［转］使用 LDAP 组或角色限制访问，包含部分单点登录SSO说明

将用户查找字符串配置为包含将用于对 ${userID} 变量进行认证的属性。此变量采用在登录时输入的用户名，并将该变量替换为值，然后将搜索字符串传递到目录服务器。角色的专有名称 (DN) 也必须包括在字符串中。

以下为查找字符串的示例：

(&(uid=${userID})(nsrole=cn=Cognos,ou=people,dc=cognos,dc=com))

在此示例中，组织单元 (ou) 中的 IBM Cognos BI 角色的所有成员（已命名人员）具有 IBM Cognos Connection 的访问权限。

如果已启用单点登录，请将值设置为 True。

如果是否使用外部身份？设置为 True，请指定此属性。

构造字符串来在 LDAP 目录服务器中查找用户。在登录时，此字符串中的环境变量 ${environment("REMOTE_USER")} 会替换为用户名。

在以下示例中，Web 浏览器会设置环境变量 REMOTE_USER，其匹配用户的 uid 属性：

(&(uid=${environment("REMOTE_USER")})(nsrole=cn=Cognos,ou=people,dc=cognos,dc=com))

在某些情况下，REMOTE_USER 变量（通常是 DOMAINusername 格式）不能匹配任何用户 uid 属性。要解决此问题，将 replace 函数包括在字符串中，如以下示例中所示：

(&(uid=${replace(${environment("REMOTE_USER")},"ABC\","")})(nsrole=cn=Cognos,ou=people,dc=cognos,dc=com))

如果包括 replace 函数，那么域名（在此示例中为 ABC）会替换为空字符串，且仅用户名会传递到目录服务器。

域名在此上下文中区分大小写。

将查找字符串配置为包含将用于对 ${userID} 变量进行认证的属性。此变量采用在登录时输入的用户名，并将该变量替换为值，然后将搜索字符串传递到目录服务器。组的专有名称 (DN) 也必须包括在字符串中。

(&(sAMAccountName=${userID})(memberOf=cn=ReportNet,ou=Groups,dc=cognos,dc=com))

如果已启用单点登录，请将值设置为 True。

如果是否使用外部身份？设置为 True，请指定此属性。

构造字符串来在 LDAP 目录服务器中查找用户。在登录时，此字符串中的环境变量 ${environment("REMOTE_USER")} 会由用户名替换，然后字符串会传递到目录服务器。

(&(sAMAccountName=${environment("REMOTE_USER")})(memberOf=cn=Cognos,cn=Groups,dc=cognos,dc=com))