AnsweredAssumed Answered

AD(Active Directory)のグループ・ユーザに基づいたPI Visionのアクセス権限・画面編集権限制御について

Question asked by TomokiHorio on May 29, 2020
Latest reply on Jun 1, 2020 by mhayakawa

他のサイトを参考にしましたが、具体的なソリューションが見つかりませんでしたので、ここに投稿させていただきます。ご回答の方宜しくお願い致します。

 

1.PI Visionへログインするためには以下の2点が必要と認識しています。合っていますでしょうか。
・Kerberos認証可能なADユーザーであること。(Kerberos認証が推奨されている)
・PI Visionサーバーのローカルグループ(PI Vision AdminsもしくはPI Vision Users)に登録されているユーザーであること。

 

2.例えばKerberos認証でアクセスしに行く先のAD(ActiveDirectory)サーバーにグループ1というADグループとグループ2というADグループが存在しており、下記のように各グループにはそれぞれユーザIDとパスワードを登録している複数のユーザーが存在しているとします。
ADグループ1にはUser1(UserID/PW), User2(UserID/PW), User3(UserID/PW)
ADグループ2にはUser4(UserID/PW), User5(UserID/PW), User6(UserID/PW)

 

PIVisionへのアクセスをADグループ別で制御したい、且つログイン後のPI Vision画面右上に表示されるUser名はADグループのUserIDにしたいときの解決方法を教えていただきたいです。
例えば、ADグループ1のUser1がブラウザからADに登録されているUserID/PWを入力してログインボタンを押下するとKerberos認証が実施され、認証に成功するとPI Vision画面の右上にUser1のUserIDが表示され、
且つADグループ1が編集権限(Read/Write)を持っているdisplayしか表示されていない状況をイメージしています。

Outcomes