了解如何通过 LDAP 目录服务自动创建 Adobe Connect 用户帐户或对 Adobe Connect 用户进行身份验证。

目录服务集成概览

可以将 Adobe Connect 与目录服务集成,以根据 LDAP 目录验证用户身份并避免手动添加各个用户和用户组。 可通过与单位目录进行手动或定时同步的方式,在 Adobe Connect 中自动创建用户帐户。

要与 Adobe Connect 集成,目录服务器必须使用轻型目录访问协议 (LDAP) 或安全轻型目录访问协议 (LDAPS)。 LDAP 是一种 Internet 客户端/服务器协议,用于从符合 LDAP 的目录服务器查找用户联系信息。

Adobe Connect 作为 LDAP 客户端连接到 LDAP 目录。 Adobe Connect 导入用户和用户组,并与 LDAP 目录同步有关这些用户和用户组的信息。 您还可以配置 Adobe Connect,以根据 LDAP 目录验证用户身份。

任何符合 LDAP 的目录服务都可与 Adobe Connect 集成。 有关认证的 LDAP 目录列表,请参见 www.adobe.com/go/learn_cnn_sysreqs_cn

关于 LDAP 目录结构

LDAP 目录根据 X.500 标准来组织信息。

LDAP 目录中的用户或用户组称为条目。 一个条目是一个属性集。 属性由类型和一个或多个值组成。 类型使用助记字符串,如 ou 表示组织单元,cn 表示公用名称。 属性值由各种信息组成,如电话号码、电子邮件地址和照片。要确定单位的 LDAP 目录结构,请与 LDAP 管理员联系。

每个条目都有一个辨别名 (DN),用于描述此条目在树结构(从该条目到根)中的路径。 LDAP 目录中某个条目的 DN 由该条目的名称(称为相对辨别名,RDN)和树结构中父条目的名称组成。

树结构可以反映地理位置或公司内的各个部门。 例如,如果 Alicia Solis 是 Acme, Inc. 在法国的 QA 部门的用户,则该用户的 DN 可能如下所示:

cn=Alicia Solis, ou=QA, c=France, dc=Acme, dc=com

导入目录分支

将用户和用户组从 LDAP 目录导入到 Adobe Connect 中时,可以使用 LDAP 树中某个部分的 DN 指定该部分的路径。 这样就可以指定搜索范围。 例如,您可以仅导入公司内某个特定用户组的用户。为此,您需要了解该组的各个条目在目录树结构中的位置。

常用方法是将单位的 Internet 域用作树结构的根。 例如,Acme, Inc. 可以使用 dc=com 来指定树中的根元素。 Acme, Inc. 的新加坡销售办事处对应的 DN 可能是 ou=Singapore, ou=Marketing, ou=Employees, dc=Acme, dc=com。 (在本例中,ou 为组织单元的缩写,dc 为域组件的缩写。)

注意:

并非所有 LDAP 目录都只有一个根。 在这种情况下,您可以导入单独的分支。

导入用户和用户组

可以通过两种方法在 LDAP 目录中设置用户和用户组条目的结构:在分支的同一个节点下或在不同分支下。

如果用户和用户组位于某个 LDAP 分支中的同一个节点下,则用于导入条目的用户和用户组设置将包含同一个分支 DN。 这意味着,在导入用户时,必须使用过滤器以便只选择用户;在导入用户组时,必须使用过滤器以便只选择用户组。

如果用户和用户组位于树中的不同分支下,则使用分支 DN。这样,当导入用户时,将选择用户分支;当导入用户组时,将选择用户组分支。

您还可以导入子分支,以便导入某个级别下的所有分支中的用户。例如,如果想要导入销售部门中的所有员工,可以使用以下分支辨别名:ou=Sales, dc=Acme, dc=com但是,销售人员可能存储在分支中。在这种情况下,请在“用户配置文件映射”屏幕上,将“子树搜索”参数设置为 true,以确保从树中该级别下的子分支导入用户。

ou=Sales, dc=Acme, dc=com

过滤选定的条目

过滤器指定要选择的条目必须满足的条件。 这样可以将条目的选择限制在树的某个部分内。 例如,如果过滤器指定 (objectClass=organizationalPerson),则只选择具有 organizationalPerson 属性的条目以进行导入。

注意:

LDAP 目录中的每个条目中都必须有 objectClass 属性。

内部及外部用户和用户组

直接在 Adobe Connect 中创建的用户和用户组(而不是从 LDAP 目录导入的用户和用户组)称为内部用户和用户组。 从 LDAP 目录导入到 Adobe Connect 数据库中的用户和用户组称为外部用户和用户组。

为确保导入的用户组与外部 LDAP 目录保持同步,不能将内部用户和用户组添加到外部用户组。 但是,可以将外部用户和用户组添加到内部用户组。

如果登录名的值或者导入的用户或用户组条目的名称与现有内部用户或用户组的登录名匹配,则目录同步过程会将导入的用户或用户组从内部更改为外部,并在同步日志中加入一条警告消息。

将 Adobe Connect 与 LDAP 目录集成

目录服务集成在应用程序管理控制台的“目录服务设置”选项卡中进行。 使用管理员帐户。

可配置一个目录服务器,以完成用户身份验证和 LDAP 同步。 配置可指向目录服务的一个或多个分支。

打开应用程序管理控制台。

选择“开始”>“程序”>“Adobe Connect Server”>“配置 Adobe Connect Server”。

输入 LDAP 服务器连接设置。

选择“目录服务设置”选项卡。 在“LDAP 设置”>“连接设置”屏幕上输入值,然后单击“保存”。

单击“保存”时,Adobe Connect 会测试 LDAP 连接。 如果测试失败,您将看到以下消息:

您的设置已成功保存,但无法验证 LDAP 连接。请检查您的 LDAP URL 和端口。

 

字段

默认值

说明

LDAP 服务器 URL

无默认值。

一般格式为 ldap://[servername:portnumber] 。 如果您的单位使用安全 LDAP 服务器,则使用 "ldaps://"。

如果未指定端口,Adobe Connect 将使用标准 LDAP 端口 (389) 或 LDAPS 端口 (636)。 LDAPS 要求使用 SSL 证书。 如果配置 Adobe Connect 以在启用了全局编录的 Microsoft Active Directory 林中工作,请使用全局编录(标准端口:3268)。

LDAP 连接身份验证方法

无默认值。

用于为 Adobe Connect 验证 LDAP 服务帐户的凭据(LDAP 用户名、LDAP 口令)的机制(管理员权限)。

简单(标准身份验证 - 推荐设置)。 匿名(无口令 - LDAP 服务器必须配置为允许匿名登录)。 Digest MD5(将 LDAP 服务器配置为允许摘要身份验证)。

LDAP 连接用户名

无默认值。

LDAP 服务器上的管理员登录。

LDAP 连接口令

无默认值。

LDAP 服务器上的管理员口令。

LDAP 查询超时

无默认值。

取消查询之前经过的时间(秒)。 如果将此字段留空,则不发生超时。 将该值设为 120。

LDAP 条目查询页面大小限制

无默认值。

从 LDAP 服务器返回的结果的页面大小。 如果该框为空白或 0,则不使用页面大小。

此字段适用于已配置最大结果大小的 LDAP 服务器。 可将页面大小设置为小于最大结果大小,这样可以从服务器检索所有结果,并显示在多个页面中。

例如,如果尝试集成的 LDAP 目录很大,只能显示 1000 名用户,却有 2000 名用户需要导入,集成将会失败。

如果将“查询页面大小”设置为 100,则返回的结果将显示在 20 个页面中,且所有用户都能导入。

 

以下是用于连接设置的 LDAP 语法示例:

URL:ldap://ldapserver.mycompany.com:389 
UserName:MYCOMPANY\jdoe 
Password:password123 
Query timeout:120 
Authentication mechanism:Simple 
Query page size:100

映射 Adobe Connect 和 LDAP 目录用户配置文件。

选择“用户配置文件映射”选项卡,输入值,然后单击“保存”。

字段

默认值

说明

登录名

无默认值。

目录服务的登录名属性。

无默认值。

目录服务的名属性。

无默认值。

目录服务的姓属性。

电子邮件

无默认值。

目录服务的电子邮件属性。

如果您定义了自定义字段,这些字段将添加到“用户配置文件映射”屏幕。 该示例将 Adobe Connect 用户配置文件映射到 Active Directory LDAP 用户配置文件;“网络登录”是自定义字段。

Login:mail 
FirstName:givenName 
LastName:sn 
Email:userPrincipalName 
NetworkLogin:mail

(可选)添加用户分支。

单击“添加”以添加公司特定分支中的用户信息。 在“分支”和“过滤器”字段中输入值,然后单击“保存”。

如果要从子分支中导入用户,则从“子树搜索”菜单中选择“True”;否则,选择“False”。

有关详细信息,请参阅关于 LDAP 目录结构

字段

默认值

LDAP 属性/备注

分支 DN

无默认值。

分支根节点的 DN(辨别名)。 将显示指向所选分支的链接。

过滤

无默认值。

查询过滤器字符串。

子树搜索

True

True 或 False。 如果值为 True,将对分支中的所有子树进行递归搜索。

映射 Adobe Connect 和 LDAP 目录组配置文件。

选择“用户组配置文件映射”选项卡,输入值,然后单击“保存”。

注意:Adobe Connect 组配置文件不支持自定义字段。

字段

默认值

LDAP 属性/备注

用户组名称

无默认值。

目录服务的用户组名称属性。

用户组成员

无默认值。

目录服务的用户组成员属性。

以下是 LDAP 用户组条目属性和 Adobe Connect 用户组配置文件之间的映射:

Name:cn 
Membership:member

(可选)添加用户组分支。

单击“添加”以添加单位某个分支中的用户信息。 在“分支”和“过滤器”字段中输入值,然后单击“保存”。

如果要从子分支中导入用户组,则从“子树搜索”菜单中选择“True”;否则,选择“False”。

有关详细信息,请参阅关于 LDAP 目录结构

字段

默认值

LDAP 属性/备注

分支 DN

无默认值。

分支根节点的 DN(辨别名)。 单位中的每个分支都有自己的 LDAP DN 属性。 将显示指向所选分支的链接。

过滤

无默认值。

查询过滤器字符串。

子树搜索

True

布尔值 truefalse。 如果值为 True,将对分支中的所有子树进行递归搜索。

以下示例显示用于添加单位某个分支和定义其用户组的 LDAP 语法:

DN:cn=USERS,DC=myteam,DC=mycompany,DC=com 
Filter:(objectClass=group) 
Subtree search:True

输入身份验证设置。

选择“身份验证设置”选项卡。 如果要根据单位的目录服务验证 Adobe Connect 用户的身份,请选择“启用 LDAP 目录身份验证”。 如果不选择该选项,Adobe Connect 将使用本机身份验证(存储在 Adobe Connect 数据库中的用户凭据)。

如果选中“使 Connect 能够在 LDAP 目录身份验证失败时回退”,则 Adobe Connect 将使用本机身份验证。

注意:

网络上的 LDAP 连接临时发生故障时,此选项可能会有帮助。但是,LDAP 凭据可以与 Adobe Connect 数据库中的凭据不同。

选中“LDAP 目录身份验证成功后,创建 Connect 用户帐户”,可在 LDAP 身份验证成功的情况下在 Adobe Connect 服务器上设置第一次登录的用户。 如果允许目录服务中的任意用户使用 Adobe Connect,请选中该选项,并选择“内部”作为用户帐户类型。 有关详细信息,请参阅内部及外部用户和用户组

选中“只在第一次登录时启用组注册”,可在用户第一次登录 Adobe Connect 时在 Adobe Connect 中创建一个登录 ID 并将用户归入指定用户组。在“组名称”框中输入用户组。

计划同步。

选择“同步设置”选项卡。 在“计划设置”屏幕上,选中“启用定时同步”复选框,以设置在每天、每周或每月的特定时间进行同步。 有关详细信息,请参阅建议采用的同步方法

也可以在“同步操作”屏幕上执行手动同步。

设置口令策略和删除策略。

选择“策略设置”选项卡,选择“口令设置策略”和“删除策略”,然后单击“保存”。 有关口令策略的详细信息,请参阅管理口令

注意:

如果选择“删除用户和用户组...”选项,则在同步过程中已从 LDAP 服务器中删除的所有外部用户也将从 Adobe Connect 服务器中删除。

预览同步。

选择“同步操作”选项卡。 在“预览目录同步”部分中,单击“预览”。 有关详细信息,请参阅建议采用的同步方法

管理口令

如果不启用 LDAP 身份验证,则必须选择 Adobe Connect 验证用户身份的方式。

Adobe Connect 从外部目录导入用户信息时,并不会导入网络口令。 因此,请使用其他方法,为已导入到 Adobe Connect 目录中的用户管理口令。

通知用户设置口令

在“同步设置”选项卡的“策略设置”屏幕上,可以选择向导入的用户发送电子邮件,其中包含他们用来设置口令的链接。

设置 LDAP 属性的口令

可以选择将导入用户的初始口令设置为该用户的目录条目中某个属性的值。 例如,如果 LDAP 目录中包含雇员 ID 号字段,则可以将用户的初始口令设置为其雇员 ID 号。 用户使用此口令登录后,可以更改其口令。

作为管理员,您可以通过两种方式将 Adobe Connect 与外部 LDAP 目录同步:

  • 可以设置同步计划,以便定期执行同步。

  • 可以执行手动同步,以便立即将 Adobe Connect 目录与单位的 LDAP 目录同步。

在初始同步过程中导入用户和用户组之前,最好先使用 LDAP 浏览器验证连接参数。 可以在线使用以下浏览器:LDAP 浏览器/编辑器和 LDAP 管理员。

注意:

在同步过程中,请勿重新启动 LDAP 服务器或运行并行作业。否则,可能会从 Adobe Connect 中删除用户或用户组。

计划同步

建议采用计划同步方法,因为这样可确保 Adobe Connect 拥有从单位的 LDAP 目录导入的用户和用户组的最新信息。

如果导入大量用户和用户组,初始同步可能会占用大量资源。在这种情况下,请避开高峰期来执行初始同步,例如在晚上进行同步。此外,也可以手动执行初始同步。

要设置定时同步,请在应用程序管理控制台中使用“同步设置”>“计划设置”屏幕。

进行同步时,Adobe Connect 会将 LDAP 目录条目与 Adobe Connect 目录条目相比较,然后仅导入那些至少包含一个更改字段的条目。

预览同步

在初始同步过程中导入用户和用户组之前,Adobe 建议您通过预览同步来测试映射。 在预览时并不会导入用户和用户组,但会记录错误;您可以检查这些错误以诊断同步过程中出现的问题。

要访问同步日志,请使用“同步日志”屏幕。 日志的每一行显示一个同步事件;对于所处理的每个主体(用户或用户组),同步过程至少生成一个事件。 如果在预览过程中生成了任何警告或错误消息,则会在另一个警告日志中列出这些消息。

日志文件值

同步日志采用以逗号分隔的格式存储值。 在以下表格中,主体指用户条目和用户组条目。 日志条目中包括以下值:

字段

说明

Date

格式化的日期时间值(精确到毫秒)。 格式为 yyyyMMdd’T’HHmmss.SSS

Principal ID

登录名或用户组名称。

Principal type

单个字符:U 表示用户,G 表示用户组。

活动

执行的操作或遇到的情况。

详细信息

关于事件的详细信息。

下表描述可能出现在同步日志文件中的各种事件:

活动

说明

详细信息

add

主体已添加到 Adobe Connect。

一个简短的 XML 包,它使用一系列采用 <fieldname>value</fieldname> 格式(例如,<first-name>Joe</first-name>)的标签对描述已更新的字段。 将忽略父节点和未更新的字段。

update

主体为外部用户。某些字段已更新。

 

update-members

主体是外部用户组。已将主体添加为用户组成员,或已将其从用户组中删除。

一个简短的 XML 包,描述已添加和已删除的成员。 将忽略父节点:

<add>ID list</add> <remove>ID list</remove>ID list 是一系列 <id><id>principal ID</id></id> 包,其中,principal ID 是将在“Principal ID”列中列出的 ID,如用户登录名或用户组名称。如果 ID 列表中没有成员,则将父节点输出为 <add/><remove/>

delete

从 Adobe Connect 中删除了主体。

 

up-to-date

主体是 Adobe Connect 中的外部主体,且已经与外部目录同步。 未进行任何更改。

在 Adobe Connect 中创建的用户或用户组被视为内部主体。 由同步过程创建的用户或用户组被视为外部主体。

make-external

主体是 Adobe Connect 中的内部主体,但已被转换为外部主体。

此事件允许同步过程修改或删除主体,后跟执行修改或删除操作的另一个事件。此事件记录在警告日志中。

warning

出现警告级别事件。

警告信息。

error

出现错误。

Java 异常消息。

关于 LDAPS

Adobe Connect 内在支持安全 LDAP 协议,即 LDAPS。 LDAP 目录服务器必须提供 SSL 连接。 要安全地连接到 LDAP 目录服务器,可在连接 URL 中使用 LDAPS 协议,如下所示:ldaps://exampleDirectoryServer:portNumber

本产品经 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License 许可  Twitter™ 与 Facebook 中的内容不在 Creative Commons 的条款约束之下。

法律声明   |   在线隐私策略