Находящаяся на воздухе Синхронизация Группы с Active Directory. Поиск реального groupID
Я имею Находящееся на воздухе Сообщество 4.2.e выполнение и синхронизировал с Active Directory с функциональным уровнем 2008. Я импортирую пользователей и группы от Active Directory.
Из ldap-ad-authentication.properties:
# The attribute on LDAP group objects to map to the authority name property in Alfresco
ldap.synchronization.groupIdAttributeName=cn
По политическим причинам в моей организации мне нужно это, имена групп могли быть переименованы, не освобождая функциональности. Если я отображаю groupIDAttribute от под открытым небом до атрибута 'cn' от Active Directory, и кто-то меняет имя группы, результат состоит в том, что все ассоциации, группы удалены, и люди покидают свои сайты.
Мой Вопрос: Есть ли от Active Directory какой-либо атрибут, в котором я мог использовать в качестве уникального идентификатора для своих групп Под открытым небом? Очевидно, этот идентификатор должен быть, 'переименовывают последовательный', как группы находятся в моей Среде Active Directory.
К сожалению, репозиторий Alfresco не предназначен для поддержки изменения имен для пользователей и групп (властей). Вы можете изменить отображаемое имя с помощью Alfresco API, но это не то, что вам нужно.По умолчанию изменение имени группы в AD приведет к удалению и воссозданию со всеми последствиями (любые права доступа к этим группам будут удалены).
Теоретически ваше ожидаемое поведение может быть расширено для групп только путем добавления уникального свойства id к AuthorityContainer в Alfresco (например, SID из AD). Кроме того, логика синхронизации должна быть расширена для синхронизации AuthorityContainers на основе уникального идентификатора вместо групповых CN (и обновления AuthorName и AuthorityDisplayName).
Для переименования пользователей в AD этот подход не будет работать, поскольку имена пользователей используются на открытом воздухе внутри как внешние ключ (!). Мы реализовали модуль для Alfresco> = 4.2 (.f) для поддержки изменений имени пользователя в AD, используя альтернативный атрибут AD в качестве имени пользователя alfresco, который никогда не будет изменяться (например, employeeID). Мы внедрили динамический поиск во все варианты использования аутентификации для поддержки прозрачного входа в систему с использованием имени пользователя AD или внутреннего имени пользователя на открытом воздухе (и SSO).
Мы могли бы расширить этот модуль групповой логикой, как описано выше.