LDAP 集成功能
IBM® EMM 与 LDAP 集成提供在本节中描述的功能。
通过 LDAP 集成进行认证
IBM® EMM 应用程序查询 Marketing Platform 以获取用户授权信息。实现 LDAP 集成时,用户输入其有效的 LDAP 用户名和密码以向 IBM® EMM 应用程序认证。
登录名中仅允许三个特殊字符:点 (.)、下划线 (_) 和连字符 (-)。如果您计划从 LDAP 服务器导入到 Marketing Platform 的用户的登录名中存在任何其他特殊字符(包括空格),那么必须更改该登录名,这样该用户在注销或执行管理任务(如果该用户具有管理特权)时才不会遇到问题。
管理内部用户和外部用户
配置集成后,您无法在 Marketing Platform 中添加、修改或删除导入的用户帐户。必须在 LDAP 端执行这些管理任务,并在发生同步时将导入您的更改。如果在 Marketing Platform 中修改导入的用户帐户,那么用户可能会遇到认证问题。
您在 LDAP 端删除的任何用户帐户都不会从 Marketing Platform 删除。您应在 Marketing Platform 中手动禁用这些帐户。禁用这些已删除的用户帐户比删除这些帐户更为安全,因为用户具有 Campaign 中的文件夹所有权特权,而如果您删除了拥有某个文件夹的用户帐户,那么该文件夹中的对象将不再可用。
根据组、属性或基本专有名称来导入用户
可以选择这三种过滤类型中的一种,来选择从 LDAP 服务器导入到 Marketing Platform 中的用户帐户。
必须在基于组、基于属性或基于专有名称的导入之间选择;不支持同时选择多种方法。
基于组的导入
Marketing Platform 会通过自动从目录服务器检索信息的定期同步任务,从目录服务器数据库导入组及其用户。当 Marketing Platform 从服务器数据库导入用户和组时,会保留组成员资格。
您可以通过将 LDAP 组映射到 IBM® EMM 组来分配 IBM® EMM 特权。该映射允许添加至映射的 LDAP 组的任何新用户取得为相应 IBM® EMM 组设置的特权。
Marketing Platform 中的子组不继承分配给其父代的 LDAP 映射或用户成员资格。
本章的其余部分提供了有关配置基于组的导入的详细信息。
基于属性的导入
如果您不希望在 LDAP 服务器中创建特定于 IBM® EMM 产品的组,那么可以选择通过指定属性来控制导入的用户。要达到此目的,您应该在 LDAP 配置过程中执行以下操作。
1.
确定 LDAP 服务器中要用作过滤依据的属性的字符串。
2.
Platform | Security | Login method details | LDAP synchronization | LDAP user reference attribute name 属性设置为 DN
这会对 Marketing Platform 指示,同步将不基于具有成员引用的组,而是基于组织单位或组织。
3.
配置 LDAP 引用映射属性时,请将值的“过滤器”部分设置为您在搜索时要依据的属性。对于“过滤器”,请使用您在步骤 1 中确定的字符串。
使用基于属性的同步时,定期同步始终是完全同步,而不是部分同步,对于基于组的同步,定期同步是部分同步。对于基于属性的同步,应该将 LDAP 同步时间间隔属性设置为较大的值,或者设置为 0 以关闭自动同步并在将用户添加到目录时依靠手动完全同步。
基于专有名称的导入
如果您有大量用户,那么可能希望根据基本专有名称来导入用户。要达到此目的,您应该在 LDAP 配置过程中执行以下操作。
1.
确定 LDAP 服务器中要用作基本专有名称的字符串。
2.
Platform | Security | Login method details | LDAP synchronization | LDAP BaseDN periodic search enabled 属性设置为 true
当此属性设置为 True 时,Marketing Platform 将使用在 IBM EMM | Platform | Security | LDAP 类别下的 Base DN 属性中设置的专用名称来执行 LDAP 同步搜索。
3.
Platform | Security | Login method details | LDAP synchronization | LDAP user reference attribute name 属性设置为 DN
这会对 Marketing Platform 指示,同步将不基于具有成员引用的组,而是基于组织单位或组织。
4.
配置 Platform | Security | Login method details | LDAP synchronization | LDAP reference to IBM Marketing Platform group map | LDAP reference map 属性时,请将值的“过滤器”部分设置为要用作搜索依据的属性。对于“过滤器”,请使用您在步骤 1 中确定的字符串。
关于 LDAP 和分区
在多分区环境中,用户分区成员资格由用户所属的组(当将该组分配给分区时)确定。用户只能属于一个分区。因此,如果用户属于多个 LDAP 组,并且这些组映射到分配给不同分区的 IBM® EMM 组,那么系统必须为该用户选择单个分区。
应该尝试避免这种情况。但是,如果发生这种情况,那么最近映射到 LDAP 组的 IBM® EMM 组的分区是该用户所属的分区。要确定最近映射哪个 LDAP 组,请查看“配置”区域中显示的 LDAP 组映射。它们按时间顺序显示,最近的映射列示在最后面。
支持内部用户和外部用户
IBM® EMM 支持两种类型的用户帐户和组。
*
内部 – 通过使用 IBM® EMM 安全用户界面在 IBM® EMM 中创建的用户帐户和组。这些用户通过 Marketing Platform 认证。
*
外部 – 通过与受支持的 LDAP 服务器同步导入到 IBM® EMM 中的用户帐户和组。仅当已将 IBM® EMM 配置为与 LDAP 服务器集成时,此同步才会发生。这些用户通过 LDAP 服务器认证。
当您要为客户提供 IBM® EMM 应用程序的访问权,但是不想将他们作为完全的公司用户添加至 LDAP 服务器时,您可能想要两种类型的用户和组。
与单纯的 LDAP 认证模型相比,使用此混合的认证模型需要更多维护工作。
同步
当将 IBM® EMM 配置为与 LDAP 服务器集成时,会以预先定义的时间间隔自动同步用户和组。
在这些自动同步期间,只会将自从上次同步以来已创建或更改的那些用户和组(由配置指定)放入到 IBM® EMM 中。您可以使用 IBM® EMM 的“用户”区域中的“同步”功能来强制同步所有用户和组。
还可以强制进行完全同步,如强制同步外部用户中所述。
登录名中的特殊字符
登录名中含有特殊字符的 LDAP 用户可能会遇到认证问题。请参阅用户窗口参考,以获取受允许特殊字符的列表。对于计划导入到 IBM® EMM 的 LDAP 帐户,请更改包含不受允许特殊字符的登录名。
Copyright IBM Corporation 2012. All Rights Reserved.