轻量级目录访问协议(LDAP)
它一种在 TCP/IP 上运行的开放标准 Internet 协议,旨在维护和使用广泛的用户目录服务。它为应用程序和请求信息提供了标准方法。执行单 LDAP Select 驳级目录操作,目标是获取方便的资格,例如属性的集合。
LDAP 身份验证系统由两个组件组成:LDAP 服务器和 LDAP 目录。LDAP 服务器是实现 LDAP 协议并控制用户和组帐户的 LDAP 目录的程序。LDAP 目录是存储位置和 LDAP 服务器。在搜索和检索 LDAP 目录中的信息之前,必须建立与 LDAP 服务器的连接。
如果在您的环境中使用 LDAP 身份验证,可以在MicroStrategy中实现LDAP身份验证。可以在LDAP目录中维护组成员身份,而无需在Intelligence Server中进行定义。LDAP身份验证可识别LDAP目录中的用户,MicroStrategy可通过LDAP服务器连接到该目录。
LDAP信息流
以下方案概述了 LDAP 用户登录Developer或MicroStrategy Web时 Intelligence Server与LDAP服务器之间的一般信息流:
- 当LDAP用户登录MicroStrategy Web或Developer时,Intelligence Server使用LDAP管理用户的凭据(称为身份验证用户)连接到LDAP服务器。
- 使用在用户配置中设置的专有名称(DN)和密码将身份验证用户绑定到LDAP。
身份验证用户根据登录用户的DN在LDAP目录中搜索通过Developer或MicroStrategy Web登录的用户。 - 如果此搜索成功找到正在登录的用户,则会检索用户的LDAP组信息。
- 然后,Intelligence Server搜索MicroStrategy元数据以确定登录用户的DN是否链接到现有的MicroStrategy用户。
- 如果在元数据中找不到链接用户,Intelligence Server将引用已配置的导入和同步选项。如果启用了导入,Intelligence Server将使用在LDAP目录中访问的用户和组信息更新元数据。
- 如果未找到链接用户并禁用导入,但LDAP服务器配置为接受匿名身份验证,则Intelligence Server将使用匿名访客用户创建新用户会话。如果LDAP服务器未配置为接受匿名身份验证,则Intelligence Server不允许用户登录。
- 登录的用户可以访问MicroStrategy,具有适当的权限和权限。