LDAP 集成功能
IBM® Unica Marketing 与 LDAP 集成提供在本节中描述的功能。
通过 LDAP 集成进行认证
IBM® Unica Marketing 应用程序查询 Marketing Platform 以获取用户授权信息。实现 LDAP 集成时,用户输入其有效的 LDAP 用户名和密码以向 IBM® Unica Marketing 应用程序认证。
根据组或属性来导入用户
Marketing Platform 会通过自动从目录服务器检索信息的定期同步任务,从目录服务器数据库导入组及其用户。当 Marketing Platform 从服务器数据库导入用户和组时,会保留组成员资格。
您可以通过将 LDAP 组映射到 IBM® Unica Marketing 组来分配 IBM® Unica Marketing 特权。该映射允许添加至映射的 LDAP 组的任何新用户取得为相应 IBM® Unica Marketing 组设置的特权。
子组继承分配给其父代的角色,但不继承分配给其父代的 LDAP 映射或用户成员资格。
如果您不希望在 LDAP 服务器中创建特定于 IBM® Unica Marketing 产品的组,那么可以选择通过指定属性来控制导入的用户。要达到此目的,您应该在 LDAP 配置过程中执行以下操作。
1.
确定 LDAP/Active Directory 服务器中用于您在过滤时要依据的属性的字符串。
2.
LDAP 用户引用属性名称属性设置为 DN
这会对 Marketing Platform 指示,同步将不基于具有成员引用的组,而是基于组织单位或组织。
3.
配置 LDAP 引用映射属性时,请将值的“过滤器”部分设置为您在搜索时要依据的属性。对于“过滤器”,请使用您在步骤 1 中确定的字符串。
在本章的其余部分中,在适当的位置提供了有关基于属性的同步的指示信息。
必须在基于组的同步与基于属性的同步之间进行选择;但不支持同时选择这两种方法。
使用基于属性的同步时,定期同步始终是完全同步,而不是部分同步,对于基于组的同步,定期同步是部分同步。对于基于属性的同步,应该将 LDAP 同步时间间隔属性设置为较大的值,或者设置为 0 以关闭自动同步并在将用户添加到目录时依靠手动完全同步。
关于 LDAP 和分区
在多分区环境中,用户分区成员资格由用户所属的组(当将该组分配给分区时)确定。用户只能属于一个分区。因此,如果用户属于多个 LDAP 组,并且这些组映射到分配给不同分区的 IBM® Unica Marketing 组,那么系统必须为该用户选择单个分区。
应该尝试避免这种情况。但是,如果发生这种情况,那么最近映射到 LDAP 组的 IBM® Unica Marketing 组的分区是用户所属的分区。要确定最近映射哪个 LDAP 组,请查看“配置”区域中显示的 LDAP 组映射。它们按时间顺序显示,最近的映射列示在最后面。
支持内部用户和外部用户
IBM® Unica Marketing 支持两种类型的用户帐户和组。
*
内部 – 通过使用 IBM® Unica Marketing 安全用户界面在 IBM® Unica Marketing 中创建的用户帐户和组。这些用户通过 Marketing Platform 认证。
*
外部 – 通过与受支持的 LDAP 服务器同步导入到 IBM® Unica Marketing 中的用户帐户和组。仅当已将 IBM® Unica Marketing 配置为与 LDAP 服务器集成时,此同步才会发生。这些用户通过 LDAP 服务器认证。
当您要为客户提供 IBM® Unica Marketing 应用程序的访问权,但是不想将他们作为完全的公司用户添加至 LDAP 服务器时,您可能想要两种类型的用户和组。
与单纯的 LDAP 认证模型相比,使用此混合的认证模型需要更多维护工作。
同步
当将 IBM® Unica Marketing 配置为与 LDAP 服务器集成时,会以预先定义的时间间隔自动同步用户和组。
在这些自动同步期间,只会将自从上次同步以来已创建或更改的那些用户和组(由配置指定)放入到 IBM® Unica Marketing 中。您可以使用 IBM® Unica Marketing 的“用户”区域中的“同步”功能来强制同步所有用户和组。
Copyright IBM Corporation 2012. All Rights Reserved.