没有服务凭据的活动目录(单绑定)#
英格兰vs伊朗让球RStudio Connect可以与您公司的Active Directory (AD)基础架构集成,仅用于身份验证目的,使用LDAP身份验证提供者。
请注意
此集成不需要使用分配给RStudio Connect服务器的一组服务凭证。英格兰vs伊朗让球用户凭证将用于身份验证和获取用户自己的个人信息(姓名、电子邮件等)。但是,在这种模式下,不可能实现跨Active Directory的搜索功能,也不支持获得组成员关系。卡塔尔世界杯欧洲预选赛赛程表如果您的RStudio Connect用例英格兰vs伊朗让球需要搜索用户或组,我们建议配置RStudio Connect来使用带有服务凭据的活动目录
.
在此模式下,Active Directory组将不可用。但是,你仍然可以使用本地管理组在RS英格兰vs伊朗让球tudio Connect中组织您的用户,并将他们与这些组的内容关联起来。
没有服务凭证的Active Directory示例#
请注意
的高级LDAP / AD而且LDAP配置附录包含了关于每个LDAP配置选项的更详细的信息。
;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(认证)提供者=ldap[LDAP "无服务凭证的AD配置示例"];连接;对于遗留SSL (ldaps),请使用以下内容:ServerAddress=ldaps.company.com: 636TLS=真正的;或者对于TLS (StartTLS扩展)使用这些:;ServerAddress = ldap.company.com: 389;StartTLS = trueTLSCACertificate=/etc/ssl/cert/ca.pem;仅用于TLS/SSL测试目的:;ServerTLSInsecure = true;没有服务凭据或匿名绑定!;用户UserSearchBaseDN=“OU =用户,DC =例子,DC = com”UserObjectClass=“用户”UniqueIdAttribute=“objectGUID”;请注意,用户将必须使用他们的第一个和最后一个登录;该配置中的名称,而不是它们的用户名UsernameAttribute=“cn”UserEmailAttribute=“邮件”UserFirstNameAttribute=“givenName”UserLastNameAttribute=“锡”;在试图排除与LDAP相关的问题时,;您可以通过启用以下行来启用更详细的日志记录;日志= true
用户配置#
在第一次成功尝试登录时,将在RStudio Connect中创建Active英格兰vs伊朗让球 Directory用户。
英格兰vs伊朗让球RStudio Connect将收集用户的凭据并将其转发到Active Directory服务器,后者将验证身份验证。如果有效,远程用户的信息将返回到RStudio Connect服务器。英格兰vs伊朗让球
在RStudio Conn英格兰vs伊朗让球ect中分配用户角色.对象指定的角色为用户分配授权。DefaultUserRole
的设置或定义的对象用户角色映射如果配置。此外,管理员可以从仪表板内或通过User Manager CLI重新分配角色。
用户名#
用户名由您的Active Directory服务器控制。然而,RStudi英格兰vs伊朗让球o Connect对它支持的用户名施加了一些额外的限制:卡塔尔世界杯欧洲预选赛赛程表
- 包含正斜杠(
/
)不支持。卡塔尔世界杯欧洲预选赛赛程表 - 禁止使用以下值:
连接
,应用程序
,用户
,组
,向setpassword
,user-completion
,确认
,最近
,报告
,情节
,未发表的
,设置
,指标
,令牌
,帮助
,登录
,欢迎
,注册
,resetpassword
,内容
重复的用户名#
Active Directory中的用户名不需要是唯一的。中定义的属性唯一标识用户LDAP。UniqueIdAttribute
.(相同用户名的用户通过个人密码进行区分。)
重复的用户名是具有多个服务器的大型Active Directory部署的现实情况,这意味着在RStudio Connect中有多个Active Directory服务器配置。英格兰vs伊朗让球
警告
Active Directory全局编录配置还可以返回重复的用户名。然而,这发生在单个连接上,这意味着搜索一个用户名可能会返回多个结果。RStudio Connect目前不支持此配置。英格兰vs伊朗让球卡塔尔世界杯欧洲预选赛赛程表
请注意
当发布到英格兰vs伊朗让球同一个RStudio Connect主卡塔尔世界杯欧洲预选赛赛程表机时,RStudio Studio IDE不支持重复的用户名。但是,具有相同用户名的两个用户不太可能共享相同的IDE帐户或工作站。
没有服务凭据的用户名限制#
用户的DN必须包含用户名(例如,必须使用LDAP。UsernameAttribute
).
通常,大多数LDAP模式都有uid
(用户名)作为用户DN的一部分uid = johndoe, ou =人,dc =公司,dc = com
它可以与RStudio Connect完美地进行以下配英格兰vs伊朗让球置:
;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(LDAP“示例”)...UsernameAttribute=uid
但是,如果用户的DN为cn = John Doe, ou =人,dc =公司,dc = com
,但他们的实际用户名是johndoe
,由于缺少服务凭据所造成的限制,RStudio Studio配置必须是:英格兰vs伊朗让球
;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(LDAP“示例”)...UsernameAttribute=cn
并且,用户必须使用John Doe
(有空格)作为登录的用户名。
使用实际用户名(johndoe
),在这种情况下,您必须配置RStudio 英格兰vs伊朗让球Connect与Active Directory服务凭证。
用户属性#
需获取以下用户信息:
- 第一个名字。
- 姓。
- 电子邮件地址。
- 用户名。
每个字段可以使用不同的Active Directory属性,但通常,所有用户属性都是由Active Directory提供的,它们都应该出现在RStudio Connect配置中。英格兰vs伊朗让球
提示
如果您的Active Directory服务器不能提供其中的一些,请确保不要在RStudio Connect配置中定义各自的属性,以便用户可以手动输入配置文件信息。英格兰vs伊朗让球否则,配置文件值将无法在RStudio Connect中编辑,并且将保持空白。英格兰vs伊朗让球
当在您的Active Directory系统中对用户名、电子邮件地址或用户名进行更改时,这些更改将自动传播到RStudio Connect:英格兰vs伊朗让球
用户下次登录RStudio Connect时。英格兰vs伊朗让球
添加新用户时,在搜索结果中返回用户。
编辑用户属性#
用户名是身份验证的主要手段。因此,它在配置中是必需的,而且不可编辑。
缺省情况下,设置为授权。UserInfoEditableBy
值为AdminAndSelf
,允许用户和管理员管理这些未配置为由Active Directory管理的可编辑用户配置文件信息。
配置授权。UserInfoEditableBy
与管理
如果配置文件编辑应该仅限于管理员。
提示
如果禁用,建议禁用LDAP。RegisterOnFirstLogin
的值假
,您也可以配置授权。UserInfoEditableBy
来管理
.的值管理
指由管理员创建的用户,非管理员不能修改。
编辑用户角色#
用户角色仅在RStudio Connect中可编辑英格兰vs伊朗让球用户角色自动映射没有配置,Active Directory身份验证提供程序也没有配置为将角色作为用户配置文件的一部分发送。
用户角色自动映射#
英格兰vs伊朗让球RStudio Connect提供了在用户登录时将其用户信息映射到有效角色的方法。这可以通过将角色定义为用户配置文件的一部分来完成。
使用用户配置文件角色#
使用配置选项LDAP。UserRoleAttribute
通过身份验证提供程序的用户配置文件属性启用用户角色映射。
的授权。UserRoleMapping
如果从身份验证提供程序收到的值与的默认期望值不匹配,也应该使用配置选项查看器
,出版商
而且管理员
.
请注意
用户角色可以直接从身份验证提供程序使用,而不需要映射值,只要它只返回的值查看器
,出版商
而且管理员
在RStudio Connect中定义英格兰vs伊朗让球角色。
例子
不需要角色映射的LDAP记录uid:诡计rsc-role:管理员# 英格兰vs伊朗让球RStudio连接配置启用RUser[LDAP "我的LDAP服务器名"]UserRoleAttribute=rsc-role记录需要的角色映射uid: RUser2rsc-role: connect-administrator# 英格兰vs伊朗让球RStudio连接配置,启用RUser2[LDAP "我的LDAP服务器名"]UserRoleAttribute=rsc-role(授权)UserRoleMapping=真正的AdministratorRoleMapping=connect-administrator;PublisherRoleMapping = connect-publisher;假设值保持不变;ViewerRoleMapping = connect-viewer
在启用映射时,可以使用配置选项将每个角色映射到特定于您的组织的一个或多个值授权。ViewerRoleMapping
,授权。PublisherRoleMapping
,授权。管理istratorRoleMapping
.
在以下示例中,身份验证提供者返回部门名称:
;/etc/英格兰vs伊朗让球rstudio-connect / rstudio-connect.gcfg(授权)UserRoleMapping=真正的ViewerRoleMapping=“人力资源”ViewerRoleMapping=“市场营销”PublisherRoleMapping=“工程”AdministratorRoleMapping=“它”
多用户角色映射#
当配置的映射与用户之间存在多个匹配时
由身份验证提供者发送,选择拥有最多特权的角色。这种行为可以很容易地将用户提升到一个新角色。
请注意
如果考虑到安全问题,可以在这些场景中使用配置选项的更严格的行为授权。UserRoleMappingRestrictive
.当启用时,它将导致选择特权最小的角色。
本地管理组#
您仍然可以在RStudio Connect中使用组,而不英格兰vs伊朗让球使用Active Directory服务凭证。
重要的
本地管理组与Active Directory组没有关系。
这些组是RStudio Connect的本地组,可以英格兰vs伊朗让球通过仪表板或连接服务器API创建。还必须使用相同的方法管理组成员。
提示
如果在RStudio Connect中完全不需要组,请设置英格兰vs伊朗让球授权。用户组
配置选项假
.