AD Security Provider

1. 概述

Wyn提供两种内置安全认证方式：系统账户认证（验证本地用户库信息）和Windows AD集成认证（支持域账号直接登录），满足不同场景下的身份验证需求。

若您希望允许企业内已存在的 Windows 活动目录（AD）用户 直接登录 Wyn 系统，而无需额外创建账号，可通过以下步骤快速完成 AD 集成配置，实现单点登录（SSO）与统一身份认证，提升用户访问便捷性并简化账号管理流程。

设置配置信息。

设置项名称	说明	系统图示
服务器地址	提示的字符串LDAP://HOST:389/DC=DOMAIN,DC=COM 中： HOST为域控制器的IP地址，如10.32.6.51 DC=DOMAIN,DC=COM 为DNS域名的分解。比如，如果您的域名为 grapecity.cn ，那么请改为 DC=grapecity,DC=cn
管理员用户名	活动目录的登录账户，建议使用管理员账户。可形如username@domain.name，如 admin@grapecity.cn。
管理员密码	登录账户的密码。
管理员组名称	指定活动目录中的管理员工作组。指定后将与Wyn系统中管理员角色对应，此组内的用户登录Wyn系统后将可以进入系统管理后台进行系统管理。
使用安全连接	选择是否启用安全连接。
用户上下文属性	指定活动目录账户中可作为用户上下文的属性信息，需添加多个属性值时请使用英文逗号分隔。
登录测试	使用AD中的账户和密码进行登录测试，检验配置是否成功。

保存设置。保存后即可使用用户名或用户名@域名 登录Wyn系统，如用户名为张三，可以使用张三或 zhangsan@grapecity.cn进行登录。

将 Windows 活动目录添加到用户安全提供程序后，活动目录中的用户即可登录 Wyn 系统。登录后，每个用户默认拥有系统中Everyone角色的权限。
Wyn系统通过用户角色来进行权限控制，因此如需对AD用户进行权限控制，则需在Wyn中建立与AD用户组同名的角色，以此映射来进行权限管理。
例如：
1）AD中的组织结构如下，其中“ 西安人事部 ”和“ 西安销售部 ”是西安事业部中的两个组。

2）为了分别管理两个组的权限，需要在后台管理中添加同名的角色，并赋予不同的权限。有关用户角色的详细介绍，详见角色管理。

3）创建成功后，AD用户组中的用户登录系统即拥有同名角色的权限。如 西安销售部 组中的用户登录系统后，则拥有创建/查看仪表板、创建/查看报表的权限以及Everyone角色具有的权限。
type=info
提示：
在 Wyn中仅需要创建同名角色，无需为角色添加成员用户。
另外，AD组之间支持权限的继承关系。比如，在AD中将“西安人事部”添加到“西安销售部”组中，那么在Wyn系统中“西安人事部”中的用户也将拥有“西安销售部”角色的权限。

在配置 AD Security Provider 时，有一个配置项为“ 用户上下文属性 ”。如下图所示，配置了 AD 用户属性中的“ mail ”属性作为用户上下文。如需添加多个属性值时请使用英文逗号分隔。
其对应AD用户的属性如下图：

用户属性中“常规”选项卡中各属性对应的属性名如下：

选项卡项名	属性名	备注
名称	name	在同一节点下唯一，string
姓(L)	sn	string
名(F)	givenName	string
英文缩写(I)	initials	string
显示名称(S)	displayName	域内不唯一，但是在同一个组织单位内唯一
描述(D)	description	string
办公室(C)	physicalDeliveryOfficeName	string
电话号码(T)	telephoneNumber	string
电子邮件(M)	mail	string
网页(W)	wWWHomePage	string

type=info
提示：
表中仅为您列举了AD用户的常规选项卡属性，其他选项卡中的属性也可作为用户上下文属性。由于使用频率较低，便不一一介绍。