用户管理与外部系统集成

此功能仅适用于 Incredibuild 的 Enterprise Plan

您可以将 Incredibuild 用户管理与 Active Directory 等外部用户管理系统集成。启用后,可以使用外部系统中已有的用户登录 Incredibuild,Incredibuild 会通过与该系统直接通信来验证用户身份。

启用集成后,还可以使用本地在 Incredibuild 中定义的用户,但仅限于具有网格管理员角色的用户。

启用 Active Directory 集成

以下流程是根据 Active Directory 2022 创建的。不同版本的步骤可能有所不同。

  1. 在 Active Directory 中,创建三个安全组,以对应 Incredibuild 中用户权限的三个等级。

    • IB-Grid-Admins

    • IB-Group-Managers

    • IB-Viewers

  2. 在 Active Directory 中,根据您希望用户在 Incredibuild 中拥有的权限,将其添加到相应的安全组中。

  3. 为 Incredibuild 定义一个专用用户,用于在外部用户管理系统中验证用户。该用户不需要特殊权限或角色。该用户的密码不能是要求定期更新的。

  4. 在 Incredibuild 中,前往 Settings >General >User Authentication 并点击Disabled

  5. 选择 Active Directory 和 LDAP 或 LDAPS,具体取决于要用于此集成的协议。

  6. 如果您选择了 LDAPS:

    • ldap 服务器格式必须以“ldaps”开头(例如 ldaps://1.2.3.4:1234####)。

    • 您需要输入签发 LDAPS 证书的 CA 的根证书。如果您有证书链,请将证书复制/粘贴到一个文件中,然后在此输入。

  7. 输入 Active Directory 帐户的设置:

    • LDAP(S) 服务器和端口应符合格式 "ldap://<server>:<port>"。例如 "ldap://localhost:389"。

    • Bind DN(LDAP 格式的用户名)和 Bind Password 字段中输入 Incredibuild 专用用户的凭据,以验证其他用户(在上一步中创建)。

    • User Search DN 是 Incredibuild 搜索以验证用户的文件夹。必须是 LDAP 格式。

启用 Microsoft Entra ID 集成

Microsoft Entra ID 的前身为 Azure Active Directory。以下流程是根据 Microsoft Entra ID 的 2023 年 12 月版本创建的。后续版本中的步骤可能会略有不同。

  1. 在 Microsoft Entra ID 中,创建三个安全组,以对应 Incredibuild 中用户权限的三个等级。

    • IB-Grid-Admins

    • IB-Group-Managers

    • IB-Viewers

  2. 在 Microsoft Entra ID 中,根据您希望用户在 Incredibuild 中拥有的权限,将其添加到相应的安全组中。

  3. 在 Microsoft Entra ID 中,前往 App Registrations >New Registration

    1. 指定名称并选择Accounts in this organization directory only(仅限该组织目录中的帐户)。

    2. 在重定向 URI 中,选择 Web,然后输入https://localhost:8000/azureCallback

    3. 点击Register注册。

    4. 复制并存储应用程序(客户端)ID 和目录(tenant)ID,以备将来使用。

  4. Authentication 区域,添加两个重定向 URI:

    1. https://<coordinator IP>:8000/azureCallback

    2. https://<coordinator DNS name>:8000/azureCallback

  5. 在 API 权限区域,点击 Microsoft Graph 权限,然后添加 GroupMember.Read.All 权限。

  6. 点击 授予管理许可给 <your organization account>

  7. Certificates and Secrets 区域,创建一个 New client secret

  8. 复制并保存 Secret 的值。如果您离开此屏幕时没有复制该值,该值将被隐藏。

  9. 在 Incredibuild 中,前往 Settings >General >User Authentication 并点击Disabled

  10. 输入您的 Microsoft Entra ID 帐户设置:

编辑集成中的设置

如果您要在启用集成后更改任何设置,则需要禁用集成,然后按如下步骤重新启用:

  1. 在 Incredibuild 中,前往 Settings >General >User Authentication 并点击用户认证区域。

  2. 在设置窗口中,单击 Disable

  3. 再次启用集成,并根据需要更改设置。

登录 Incredibuild

对于 Active Directory 用户,Incredibuild 登录屏幕是标准的登录屏幕。用户输入 Active Directory 用户或具有网格管理权限的 Incredibuild 用户的登录凭据。

如果有两个同名用户,一个在 Active Directory 中,另一个在具有网格管理权限的 Incredibuild 中,Incredibuild 将使用本地用户。如果登录凭据与本地用户不匹配,Incredibuild 将检查外部用户管理系统中定义的用户。

对于 Microsoft Entra ID 用户,他们应点击 Login with Azure AD 按钮,然后在弹出窗口中输入登录凭据。标准登录按钮适用于具有网格管理权限的本地 Incredibuild 用户。

支持的用户管理系统

  • Microsoft Entra ID(前身为 Azure Active Directory)

  • 带 LDAP 协议的Active Directory

故障排除

无法连接到用户管理系统

如果您无法连接到外部用户管理系统,Incredibuild 将无法验证用户,这些用户也就无法登录。您可以使用具有网格管理员权限的本地 Incredibuild 用户登录。如果您没有这些凭证,请参阅 Forgot Username or Password(忘记用户名或密码)。

如有必要,您可以禁用集成,然后直接在 Incredibuild 中管理用户。