糖 crm支持 产品指南 糖版本 10.3 10.3企业 糖企业10.3行政指南密码管理
此版本仅适用于Sugarcloud客户。

密码管理

概述

密码管理用于管理糖中的用户密码的要求和其他策略。 Sugar允许管理员对新用户手动创建的密码设置系统生成的密码,登录锁定尝试失败,以及配置用于向用户发送密码信息的电子邮件模板。密码管理不用于更改用户的密码,可以通过他们完成 用户资料 .

笔记 :对于使用甘蔗的实例,管理员需要访问  加糖 通过SugarCloud设置控制台配置 密码要求 以及设置 LDAP. 或者 SAML. authentication. 

密码要求

密码要求面板允许您配置最小和最大密码长度,以及密码中需要的字符。填充前两个字段中的任何一个,最小长度和最大长度,将强制要求您的用户具有超过或小于给定量的字符。此外,使用四个复选框中的任何一个,以强制用户密码的字符要求。这可以强迫用户在密码中包含大写字母,小写字母,数字或特殊字符。请注意,已配置的密码要求也适用于Sugar Portal,并且在创建门户用户的密码或更改时必须遵守。

笔记 :对于使用含糖的情况, 密码要求 通过SugarCloud设置控制台配置在Sugdidentity中。

password_requirements.

高级选项

您还可以指定密码中不允许的单词或其他字符串,称为正则表达式要求。正则表达式要求的配置在密码要求面板的“高级选项”部分中找到。

笔记 :对于使用甘蔗的实例,Regex密码控件不可用。
 高级选项

要设置正则表达式要求,请键入不允许的字符代码。在“正则表达式描述”字段中,将消息写入将在尝试编辑密码时显示的用户,解释不允许的字符串。有关Regex Usage的更多信息,请查看正则表达式网站 http://www.regular-expressions.info/.

以下列出了密码规则中的正则表达式的一些示例:

样本表达 密码规则
密码不能包含糖。
([a-za-z0-9])\ 1 密码不能连续重复一封信或号码;例如,AA或88。
([a-za-z]){4,} 密码不能重复任何两个连续的字母;重复字符或字母必须由特殊字符(例如%)分隔。
[\ t] 密码不能包含空格和标签。
[@#$] 密码不能包含@,#或$。

系统生成的密码

启用后,系统生成的密码功能将允许用户通过电子邮件接收随机生成的密码。当创建新用户或管理员激活重置密码按钮时,使用此功能 用户的个人资料 .

笔记 :对于使用甘蔗的实例,系统生成的密码功能不可用。

使用系统生成的密码的两个要求是:

出于安全原因,当启用系统生成的密码功能时,您还可以选择为系统生成的密码设置过期。您可以在临时密码到期时指定,无论是在一定数量的天,月份或数周内,还是在指定数量的登录之后。只需点击您想要使用的到期旁边的单选按钮,并根据需要输入登录或时间变量长度,或单击“无”以获取密码以永不过期。一旦临时密码到期后,用户将在登录时看到一条消息,通知它们密码已过期并创建新密码。用户需要输入临时密码以及新密码并确认密码。    
passwordmanagement_systemgeneratedPasswords.

用户重置密码

忘记密码功能允许管理员启用忘记密码链接以在Sugar登录窗口中显示。如果用户不记得他们的密码,他们可以单击此选项,输入他们的用户名及其糖中的主要电子邮件地址,并通过该过程通过该进程进行电子邮件发送重置密码链接以重置其忘记密码。有关用户如何重置其密码的更多信息,请查看 入门 documentation.

笔记 :对于使用甘蔗的实例,“忘记密码?” Sugar登录屏幕上提供链接,但无法配置该功能。

使用忘记密码功能的两个要求是:

CAPTCHA验证

作为额外预防措施,您可以启用CAPTCHA验证以防止自动化程序获取对用户帐户的未经授权访问。启用后,当用户尝试使用忘记密码功能时,除了提供用户名和主电子邮件地址外,它们还必须确认验证码。

笔记 :对于使用Sugdidentity的实例,CAPTCHA验证不可用。
CAPTCHA_ON_LOGIN.

使用以下步骤为忘记密码菜单启用CAPTCHA:

  1. 从recaptcha网站创建一个recaptcha的帐户 //www.google.com/recaptcha.
  2. 创建帐户后,保存您的公钥和私钥,该钥匙将被输入到糖中。
  3. 在糖中,导航到密码管理和“用户重置密码”面板。
  4. 单击复选框以“启用reCAPTCHA验证”。
  5. 在提供的字段中输入公钥和私钥。

     CAPTCHA.

蜜罐验证

蜜罐是人类表单提交确认的非识别方法,比传统的CAPTCHA更有效。启用Honeypot验证选项将为忘记密码表单添加一个不可见的输入字段,该字段只读取HTML的机器人将能够看到。当机器人填写蜜罐场时,糖就知道忽略提交,因为它不是由人类创建的,因此防止未经授权访问糖类实例。

笔记 :对于使用甘蔗的糖实例,蜜罐验证不可用。
passwordmanagement_honeypotvalidations.

电子邮件模板

糖 是标准的两个密码模板。一个是为了 系统生成的密码 发出的电子邮件,另一个是 重设密码 电子邮件。模板可通过密码管理编辑,也可以创建新的。要创建一个模板的新版本,请单击特定行上的“创建”按钮。要编辑现有模板,请单击特定行上的“编辑”按钮。

笔记 :对于使用Sugdidentity的实例,无法创建或编辑电子邮件模板。
pw_management_template_picker.

也可以通过电子邮件模块通过导航到电子邮件模板列表视图来查看模板。当类型为空白时,模板很容易找到,而任何其他模板将是广告系列,电子邮件或工作流程模板。有关的更多信息 电子邮件模板 ,请查看申请指南的相应部分。

笔记: 如果选择创建自己的模板以发送密码,请复制默认模板中提供的变量。从“忘记密码电子邮件”和“$ Contact_USER_USER_HASH”的变量“$ contact_USER_LINK_GUID”在创建模板时不会从变量下拉列表中提供“$ CONCHED_USER_USER_USH”和“$ CONFIG_SITE_URL”。
 Email_templates.

用户生成的密码到期

糖可以强制用户在给定期间创建新密码。管理员可以在几天,周或数月内或特定数量的登录后配置此操作。要配置密码到期,请选择要使用的到期时间旁边的单选按钮,然后输入用户将分配用户的时间帧或登录数量。密码到期后,用户将在登录时看到邮件,通知它们他们的密码已过期并创建新密码。用户需要输入当前密码以及其新密码并确认密码。

笔记 :对于使用甘蔗的实例,配置了密码到期规则  加糖 通过SugarCloud设置控制台。
 POND-FEEPIRE.

登录锁定

为防止未经授权的登录,糖包括可配置的锁定功能。这意味着您将定义一个特定量的不成功尝试,以便在用户名无法登录之前用于登录用户名的特定量。您还可以在任何几分钟内列出限制之前配置给定的时间量,小时或天。要配置登录锁定,请单击“在{空白}失败的登录尝试后锁定用户旁边的单选按钮”,填写允许的最大尝试次数并定义时间范围。

笔记 :对于使用Sugdididity的实例,请配置登录锁定规则  加糖 通过SugarCloud设置控制台。
登录 - 锁定-77

笔记 :当用户已被锁定时,用户必须等到给定的时间范围已通过。手动允许用户重新登录的唯一方法是单击 重置用户首选项 用户配置文件中的按钮。
user_profile_error_message.

外部身份验证

糖 可以尊重外部认证协议(即LDAP和SAML),以通过单点登录(SSO)服务为用户提供无缝登录过程。 LDAP和SAML配置选项位于密码管理页面的最后两个面板中。单击要启用的外部身份验证类型旁边的复选框。在选择时,页面的内容将刷新,所选协议将取代任何其他密码管理设置。

笔记 :对于使用含糖的情况,  LDAP.  and SAML. 通过SugarCloud Settings Console配置验证。

笔记 :如果用户从糖外面注销他们的单点登录账户,他们将继续登录糖。
启用-ldap-saml

以下部分解释说明 LDAP. SAML. 更详细的选择。

笔记 : 团队管理 角色管理 外部身份验证处于活动状态时仍然考虑。

LDAP.

如果您的组织已实现LDAP或Active Directory身份验证,可以将糖配置为接受轻量级目录访问协议(LDAP)身份验证。当系统中的用户尝试登录糖时,应用程序将对LDAP目录或Active Directory验证其凭据。如果身份验证成功,则用户被授予对糖的访问权限。如果身份验证不成功,则Sugar将尝试验证提供的凭据对其自己的有效用户名和密码的数据库。请注意,对于使用甘蔗的实例,  LDAP.  通过SugarCloud设置控制台配置在Sugdidentity中。

要配置LDAP,导航到admin>密码管理,并在LDAP支持面板中启用“启用LDAP身份验证”复选框。糖会显示一些 额外的领域 您可以在其中输入特定于LDAP或Active Directory帐户的信息。  LDAP设置

完成表单后,您将需要通过导航到admin来为用户启用LDAP>用户管理,选择所需的用户,然后单击其用户配置文件中的“高级”选项卡。启用“LDAP身份验证”复选框,然后单击“保存”。糖然后将同步用户的Active Directory用户名并呈现LDAP端口上的密码。当用户下次登录糖时,它们将进入其Active Directory用户名和密码。    

LDAP字段

填写以下字段中的相应选项,然后单击“保存”以提交更改。以下是每个字段的建议值,但这些可能因LDAP配置而异。

场地 建议价值观 描述
验证

进入 ” username@myserver.mydomain.com.“或”域\\ userfirstname.userlastname“为用户名,以及相应的密码。

笔记 :后者用户名格式在域后需要双反斜杠。糖会在保存时自动删除一个反斜杠。

选中此框以启用用户名和密码字段。

笔记 :您必须将服务帐户用户(只读访问)添加到您的Active Directory以通过Sugar进行身份验证。

自动创建用户 通常,此框仍然禁用。 

选择此复选框以在Sugar数据库中创建用户名,如果它尚未存在。 

笔记 :启用后,为每个LDAP用户登录应用程序创建Sugar用户。这将占每个创建的用户的活动糖许可。

绑定属性 对于Active Directory,输入 userPrincipalName  区分敏感值
启用LDAP身份验证   取消选中此框,如果您想在实例中禁用LDAP。
加密密钥  

如果使用带有SOAP的LDAP,请输入加密密钥以加密用户密码 Microsoft Outlook的Sugar插件.

笔记: 必须在PHP.ini文件中启用“php_mcrypt”扩展名。

集团成员资格

组DN: 输入组DN名称

  • ou =团体
  • DC =示例
  • DC = COM.

组的名字 : Enter the group name

  • cn = sugarcrm.

用户属性: 用于检查用户是否是组成员的唯一标识符

  • uid

组属性: 将用于对用户属性进行过滤的组的属性

  • 会员

如果要指定用户是特定组的成员,请选中此复选框。 

登录属性 对于Active Directory,输入 sAMAccountName 区分敏感值
端口号码 389

输入端口号。 389是默认端口。

如果使用安全的TLS连接,则默认值为636。 

服务器 myserver.mydomain.com.

输入应为您的域控制器的Active Directory Server的FQDN。

 

用户DN. OU =人,DC =示例,DC = COM

输入用户DN名称。

用户过滤器 is_user_id = 1  

在验证用户时输入要应用的任何其他参数。

SAML.

糖可以配置为接受安全断言标记语言(SAML),如果它在您的组织中实现了单点登录。当系统在系统中尝试登录糖时,应用程序将对SAML进行验证。如果身份验证成功,则用户被授予对糖的访问权限。如果身份验证不成功,则Sugar将尝试验证提供的凭据对其自己的有效用户名和密码的数据库。糖支持SAML版本2.0的使用。

笔记 :对于使用含糖的情况,  SAML. 通过SugarCloud设置控制台配置在Sugdidentity中。

使用以下步骤配置SAML身份验证:

  1. 导航到管理员>密码管理,然后单击SAML身份验证面板中的“启用SAML身份验证”复选框。
  2. 输入适当的值 领域 在SAML身份验证页面上。如果您已从Identity提供程序下载了元数据文件(例如,OKTA,Google,ADF),则跳至步骤3。
    pwmgmt samlauthenticationPage
  3. 如果您已从Identity提供程序中获取元数据文件(例如,OKTA,Google,ADF),则可以通过单击“导入IDP元数据文件”按钮来导入该文件。找到您保存的元数据文件,然后单击“打开”。页面上的某些字段(例如,登录URL,SLO,Entity ID,X509证书)将自动填充文件中的数据。可选地,完成任何其他所需的 领域 根据您的需求在配置页面上。
    笔记 :如果您使用启用单个注销的OKTA,则需要完成“签名登录请求”,请求签名私钥“和”请求签名证书“​​字段,以便对注销请求进行数字签名。 
  4. 完成必要字段后,单击“保存”以保留设置。 

使用ADF时,您需要导出包含您需要的SAML设置的XML元数据文件,以便在Sugar和ADF之间配置新的信任关系,以允许两种服务之间的通信。只需单击“导出元数据文件”按钮以下载必要的文件。请注意,如果已完成并保存所需的字段,则只能导出文件。有元数据文件后,请按照以下步骤操作 配置SSO与Active Directory的ADF在Solar 8.0和更高版本中 文章配置新的ADFS信任关系。 

SAML字段

要在SAML身份验证页面上配置的可用字段如下:

场地 描述
启用S​​AML身份验证 如果您想在实例中禁用SAML身份验证,请取消选中此框。 
登录URL. 输入SAML URL以进行身份​​验证。
笔记 :这是您正在验证的SAML服务器的路径。 
SLO网址 输入Sugar将发送注销请求的单个注销端点。当糖向身份提供者(例如OKTA)向注销请求发送注销请求时,它将扩展该请求并为所有其他其他服务提供者终止活动会话,这些服务提供商在共享通过SAML建立的会话。
笔记 :可以从身份提供者或糖启动单个注销请求。 
实体ID 输入IDP(Identity Provider)实体的有效URI。
笔记 :糖只接受来自此ID的SAML断言。 
糖 crm实体ID 输入服务提供商实体的有效URI。 
X509证书 输入SAML X509证书公钥。 
自动创建用户 选中此框可在Sugar数据库中自动创建新用户名,如果它尚未存在。启用后,为每个SAML用户登录应用程序创建新的Sugar用户。 
笔记 :这将占每个创建的用户的活动糖许可。
在同一窗口中加载登录屏幕以避免弹出窗口阻止 启用此选项可在当前窗口中加载SAML登录屏幕,以防止弹出窗口阻止器防止单点登录。 
请求签名私钥 上传包含私钥的PEM文件以用于签署Authn和Logout请求。
笔记 :必须上载私钥才能签署注销请求,注销响应和/或Authn请求。
请求签名证书 上传包含X.509证书的CRT文件可用于签署Authn和Logout请求。
笔记 :证书应匹配上传的私钥。 
请求签名方法 选择注销请求,注销响应和/或authn请求的数字签名方法。推荐的选项是“RSA-SHA256”或“RSA-SHA512”。 
签署验证请求 选中框以使用私钥和证书签署Authn请求。  
笔记 :必须完成“请求签名私钥”,“请求签名证书”和“请求签名方法”字段以签署Authn请求。
签名注销请求 选中此框以使用私钥和证书签署注销请求。
笔记 :必须完成“请求签名私钥”,“请求签名证书”和“请求签名方法”字段以签署注销请求。
签署注销响应 选中此框以使用私钥和证书签署注销响应。 
笔记 :必须完成“请求签名私钥”,“请求签名证书”和“请求签名方法”字段以签署注销响应。

如果您使用Onelogin,请确保只有电子邮件地址用户字段映射到Onelogin参数配置中的Sugar的电子邮件地址字段。不支持映射到其他字段,例如用户名,并且可以防止身份验证。

笔记 :你必须禁用 忘记密码 如果使用SAML身份验证,则选项 

设置用户密码

管理员可以选择手动设置或重置用户的密码。设置常规用户的密码只需通过admin即可完成用户模块>用户管理。此方法取决于 系统生成的密码 选项。有关从用户模块更改用户密码的更多信息,请查看 重置用户密码 用户文档的部分。

笔记 :对于使用甘蔗的实例,管理员将无法通过用户的配置文件手动更改或重置用户的密码。相反,用户可以点击“忘记密码?” Sugar登录屏幕上的链接以重置其密码。

最后修改:2020-11-30 17:17:29