配置目錄

對於您配置的每個企業域，指定身份驗證提供程式查詢用戶資訊的目錄。 可以為域配置多個目錄。

添加目錄或自定義SPI

對於您配置的每個企業域，指定身份驗證提供程式查詢用戶資訊的目錄。 您可以將目錄添加到現有企業域或添加到新企業域。 可以為域配置多個目錄。 您也可以配置域以使用自定義服務提供商介面(SPI)進行同步。

添加目錄

1. 在管理控制台中，按一下「設定>使用者管理>網域管理」。

2. 按一下「新建企業域」或選擇現有的企業域。

3. 按一下「添加目錄」。

4. 在「配置檔案名稱」框中，鍵入一個名稱以區分此目錄，然後按一下「下一步」。

5. 配置目錄伺服器設定。 （請參閱目錄設定。）

6. 要驗證是否可以與LDAP伺服器建立連接，請按一下測試。 如果測試失敗，請查看應用程式伺服器日誌檔案中的異常以確定失敗的根本原因。 按一下「關閉」 ，然後按一下「下一步」 。

7. 選取「使用者設定」 ，並視需要配置設定。 （請參閱目錄設定。）

8. 要驗證基本DN和其他配置的屬性收集了正確的用戶批，請按一下測試。 LDAP會嘗試使用提供的設定（如基本DN、搜索篩選器和所有屬性）來檢索前200條記錄。

   如果傳回使用者，結果會顯示依屬性集指派給每個欄位的值。 如果測試因伺服器名稱不存在、授權資訊不正確或屬性不正確而失敗，則會顯示以下錯誤訊息："指定的搜索標準未返回任何結果"。 要確定故障的根本原因，請查看應用程式伺服器日誌檔案中的異常。 按一下「關閉」 ，然後按一下「下一步」 。

9. 選取「群組設定」 ，並視需要配置設定。 （請參閱目錄設定。）

10. 要驗證基本DN和其他配置的屬性是否收集正確的組批，請按一下測試。 如果傳回群組，結果會顯示依屬性集指派給每個欄位的值。 按一下 關閉。

新增自訂SPI

如需建立自訂SPI的相關資訊，請參閱使用AEM表單進行程式設計中的「開發AEM表單的SPI」。 要使新部署的自定義SPI可用於與域關聯，請重新啟動伺服器。

1. 在管理控制台中，按一下「設定>使用者管理>網域管理」。
2. 按一下「新建企業域」或選擇現有的企業域。
3. 按一下「添加目錄」。
4. 在「配置檔案名稱」框中鍵入名稱，選擇「自定義SPI提供程式」，然後按一下「下一步」。
5. 從清單中選擇自定義用戶提供程式，然後按一下下一步。
6. 從清單中選擇自定義組提供程式，然後按一下「完成」。

編輯目錄

您可以編輯先前配置的目錄的詳細資訊。

1. 在管理控制台中，按一下「設定>使用者管理>網域管理」。
2. 按一下清單中的適當網域，然後在顯示的頁面上，從清單中選取適當的目錄。
3. 視需要配置目錄、用戶和組設定。 （請參閱目錄設定。）
4. 按一下「確定」。

刪除目錄

在刪除目錄後同步域時，該目錄中的所有用戶和組在資料庫中都標籤為過時。 不會從管理控制台的任何搜尋中傳回這些值。

1. 在管理控制台中，按一下「設定>使用者管理>網域管理」。
2. 在清單中按一下適當的網域。
3. 選擇相應目錄的複選框，然後按一下「刪除」。
4. 在顯示的確認頁上按一下「確定」，然後再次按一下「確定」。

目錄設定

將目錄添加到域時，請指定以下目錄設定。

伺服器： （強制）目錄伺服器的完全限定域名(FQDN)。例如，對於adobe.com網路上名為x的電腦，FQDN為x.adobe.com。 可以使用IP地址來取代FQDN伺服器名稱。

埠： （強制）目錄伺服器使用的埠。如果使用安全套接字層(SSL)協定通過網路發送身份驗證資訊，則通常為389或636。

SSL: （強制）指定在透過網路傳送資料時，目錄伺服器是否使用SSL。預設為「否」。 當設定為「是」時，應用程式伺服器的Java™運行時環境(JRE)必須信任相應的LDAP伺服器證書。

綁定 （強制）指定如何訪問目錄。

匿名： 不需要用戶名或密碼。匿名用戶只能獲取有限的資料量。 此選項對於初始測試可能很有用。

使用者： 需要驗證。在「名稱」框中，指定可訪問目錄的用戶記錄的名稱。 最好輸入用戶帳戶的完整可分辨名稱(DN)，如cn=Jane Doe、ou=user、dc=can、dc=com。 在「密碼」框中，指定關聯的密碼。 選擇「用戶」作為「綁定」選項時，需要這些設定。

名稱： 未啟用匿名訪問時可用於連接到LDAP資料庫的名稱。對於Active Directory 2003，請指定[domain name]\[userid]。 對於Sun™ One、eDirectory或IBM Tivoli Directory Server，請指定用戶的完全限定名稱，如uid=lcuser、ou=it、o=company.com。

密碼： 在未啟用匿名訪問時，與您指定的連接到LDAP資料庫的名稱相對應的密碼。

將頁面填入： 選取此選項時，會以對應的預設LDAP值填入「使用者」和「群組」設定頁面上的屬性。

擷取基本DN: 擷取基本DN並在下拉式清單中顯示。當您有多個基本DN且需要選取值時，此設定很實用。

啟用引用： 當您的組織使用以層次結構組織的多個Active Directory域，並且您僅為父域指定了目錄設定時，此設定適用。在此情況下，當您選取此選項時，「使用者管理」可從子網域存取使用者和群組詳細資訊。

使用者設定

唯一識別碼： （必要）用來識別使用者的唯一常數屬性。使用非DN屬性作為唯一識別碼，因為如果使用者移至組織的其他部分，其DN可能會變更。 此設定取決於目錄伺服器。 該值是Active Directory 2003的objectGUID、Sun™ One的nsuniqueID和eDirectory的guid。

基本DN: 設為從LDAP階層同步使用者和群組的起點。最好在層次結構的最低級別指定基本DN，該DN包含所有需要同步服務的用戶和組。

如果在「目錄」設定中選擇了「啟用引用」選項，請將「基本DN」選項設定為DN的​dc​部分。 為了讓反向連結運作，搜尋範圍必須同時包含父網域和子網域。

雖然Base DN是管理控制台中的強制設定，但某些目錄伺服器(如IBM Domino Enterprise Server)可能需要空的BaseDN。 要指定空的基本DN，請導出config.xml檔案，在config.xml檔案中編輯設定，然後重新導入它。 （請參閱匯入和匯出設定檔案。）

搜尋篩選： （必要）用來尋找與使用者相關聯的記錄的搜尋篩選。您可以執行單級搜索或子級搜索。 （請參閱搜尋篩選器語法或RFC 2254）。 有關Microsoft AD架構的其他資訊，請參閱Active Directory架構。

說明： 使用者說明的結構屬性

完整名稱： （必要）使用者完整名稱的結構屬性

登入ID: （必要）使用者登入ID的結構屬性

姓氏： （必要）使用者姓氏的結構屬性

指定名稱： （必要）使用者名字的結構屬性

縮寫： 使用者縮寫的結構屬性

業務日曆： 允許您根據此設定的值（業務日曆鍵）將業務日曆映射到用戶。業務日曆定義業務日和非業務日。 AEM表單可在計算提醒、截止日期和呈報等事件的未來日期和時間時使用商業日曆。 將業務日曆密鑰分配給用戶的方式取決於您使用的是企業、本地還是混合域。 （請參閱配置業務日曆。）

如果使用企業域，可將「業務日曆」設定映射到LDAP目錄中的欄位。 例如，如果目錄中的每個用戶記錄包含​country​欄位，並且要根據用戶所在的國家分配業務日曆，請指定​country​欄位名稱作為「業務日曆」設定的值。 然後，您可以將業務日曆鍵（為LDAP目錄中的​country​欄位定義的值）映射到表單工作流中的業務日曆。

用於在表單工作流頁面中顯示業務日曆鍵名稱的空間量有限。 將商務日曆索引鍵的名稱限制為少於53個字元，以免在這些頁面上截斷。

修改時間戳： 要啟用增量目錄同步，請設定此值以修改TimeStamp。（請參閱啟用增量目錄同步。）

組織： 使用者所屬組織名稱的結構屬性。

主要電子郵件： 使用者主要電子郵件地址的結構屬性。

次要電子郵件： 使用者之次要電子郵件地址的結構屬性。

電話： 使用者電話號碼的結構屬性。

郵遞區號： 使用者郵寄地址的結構屬性。

地區： 包含ISO地區設定資訊的架構屬性。值是雙字母語言代碼或語言和國家/地區代碼。

時區： 結構屬性，包含使用者所在的時區。值是字串，例如「城市/國家」。

啟用虛擬清單視圖(VLV)控制項： 一種LDAP控制項，使AEM表單能夠從目錄伺服器批量檢索資料。如果您使用Sun One作為LDAP目錄，且該目錄包含許多用戶，則啟用VLV將建立一個索引，用戶管理在搜索用戶時可以使用該索引。 使用只能同步有限資料量的一般使用者帳戶時，此功能相當實用。 您也可以為組啟用VLV。 如果選擇「啟用虛擬清單視圖(VLV)控制項」，請在「排序欄位」框中指定名稱。

排序欄位： 如果您選擇了啟用虛擬清單視圖(VLV)控制項，請指定用於排序索引的屬性名稱。在目錄伺服器上為VLV建立索引時，此屬性名（如uid）是指定的名稱。

群組設定

唯一識別碼： （必要）用來識別群組的唯一常數屬性。使用非DN屬性作為唯一識別碼。 此設定取決於目錄伺服器。 該值是Active Directory 2003的objectGUID、Sun One的nsuniqueID和eDirectory的guid。

基本DN: （強制）目錄的基本可分辨名稱。

雖然Base DN是管理控制台中的強制設定，但某些目錄伺服器(如IBM Domino Enterprise Server)需要空的BaseDN。 要指定空的基本DN，請導出config.xml檔案，在config.xml檔案中編輯設定，然後重新導入它。 （請參閱匯入和匯出設定檔案。）

搜尋篩選： （必要）用來尋找與群組相關聯的記錄的搜尋篩選。您可以執行單級搜索或子級搜索。

說明： 群組說明的結構屬性

完整名稱： （必要）群組完整名稱的結構屬性

成員DN: （強制）組內成員的可分辨名稱的架構屬性

成員唯一標識符： 屬於所選組的成員的用戶或組的唯一標識符。此值取決於目錄伺服器。 該值是AD2003的objectSID、Sun One的nsuniqueID和eDirectory的guid。

如果使用非DN屬性指定成員DN，則用戶管理使用成員唯一標識符來查詢LDAP，以收集與唯一標識符值對應的用戶DN。

如果將DN指定為唯一標識符，則無需配置成員唯一標識符。

組織： 群組所屬之組織名稱的結構屬性

主要電子郵件： 群組主要電子郵件地址的結構屬性

次要電子郵件： 群組次要電子郵件地址的結構屬性

修改時間戳： 要啟用增量目錄同步，請設定此值以修改TimeStamp。（請參閱啟用增量目錄同步。）

啟用虛擬清單視圖(VLV)控制項： 一種LDAP控制項，使AEM表單能夠從目錄伺服器批量檢索資料。如果您使用Sun One作為LDAP目錄，且該目錄包含許多組，則啟用VLV將建立一個索引，用戶管理在搜索組時可以使用該索引。 使用只能同步有限資料量的一般使用者帳戶時，此功能相當實用。 您還可以為用戶啟用VLV。 如果選擇啟用虛擬清單視圖(VLV)控制項，請指定排序欄位名稱。

排序欄位名稱： 如果您選擇了啟用虛擬清單視圖(VLV)控制項，請指定用於排序索引的屬性名稱。此屬性名稱是在目錄伺服器上為VLV建立索引時指定的名稱。

配置用戶管理以使用虛擬清單視圖(VLV)

目錄同步是用戶管理的一項重要要求。 使用者和群組會從企業目錄同步至AEM表單資料庫，以指派角色和權限。 用戶數量因需求而異，從100到100000+，因此，高效同步資料是一項工程難題。

LDAP通訊協定提供一種機制，可使用請求控制以編頁方式查詢大型資料集。 使用Microsoft Active Directory時，LDAP到AEM表單資料庫同步使用PagedResultsControl以批次檢索特定大小的資料。 Sun ONE目錄伺服器不支援此控制項。 要對Sun ONE Directory Server完成編頁查詢，請使用「虛擬清單視圖」(VLV)控制項。 此控制項涉及目錄伺服器端配置和客戶端實施。

1. 配置目錄時，在「用戶設定」頁和「組設定」頁上選擇「啟用虛擬清單視圖(VLV)控制」。 選中複選框時，還必須在「排序欄位」框中指定排序名稱。 預設值為uid。 （請參閱添加目錄或自定義SPI或編輯目錄。）
2. 使用Sun ONE管理控制台或命令行指令碼為用戶和組建立LDAP VLV項。 如果使用命令行指令碼，則可以使用示例用戶和組LDIF檔案。 （請參見為VLV配置Sun ONE目錄伺服器。）
3. 停止伺服器並建立所需的索引。 （請參閱為VLV建立目錄伺服器索引。）

為VLV配置Sun ONE目錄伺服器

建立VLV需要包含vlvSearch和vlvIndex對象類的一對條目。 vlvSearch條目包括搜索基和vlvFilter屬性，該屬性指定包含要排序的屬性的對象類。 vlvIndex對象類包括vlvSort屬性，該屬性指定要排序的一個或多個屬性以及要排序的順序。 (減號(-)表示反字母順序)。 將VLV與AEM表單搭配使用時，使用者和群組需要個別的項目。

以下是用戶的VLV項的示例指令碼LDIF:

 dn: cn=lcuser,cn=userRoot,cn=ldbm database,cn=plugins,cn=config
 objectclass: top
 objectclass: vlvSearch
 cn: lcuser
 vlvBase: dc=corp,dc=adobe,dc=com
 vlvScope: 2
 vlvFilter: (&(objectclass=inetOrgPerson))
 aci: (target="ldap:///cn=lcuser,cn=userRoot,cn=ldbm database,cn=plugins,cn=config")(targetattr="*")(version 3.0; acl "Config"
 ;allow(read,search,compare) userdn="ldap:///all"; )
 dn: cn=lcuser,cn=lcuser,cn=userRoot,cn=ldbm database,cn=plugins,cn=config
 cn: lcuser
 vlvSort: cn
 objectclass: top
 objectclass: vlvIndex

使用指令碼建立對象條目

1. 示例指令碼有一個名為lcuser的LDAP項。 此條目用於與VLV相關的配置，以便在AEM表單中進行用戶同步。 相應地修改以下屬性：

   登入名稱： 此範例中的登入名稱為 lcuser。如果lcuser已更改，則必須在示例指令碼的所有區域中更改它。

   vlvBase: 「用戶設定」頁上指定的基DN。

   vlvFilter: 「用戶設定」頁上指定的「搜索篩選器」。

   vlvSort: 在「用戶設定」頁的VLV設定部分中指定的「排序」欄位。VLV控制項要求您指定排序控制項。 此欄位用作所建立vlv索引的排序參數。

   aci: 示例指令碼中指定的訪問控制授予任何已驗證用戶訪問VLV索引以執行讀取、搜索和比較操作的權利。管理員可以限制對綁定用戶的訪問，該用戶在「用戶管理」用戶介面中指定的「目錄伺服器設定」頁中配置。 如果未提供權限，則用戶搜索將無法使用VLV，而LDAP伺服器將擲回權限異常。

   注意

   作為慣例，vlvIndex條目名稱也設定為lcuser，但可以為其指定不同的名稱。 在vlvindex工具中使用相同的名稱。 （請參閱建立VLV 的目錄伺服器索引。）

2. 使用隨Sun ONE Server提供的ldapmodify工具，分別使用組的基本DN、搜索篩選器和排序欄位為組建立類似條目：

   server directory\shared\bin>ldapmodify -v -a -h host -p port -D "admin user" -w "password" -f "LDIF file location"

   例如，輸入下列文字：

   D:\tools\ldap\sun\shared\bin> -v -a -h localhost -p 55850 -D "uid=admin,ou=administrators,ou=topologymanagement,o=netscaperoot" -w "admin" -f "D:\tools\ldap\data\vlv feature\users.ldif"

為VLV建立目錄伺服器索引

配置目錄設定並為用戶和組建立LDAP VLV項後，請停止伺服器並建立所需的索引。

1. 建立對象條目後，停止Sun ONE Server。

2. 使用vlvindex工具，通過鍵入以下文本生成索引：

   目錄伺服器實例 \vlvindex.bat -n userRoot -T lcuser

   將生成以下輸出：

    D:\tools\ldap\sun\shared\bin>..\..\slapd-chetanmeh-xp3\vlvindex.bat -n userRoot -T livecycle
    [21/Nov/2007:16:47:26 +051800] - userRoot: Indexing VLV: livecycle
    [21/Nov/2007:16:47:27 +051800] - userRoot: Indexed 1000 entries (5%).
    [21/Nov/2007:16:47:27 +051800] - userRoot: Indexed 2000 entries (9%).
    ...
    [21/Nov/2007:16:47:29 +051800] - userRoot: Indexed 20000 entries (94%).
    [21/Nov/2007:16:47:29 +051800] - userRoot: Indexed 21000 entries (99%).
    [21/Nov/2007:16:47:29 +051800] - userRoot: Finished indexing.
   

   vlvindex工具存在於目錄伺服器實例目錄中。 如果Sun ONE Server有兩個運行server1和server2的實例，則vlvindex工具位於​Sun ONE伺服器目錄\server1目錄中。 參數-T的值是先前在示例LDIF中建立的vlvindex條目的cn屬性的值。 在此情況下，它為lcuser。

3. 如果還為組啟用了VLV，請為組建立相應的索引。 通過運行以下命令來驗證是否建立索引：

   sun one server directoryhostnameport \shared\bin>ldapsearch -h** -p否 -s base -b "" objectclass=*

   產生如下列範例資料之類的輸出：

    D:\tools\ldap\sun\shared\bin>ldapsearch.exe -h localhost -p 55850 -s base -b "" objectclass=*
    ldapsearch.exe: started Tue Nov 27 16:34:20 2007
    version: 1
    dn:
    objectClass: top
    namingContexts: dc=corp,dc=adobe,dc=com
    supportedExtension: 2.16.840.1.113730.3.5.7
    ...
    vlvsearch: cn=MCC ou=testdata dc=corp dc=adobe dc=com, cn=userRoot,cn=ldbm dat
        abase,cn=plugins,cn=config
    vlvsearch: cn=lcuser,cn=userRoot,cn=ldbm database,cn=plugins,cn=config
    vlvsearch: cn=Browsing ou=testdata,cn=userRoot,cn=ldbm database,cn=plugins,cn=
        config
    1 matches
   

Business.Adobe.com 資源

Multichannel Communication Targeted Content Personalized Communications Web Content Management Customer Experience Management Headless Cms