# BPM使用Microsoft AD组织
# 一、AD组织同步配置
# 1. 创建AD服务器连接
- 进入系统管理 → 组织同步
- 点击"添加服务器"
- 选择"微软AD"类型
▲ 创建AD服务器连接
- 填写连接信息:
- 连接名称:公司AD
- 服务器地址:AD服务器地址
- 用户名/密码:AD管理员账号
- 获取组织路径:
- 在AD服务器上打开"AD用户和计算机"管理工具
- 启用"查看"→"高级功能"
- 右键目标组织→"属性"→"属性编辑器"
- 复制
distinguishedName值(如:OU=易正信息技术有限公司,DC=flowportal,DC=com)
- 将组织路径粘贴到配置中
- 点击"测试连接"验证
- 保存配置
# 2. 执行组织同步
- 同步前确认当前组织状态(组织管理模块)
- 返回系统管理 → 组织同步
- 点击"公司AD"后的"立即同步"
- 等待同步完成(显示"同步已完成")
- 验证同步结果:
- 检查部门结构
- 验证用户和组
- 确认主管关系同步
# 3. 设置自动同步
- 点击"公司AD"后的"定时同步"
- 启用定时执行
- 设置同步时间计划
- 保存配置
# 二、AD认证配置
# 1. 修改认证服务
- 打开BPM服务配置文件:
appsettings.json - 找到
Organization.Authentication配置节 - 注释掉原有Provider:
//"Provider": "Yiez.IdentityAuthentication.BPM.BPMAuthentication,Yiez.IdentityAuthentication.BPM", //BPM认证服务 - 启用AD Provider:
Provider": "Yiez.IdentityAuthentication.MicrosoftAD.MicrosoftADAuthentication,Yiez.IdentityAuthentication.MicrosoftAD", //AD认证服务 - 检查
MicrosoftAD节的连接信息是否正确
# 2. 重启服务
- 停止BPM服务
- 重新启动服务
# 3. 测试AD登录
- 使用AD账号(如lisi)尝试登录
- 验证:
- 错误密码应拒绝登录
- 正确AD密码应成功登录
# 三、重要注意事项
# 1. AD部门管理员同步逻辑
- AD中的部门管理员同步到BPM后会自动转换为"部门管理员"角色
- 如果AD部门未设置管理员,BPM中不会创建该角色
# 2. 个性化导入需求
以下特殊需求可联系供应商实现:
- 属性映射定制:
- 默认按标准映射导入
- 可定制部门/用户/组的特定属性映射关系
- 修改保留功能:
- 保留BPM中已修改的字段(如HRID)
- 后续同步不会覆盖这些字段
# 3. sa账号保护机制
- 任何组织导入操作都不会影响sa账号及其密码
- 包括从其他BPM服务器导入组织时也同样保护
# 四、最佳实践建议
首次同步建议:
- 先在测试环境验证
- 备份现有组织数据
- 在非工作时间执行首次同步
定时同步设置:
- 根据组织变更频率设置同步周期
- 建议初始设置为每天1次低频同步
- 稳定后可调整为更高频率
通过以上配置,可实现BPM系统与AD的深度集成,实现组织架构自动同步和统一认证。