Active Directory 集成功能
Marketing PlatformWindows Active Directory 集成提供在本节中描述的功能。
通过 Active Directory 集成进行认证
IBM® EMM 应用程序查询 Marketing Platform 以获取用户授权信息。实现 Active Directory 服务器集成且启用 Windows 集成登录时,会在用户登录公司网络时向所有 IBM® EMM 应用程序认证用户,并且登录到 IBM® EMM 应用程序不需要密码。 用户认证基于其 Windows 登录,同时忽略应用程序的登录屏幕。
如果未启用 Windows 集成登录,那么用户仍然必须在 IBM® EMM 登录屏幕上使用其 Windows 凭证进行登录。
登录名中仅允许三个特殊字符:点 (.)、下划线 (_) 和连字符 (-)。如果您计划从 Active Directory 服务器导入到 Marketing Platform 的用户的登录名中存在任何其他特殊字符(包括空格),那么必须更改该登录名,这样该用户在注销或执行管理任务(如果该用户具有管理特权)时才不会遇到问题。
管理内部用户和外部用户
当启用 Windows 集成登录时,会在 Active Directory 服务器中创建和维护所有用户。 (您不能选择在 Marketing Platform 中创建一些用户,这些用户在本指南中称为内部用户)。如果您需要创建内部用户的功能,请不要启用 Windows 集成登录。
如果您不希望启用 Windows 集成登录,请遵循与 LDAP 服务器集成的指示信息。有关详细信息,请参阅配置流程核对表(LDAP 集成)
配置集成后,您无法在 Marketing Platform 中添加、修改或删除导入的用户帐户。必须在 LDAP 端执行这些管理任务,并在发生同步时将导入您的更改。如果在 Marketing Platform 中修改导入的用户帐户,那么用户可能会遇到认证问题。
您在 LDAP 端删除的任何用户帐户都不会从 Marketing Platform 删除。您应在 Marketing Platform 中手动禁用这些帐户。禁用这些已删除的用户帐户比删除这些帐户更为安全,因为用户具有 Campaign 中的文件夹所有权特权,而如果您删除了拥有某个文件夹的用户帐户,那么该文件夹中的对象将不再可用。
根据组、属性或基本专有名称来导入用户
可以选择这三种过滤类型中的一种,来选择从 LDAP 服务器导入到 Marketing Platform 中的用户帐户。
必须在基于组、基于属性或基于专有名称的导入之间选择;不支持同时选择多种方法。
基于组的导入
Marketing Platform 会通过自动从目录服务器检索信息的定期同步任务,从目录服务器数据库导入组及其用户。当 Marketing Platform 从服务器数据库导入用户和组时,会保留组成员资格。
您可以通过将 Active Directory 组映射到 IBM® EMM 组来分配 IBM® EMM 特权。该映射允许添加至映射的 Active Directory 组的任何新用户取得为相应 IBM® EMM 组设置的特权。
Marketing Platform 中的子组不继承分配给其父代的 Active Directory 映射或用户成员资格。
本章的其余部分提供了有关配置基于组的导入的详细信息。
基于属性的导入
如果您不希望在 Active Directory 服务器中创建特定于 IBM® EMM 产品的组,那么可以选择通过指定属性来控制导入的用户。要达到此目的,您应该在配置过程中执行以下操作。
1.
确定 Active Directory 服务器中要用作过滤依据的属性的字符串。
2.
Platform | Security | LDAP synchronization | LDAP user reference attribute name 属性设置为 DN
这会对 Marketing Platform 指示,同步将不基于具有成员引用的组,而是基于组织单位或组织。
3.
配置 LDAP 引用映射属性时,请将值的“过滤器”部分设置为您在搜索时要依据的属性。对于“过滤器”,请使用您在步骤 1 中确定的字符串。
使用基于属性的同步时,定期同步始终是完全同步,而不是部分同步,对于基于组的同步,定期同步是部分同步。对于基于属性的同步,应该将 LDAP 同步时间间隔属性设置为较大的值,或者设置为 0 以关闭自动同步并在将用户添加到目录时依靠手动完全同步。
遵循本章其余部分中提供的指示信息并使用设置配置属性的步骤中的上述指示信息以配置集成。
基于专有名称的导入
如果您有大量用户,那么可能希望根据基本专有名称来导入用户。要达到此目的,您应该在 LDAP 配置过程中执行以下操作。
1.
确定 Active Directory 服务器中要用作基本专有名称的字符串。
2.
Platform | Security | LDAP synchronization | LDAP BaseDN periodic search enabled 属性设置为 true
当此属性设置为 True 时,Marketing Platform 将使用在 IBM EMM | Platform | Security | LDAP 类别下的 Base DN 属性中设置的专用名称来执行 LDAP 同步搜索。
3.
Platform | Security | LDAP synchronization | LDAP user reference attribute name 属性设置为 DN
这会对 Marketing Platform 指示,同步将不基于具有成员引用的组,而是基于组织单位或组织。
4.
配置 Platform | Security | Login method details | LDAP synchronization | LDAP reference to IBM Marketing Platform group map | LDAP reference map 属性时,请将值的“过滤器”部分设置为要用作搜索依据的属性。对于“过滤器”,请使用您在步骤 1 中确定的字符串。
遵循本章其余部分中提供的指示信息并使用设置配置属性的步骤中的上述指示信息以配置集成。
关于 Active Directory 和分区
在多分区环境中,用户分区成员资格由用户所属的组(当将该组分配给分区时)确定。用户只能属于一个分区。因此,如果用户属于多个 Active Directory 组,并且这些组映射到分配给不同分区的 IBM® EMM 组,那么系统必须为该用户选择单个分区。
应该尝试避免这种情况。但是,如果发生这种情况,那么最近映射到 Active Directory 组的 IBM® EMM 组的分区是该用户所属的分区。要确定最近映射的 Active Directory 组,请查看“配置”区域中显示的 LDAP 组映射。它们按时间顺序显示,最近的映射列示在最后面。
同步
当将 IBM® EMM 配置为与 Active Directory 服务器同步时,会以预先定义的时间间隔自动同步用户和组。在这些自动同步期间,只会将自从上次同步以来已创建或更改的那些用户和组(由配置指定)放入到 IBM® EMM 中。您可以使用 IBM® EMM 的“用户”区域中的“同步”功能来强制同步所有用户和组。
还可以强制进行完全同步,如强制同步外部用户中所述。
登录名中的特殊字符
登录名中含有特殊字符的 LDAP 用户可能会遇到认证问题。请参阅用户窗口参考,以获取受允许特殊字符的列表。对于计划导入到 IBM® EMM 的 LDAP 帐户,请更改包含不受允许特殊字符的登录名。
Copyright IBM Corporation 2014. All Rights Reserved.