1. 内容概述
默认使用的当前安全提供程序是内置帐户,用户登录验证是基于Wyn中的用户信息.
即只有用户输入的用户名和密码与Wyn中已经定义的用户名和密码匹配时,用户才能成功登录Wyn。
另一个内置的安全提供程序是Windows活动目录,它允许用户使用Windows活动目录的账号登录Wyn系统。
2. 配置Windows活动目录
如果需要允许Windows活动目录的用户登录Wyn系统,请按照以下步骤配置活动目录。
(1) 管理员进入后台管理的“用户安全提供程序”页面。
(2) 单击“+添加用户提供程序”。
(3) 选择“AD Security Provider”,单击“保存”。
(4) 设置配置信息。
| 设置项 | 说明 |
|---|---|
| 服务器地址 | 提示的字串 LDAP://HOST:389/DC=DOMAIN,DC=COM 中:HOST为域控制器的IP地址,如10.32.6.51 DC=DOMAIN,DC=COM 为DNS域名的分解,比如,如果您的域名为 grapecity.cn ,那么请改为 DC=grapecity,DC=cn |
| 管理员用户名 | 活动目录的登录账户,建议使用管理员账户。可形如username@domain.name,如 admin@grapecity.cn。 |
| 管理员密码 | 登录账户的密码。 |
| 管理员组名称 | 指定活动目录中的管理员工作组。 指定后将与Wyn系统中管理员角色对应,此组内的用户登录Wyn系统后将可以进入系统管理后台进行系统管理。 |
| 使用安全连接 | 选择是否启用安全连接。 |
| 用户上下文属性 | 指定活动目录账户中可作为用户上下文的属性信息,需添加多个属性值时请使用英文逗号分隔。 |
| 登录测试 | 使用AD中的账户和密码进行登录测试,检验配置是否成功。 |
(5) 保存设置。之后即可使用【用户名】或【用户名@域名】 登录Wyn系统,如张三 或 zhangsan@grapecity.cn 。
3. 活动目录用户权限控制
将Windows活动目录添加到用户安全提供程序后,活动目录中的用户即可登录Wyn系统。
登录后,每个用户默认拥有系统中“Everyone”角色的权限。
Wyn系统通过用户角色来进行权限控制,因此如需对AD用户进行权限控制,则需在Wyn中建立与AD用户组同名的角色,以此映射来进行权限管理。
比如,AD中的组织结构如下:
其中“西安人事部”和“西安销售部”是西安事业部中的两个组。
为了分别管理两个组的权限,需要在Wyn后台管理中添加同名的角色,并赋予不同的权限。有关用户角色的详细介绍,详见角色管理。
创建成功后,AD用户组中的用户登录Wyn系统即拥有同名角色的权限。
如“西安销售部”组中的用户登录系统后,则拥有创建/查看仪表板、创建/查看报表的权限以及Everyone角色具有的权限。
提示
- 在Wyn中仅需要创建同名角色,无需为角色添加成员用户。
- 另外,AD组之间支持权限的继承关系。比如,在AD中将“西安人事部”添加到“西安销售部”组中,那么在Wyn系统中“西安人事部”中的用户也将拥有“西安销售部”角色的权限。
4. User Context用法示例
在配置AD Security Provider时,有一个配置项为“用户上下文属性”。如下图所示,配置了AD用户属性中的“mail”属性作为用户上下文。
如需添加多个属性值时请使用英文逗号分隔。
其对应AD用户的属性如下图:
用户属性中“常规”选项卡中各属性对应的属性名如下:
| 选项卡项名 | 属性名 | 备注 |
|---|---|---|
| 名称 | name | 在同一节点下唯一,string |
| 姓(L) | sn | string |
| 名(F) | givenName | string |
| 英文缩写(I) | initials | string |
| 显示名称(S) | displayName | 域内不唯一,但是在同一个组织单位内唯一 |
| 描述(D) | description | string |
| 办公室(C) | physicalDeliveryOfficeName | string |
| 电话号码(T) | telephoneNumber | string |
| 电子邮件(M) | string | |
| 网页(W) | wWWHomePage | string |
提示
表中仅为您列举了AD用户的常规选项卡属性,其他选项卡中的属性也可作为用户上下文属性。由于使用频率较低,便不一 一介绍。
接下来以“mail”即“电子邮件”属性为例为您介绍,在用户安全提供程序配置页面中配置后,如何在Wyn中应用。
(1) 添加扩展属性“mail”,有关扩展属性的详细介绍,请参见扩展属性。
(2) 添加扩展属性后,会自动生成一个对应的用户上下文属性,可在用户上下文属性管理界面进行查看。代表该属性可以用作数据过滤等用途。
(3) 我们以一个简单的示例来说明Wyn系统中已经获取到了AD用户的mail信息。
比如新建报表,添加一个文本框组件,并在文本框组件内输入表达式:{UserContext.GetValue("mail")}
(4) 此时预览报表,结果为空,是因为当前为admin管理员账户,mail信息为空。
将此报表保存后并分享给Everyone角色(为该角色开启查看报表的权限)。
使用AD账户张三登录后,查看报表即可看到当前登录用户的mail信息。
