Alfresco Group Sync with ActiveDirectory。実際のgroupIDを探しています
Alfresco Community 4.2.eを実行し、機能レベル2008のActiveDirectoryと同期しています。ActiveDirectoryからユーザーとグループをインポートします。
Ldap-ad-authentication.propertiesから:
# The attribute on LDAP group objects to map to the authority name property in Alfresco
ldap.synchronization.groupIdAttributeName=cn
私の組織の政治的な理由から、機能を失うことなくグループの名前を変更できるようにする必要があります。 groupIDAttributeを屋外からActiveDirectoryの「cn」属性にマップし、誰かがグループの名前を変更すると、その結果、グループのすべての関連付けが削除され、ユーザーはサイトを離れます。
私の質問:Alfrescoのグループの一意の識別子として使用できるActive Directoryの属性はありますか?グループはActiveDirectory環境にあるため、明らかにこのIDは「名前の変更に一貫性がある」必要があります。
残念ながら、Alfrescoのリポジトリは、ユーザーおよびグループ(機関)の名前変更をサポートするようには設計されていません。 Alfresco APIを使用して表示名を変更できますが、これは探しているものではありません。デフォルトでは、ADでグループの名前を変更すると、削除が再作成され、すべての結果が発生します(これらのグループへの付与はすべて削除されます)。
理論的には、AlfrescoのauthorityContainerに一意のidプロパティ(ADのSIDなど)を追加することによってのみ、予想される動作をグループに拡張できます。さらに、同期ロジックを拡張して、グループCNではなく一意のIDに基づいてauthorityContainersを同期する(およびauthorityNameとauthorityDisplayNameを更新する)必要があります。
ADでユーザーの名前を変更する場合、ユーザー名は外部キー(!)として内部的に使用されるため、このアプローチは機能しません。 Alfresco> = 4.2(.f)のモジュールを実装して、変更の対象とならないalfrescoユーザー名として代替AD属性(employeeIDなど)を使用することにより、ADでのユーザー名の変更をサポートします。 ADユーザー名または屋外内部ユーザー名(およびSSO)による透過的なログインをサポートするために、すべての認証ユースケースに動的ルックアップを挿入しました)。
We は、上記のようにグループロジックでそのモジュールを拡張できます。