 角色 > Active Directory 角色映射,页面将显示在 Control Room 中创建的任何角色映射。 您可以查看或编辑角色映射。 您还可以在 Control RoomActive Directory 之间创建新的角色映射或重新启动角色同步过程。

启用后,此同步过程默认每天触发一次(1440 分钟)。 您可以通过更改分钟数来触发同步。 我们建议您将时间间隔设置为大于默认值。

建议:
  • 您应该将时间间隔设置为大于默认设置的值 1440 分钟。
  • 同步过程映射和用户是资源密集型过程。 我们建议您保持简短的组列表,并在 Active Directory 上为每个组分配特定用户,避免任何可扩展性问题。
  • 不要在同一个系统中同时使用导入不导入映射,因为这可能会使场景复杂化,并使排查工单问题变得更加困难。
  • 如果同时定义了导入不导入映射,并且用户同时包含在这两个映射中,则导入映射优先于不导入映射。

    请考虑以下示例:

    • AD 映射 A = 角色 A - 组 A - 将此组中的用户导入到 Automation 360
    • AD 映射 B = 角色 B - 组 B - 不导入此组中的用户

    用户 D 包含在 Active Directory 中的组 A 和组 B 中。

    用户 D 将在 Automation 360 中创建,并将被分配给角色 A。

    • AD 映射 A = 角色 A - 组 A - 将此组中的用户导入到 Automation 360
    • AD 映射 B = 角色 B - 组 B - 不导入此组中的用户
    • AD 映射 C = 角色 C - 组 C - 将此组中的用户导入到 Automation 360

    用户 D 包含在 Active Directory (AD) 中的组 A、组 B 和组 C 中。

    用户 D 将在 Automation 360 中创建,并将被分配给角色 A 和角色 C。

设备许可证冲突
当存在多个具有不同设备许可证的映射,并且用户被映射到所有这些映射时,确定将哪个设备许可证分配给用户变得困难,因为每个用户只允许一个设备许可证。 在此场景中,Control Room 支持您可以在 um.properties 文件中定义的首选有序列表。 设备许可证在 um.properties 文件中的默认配置为:um.ldap.groupmapping.device.license.preferable.order=Development:Runtime:AttendedRuntime:CitizenDeveloper。 映射分配将根据以下可用性顺序选择默认许可证:
  1. 开发
  2. 运行时
  3. 有人值守运行时
  4. 公民开发者

通过在 um.properties 文件中添加首选关键字作为新条目,您可以更改默认设备许可证。

下表列出了需要使用的设备许可证关键字,按优先顺序排列:
关键字 许可证
开发 Bot Creator
运行时 无人值守 Bot Runner
有人值守运行时 有人值守 Bot Runner
公民开发者 Citizen Developer

如果用户被映射到多个映射,并且这些映射对于不同的自动登录选项(启用或禁用)具有相同的设备许可证,那么自动登录配置将覆盖这些设置。 因此,我们建议您在相同设备许可证的所有映射中保持自动登录选项一致。

一个或多个与您的搜索条件匹配的可用角色映射将显示在角色映射表中。
注: 角色映射页面默认仅显示映射列表,不验证映射。 由于安全组和角色的更改不频繁,并且在网络缓慢或映射数量较多的工单情况下需要更多时间,因此页面仅显示映射列表。 要在角色映射页面配置默认验证,在 um.properties 文件中,添加以下条目:um.ldap.groupmapping.sync.on.get.mappings=true。 当您同步 Active DirectoryControl Room 之间的角色映射时,就会发生角色映射的验证。

您可以在被设置为您的 bot 运行设备的设备上运行自动化,也可以从您拥有消费者权限的设备池中运行自动化(创建用户)。 使用 Active Directory 角色映射时,如果您希望任何映射的 Active Directory 用户能够使用多个设备,则必须配置设备池(创建设备池)。