身份验证设置

身份验证设置 ，您可以配置轻型目录访问协议 (LDAP) 以连接到组织的 Active Directory 环境。此区域仅在您是管理员时才可用。

在配置连接之前，您需要考虑组织的 Active Directory 环境中的用户数量。默认情况下，LDAP 服务器限制可同步到 10,000 的用户数量。此限制由 LDAP 服务器上的 MaxTempTableSize 值控制。如果用户超过 10,000 个，您需要在与 Hub 同步之前增加限制，否则同步将失败，您将无法选择导入 Hub 的用户。有关增加 MaxTempTableSize 值的更多信息，请参阅 Microsoft 文章：
https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/view-set-ldap-policy-using-ntdsutil

要打开“身份验证设置”页面，请点击您的基本信息图标以打开“设置”页面，然后点击身份验证设置。

“身份验证设置 ”页面为您提供以下信息和功能：

1. 编辑视图—定义显示的列。然后，您可以使用切换开关显示或隐藏列。

2. 筛选器—筛选显示的信息。然后，您可以打开所需的筛选器并输入或选择相应的显示信息，例如，您可以打开 域过滤器并输入域名。

3. 保存视图—保存当前列设置。您可以输入视图的名称，以便在加载视图时轻松识别。

4. 加载视图—加载已保存的视图。您可以选择所需的视图，然后点击应用。

5. 新增—添加新连接。
6. 编辑—编辑选定的连接详细信息。
7. 重新同步—通过 Hub 重新同步用户。如果将新用户添加到 Active Directory，您需要执行此操作。

8. 状态—当您根据连接状态选择连接时，此图标会改变。

9. 删除—删除选定的连接。您只能删除已停用的连接。

10. 每页行数—输入数字，或使用向上箭头和向下箭头更改页面上的行数。

11. 上一页和下一页—点击上一页或下一页可浏览页面.

添加新连接

如果将多个 LDAP 连接添加到包含相同用户（例如名称、电子邮件地址和域）的 Hub，这将创建重复用户，从而可能导致出现登录问题。在下述程序中同步用户时，请确保仅选择需要防止导入重复用户的用户。

1. 在“身份验证设置 ”页面上，点击新增。

   系统会显示“创建身份验证连接”页面。

   

2. 填写“配置”字段：

   • 连接名称—您希望使用的连接名称。

   • 域—您要连接的域名称，例如“bp”。

     请勿使用您的域的完全限定域名 (FQDN)。您必须使用短名称格式。

   • LDAP 服务器—LDAP 服务器的主机名称，例如 blueprism-srv1.local。

   • 端口号—它所操作的端口号，默认为端口 389。

   • 加密端口—如果要加密端口，请选择此选项。如果您使用端口 636（LDAPS 端口），则应启用此选项。

   • 基本 DN—系统开始在 Active Directory 内查找用户的起始点，例如 dc=blueprism, dc=local。

3. 填写“查询绑定”字段：

   • 超时—系统等待从 Active Directory 服务器获得响应的超时时间（以秒为单位）。
   • 查询绑定用户名—可以访问组织的 LDAP 系统的 Active Directory 用户。
   • 查询绑定密码—Active Directory 用户的密码。

4. 填写“属性”字段。此部分的目的是将 Active Directory 属性映射到 Hub 字段。这些字段中输入的文本必须与 Active Directory 中用户基本信息内的命名属性匹配。您可以使用 Active Directory 用户和计算机 (ADUC) 工具查找用户属性，方法是选择用户，然后点击属性编辑器选项卡以查看属性到值的映射。

   • 用户名—用户名的 Active Directory 属性名称，例如“SAMAccountName”。
   • 名字—用户名字的 Active Directory 属性名称，例如“givenname”。
   • 姓氏—用户姓氏的 Active Directory 属性名称，例如“sn”。
   • 电子邮件—用户电子邮件的 Active Directory 属性名称，例如“mail”。

5. 要测试一切设置是否正确，请在测试用户名字段中输入用户名，然后点击查找用户。在测试用户名字段中输入的文本必须与 Active Directory 属性的文本格式匹配。例如，如果用户名设置为：

   • “SAMAccountName”，则测试数据可能采用 domain\user 格式。
   • “name”，则测试数据可能采用 user 格式。

   系统将检索关联的信息，然后将其填入相应的“属性”字段。

6. 点击创建身份验证连接。

   系统会显示一条通知消息，确认连接成功，并提示您导入用户。

7. 点击是，立即同步。或者，您也可以选择否，稍后通过 中的流程进行同步。

   系统会显示一则消息，指示找到的用户数量。

   导入大量（例如，数万）用户时，数据库 AuthenticationServerDB、HubDB 和 InteractDB 的数据库事务日志文件将增大。如果这三个数据库中任何一个的事务日志文件的大小受到限制，要么文件大小上限太小，要么文件大小不允许增大，则导入可能会失败。因此，建议您为数据库事务日志文件启用自动增长设置，并将增长设置设为 1024 MB，同时确保设置足够的大小上限以防止导入失败。有关自动增长的更多信息，请参阅 Microsoft 的文档。

8. 点击继续。

   系统会显示用户列表。由于您需要为所需用户配置权限和角色，因此这些内容尚未导入 Hub。

9. 选择用户以导入并分配相应的 Hub 角色和/或任何 Interact 职责。

   如果您将用户配置为具有 Hub 管理员角色，则他们将有权访问 Hub 的所有插件和功能（包括创建新数据库与 LDAP 连接以及其他安全功能），因此请务必谨慎分配此角色。

10. 为所有必需用户重复此操作。

11. 点击保存访问权限和角色。

    系统仅保存已定义其角色和权限的用户，并显示“用户”页面，其中会显示新用户。

编辑连接

1. 在“身份验证设置”页面上，选中所需连接对应的复选框。
2. 点击编辑。
3. 根据需要编辑信息。您无法更改域、LDAP 服务器、端口号或基本 DN。
4. 点击“保存”。

同步 Active Directory 用户

导入大量（例如，数万）用户时，数据库 AuthenticationServerDB、HubDB 和 InteractDB 的数据库事务日志文件将增大。如果这三个数据库中任何一个的事务日志文件的大小受到限制，要么文件大小上限太小，要么文件大小不允许增大，则导入可能会失败。因此，建议您为数据库事务日志文件启用自动增长设置，并将增长设置设为 1024 MB，同时确保设置足够的大小上限以防止导入失败。有关自动增长的更多信息，请参阅 Microsoft 的文档。

将其他用户添加到 Active Directory 时，这些用户必须与 Hub 同步。

1. 在“身份验证设置”页面上，选中所需连接对应的复选框。

2. 点击重新同步。

   用户列表上方会显示一则消息，其中对比显示了已同步用户的数量（这些用户在 Active Directory 中拥有有效信息—名字、姓氏、用户名和电子邮件）与找到的用户总数。列表中仅显示已同步的用户。您需要为所需用户配置权限和角色。

   

   有关为 Hub 提供名字、姓氏、用户名和电子邮件的 Active Directory 属性的更多信息，请参阅 。Hub 将仅同步在所有映射属性中具有信息的用户。

3. 选择要添加到 Hub 用户群的所需用户，分配相应的 Hub 角色和/或任何 Interact 职责。
4. 为所有必需用户重复此操作。

5. 点击保存访问权限和角色。

   系统仅保存已定义其角色和权限的用户，并显示“用户”页面，其中会显示新用户。

停用和恢复连接

停用连接不会影响相关用户的状态—用户仍可登录并使用此应用程序。可以通过删除连接来停用与 LDAP 连接相关联的所有用户。

1. 在“身份验证设置”页面上，选中所需连接对应的复选框。

   如果连接：

   • 已激活，状态图标显示为停用。
   • 已停用，状态图标显示为激活。
2. 要停用连接：

   1. 点击停用。

      系统会显示一则消息，要求您确认。

   2. 点击是。

      连接已停用，停用图标变为启用。

3. 要启用已停用的连接，请点击启用。

   连接将立即恢复，并且激活图标会变为停用。

   您可以使用已启用筛选器来筛选已停用的连接列表。

删除连接

您只能删除已停用的连接。

1. 在“身份验证设置”页面上，选中所需连接对应的复选框。

2. 点击删除。

   系统会显示一则消息，要求您确认。

3. 点击是。

   该连接将删除，与其关联的所有用户将停用。