Trang này mô tả các cấu hình và giới hạn tối ưu áp dụng cho quản lý người dùng trong JIRA.
Khuyến nghị chung
Tránh tên người dùng trùng lặp trên các thư mục . Nếu bạn đang kết nối với nhiều thư mục người dùng, chúng tôi khuyên bạn nên đảm bảo tên người dùng là duy nhất cho một thư mục. Ví dụ: chúng tôi khuyên bạn không nên có người dùng jsmithtrong cả 'Directory1' và 'Directory2'. Lý do là khả năng gây nhầm lẫn, đặc biệt nếu bạn hoán đổi thứ tự của các thư mục. Việc thay đổi thứ tự thư mục có thể thay đổi người dùng mà tên người dùng cụ thể đề cập đến.
Hãy cẩn thận khi xóa người dùng trong các thư mục từ xa . Nếu bạn đang kết nối với thư mục LDAP, thư mục Crowd hoặc thư mục JIRA từ xa, vui lòng cẩn thận khi xóa người dùng khỏi thư mục từ xa. Nếu bạn xóa người dùng được liên kết với dữ liệu trong JIRA, điều này sẽ gây ra sự cố trong JIRA. Chúng tôi khuyên bạn nên thực hiện quản lý tất cả người dùng trong JIRA, vì JIRA UI sẽ ngăn việc xóa người dùng nếu có vấn đề được gán cho người dùng, do người dùng báo cáo hoặc người dùng là trưởng dự án.
Đề xuất kết nối với LDAP
Vui lòng xem xét các giới hạn và đề xuất sau đây khi kết nối với thư mục người dùng LDAP.
Số lượng người dùng và nhóm tối ưu trong Danh mục LDAP của bạn
Kết nối với thư mục LDAP của bạn cung cấp hỗ trợ mạnh mẽ và linh hoạt để kết nối, định cấu hình và quản lý máy chủ thư mục LDAP. Để đạt được hiệu suất tối ưu, tác vụ đồng bộ hóa nền sẽ tải những người dùng và nhóm được yêu cầu từ máy chủ LDAP vào cơ sở dữ liệu của ứng dụng và định kỳ tìm nạp các bản cập nhật từ máy chủ LDAP để giữ dữ liệu ở trạng thái phù hợp. Lượng thời gian cần thiết để sao chép người dùng và nhóm tăng theo số lượng người dùng, nhóm và tư cách thành viên nhóm. Vì lý do đó, chúng tôi đã đề xuất số lượng người dùng và nhóm tối đa như được mô tả bên dưới.
Đề xuất này ảnh hưởng đến các kết nối đến thư mục LDAP:
- Microsoft Active Directory
- Tất cả các máy chủ thư mục LDAP khác
Các cấu hình LDAP sau không bị ảnh hưởng:
- Thư mục nội bộ với xác thực LDAP
- Các thư mục LDAP được định cấu hình cho 'Chỉ xác thực, Sao chép người dùng khi đăng nhập lần đầu'
Vui lòng chọn một trong các giải pháp sau, tùy thuộc vào số lượng người dùng, nhóm và tư cách thành viên trong thư mục LDAP của bạn.
môi trường của bạn | sự giới thiệu |
|---|
Lên đến 10 000 (mười nghìn) người dùng, 1000 (một nghìn) nhóm và 20 (hai mươi) nhóm cho mỗi người dùng | Chọn loại thư mục ' LDAP ' hoặc ' Microsoft Active Directory '. Bạn có thể sử dụng tùy chọn đồng bộ hóa đầy đủ. Cơ sở dữ liệu ứng dụng của bạn sẽ chứa tất cả người dùng và nhóm trong máy chủ LDAP của bạn. |
Nhiều hơn những điều trên | Sử dụng bộ lọc LDAP để giảm số lượng người dùng và nhóm hiển thị cho tác vụ đồng bộ hóa. |
Kết quả kiểm tra của chúng tôi
Chúng tôi đã thực hiện thử nghiệm nội bộ về đồng bộ hóa với máy chủ AD trên mạng cục bộ bao gồm 10 000 người dùng, 1000 nhóm và 200 000 thành viên.
Chúng tôi thấy rằng quá trình đồng bộ hóa ban đầu mất khoảng 5 phút. Đồng bộ hóa tiếp theo với 100 sửa đổi trên máy chủ AD mất vài giây để hoàn thành.
Xin lưu ý rằng có một số yếu tố phát huy tác dụng khi cố gắng điều chỉnh hiệu suất của quá trình đồng bộ hóa, bao gồm:
- Kích thước của cơ sở người dùng. Sử dụng bộ lọc LDAP để giữ điều này ở mức tối thiểu phù hợp với yêu cầu của bạn.
- Loại máy chủ LDAP. Chúng tôi hiện hỗ trợ phát hiện thay đổi trong AD, vì vậy các lần đồng bộ hóa tiếp theo cho AD nhanh hơn nhiều so với các máy chủ LDAP khác.
- Cấu trúc mạng. Máy chủ LDAP của bạn càng xa máy chủ ứng dụng của bạn thì càng có nhiều truy vấn LDAP tiềm ẩn.
- Hiệu suất cơ sở dữ liệu. Khi quá trình đồng bộ hóa lưu trữ dữ liệu trong cơ sở dữ liệu, hiệu suất của cơ sở dữ liệu của bạn sẽ ảnh hưởng đến hiệu suất của quá trình đồng bộ hóa.
- Kích thước đống JVM. Nếu kích thước heap của bạn quá nhỏ đối với cơ sở người dùng của bạn, thì bạn có thể gặp phải tình trạng thu gom rác nặng nề trong quá trình đồng bộ hóa, điều này có thể làm chậm quá trình đồng bộ hóa.
LDAP dự phòng không được hỗ trợ
Các kết nối LDAP không hỗ trợ cấu hình của hai hoặc nhiều máy chủ LDAP để dự phòng (chuyển đổi dự phòng tự động nếu một trong các máy chủ gặp sự cố).
Ghi chú cụ thể để kết nối với Active Directory
Khi ứng dụng đồng bộ hóa với Active Directory (AD), tác vụ đồng bộ hóa chỉ yêu cầu các thay đổi từ máy chủ LDAP thay vì toàn bộ cơ sở người dùng. Điều này tối ưu hóa quá trình đồng bộ hóa và mang lại hiệu suất nhanh hơn nhiều cho các yêu cầu thứ hai và tiếp theo.
Mặt khác, phương pháp đồng bộ hóa này dẫn đến một số hạn chế:
- Di chuyển bên ngoài các đối tượng ra khỏi phạm vi hoặc đổi tên các đối tượng gây ra sự cố trong AD. Nếu bạn di chuyển các đối tượng ra khỏi phạm vi trong AD, điều này sẽ dẫn đến bộ nhớ cache không nhất quán. Chúng tôi khuyên bạn không nên sử dụng giao diện thư mục LDAP bên ngoài để di chuyển các đối tượng ra khỏi phạm vi của cây con, như được xác định trên màn hình cấu hình thư mục của ứng dụng. Nếu bạn cần thực hiện các thay đổi về cấu trúc đối với thư mục LDAP của mình, hãy đồng bộ hóa thủ công bộ đệm thư mục sau khi bạn đã thực hiện các thay đổi để đảm bảo tính nhất quán của bộ đệm.
- Đồng bộ hóa giữa các máy chủ AD không được hỗ trợ. Microsoft Active Directory không sao chép thuộc tính uSNChanged trên các phiên bản. Vì lý do đó, chúng tôi không hỗ trợ kết nối với các máy chủ AD khác nhau để đồng bộ hóa. (Tất nhiên, bạn có thể xác định nhiều thư mục khác nhau, mỗi thư mục trỏ đến máy chủ AD tương ứng của chính nó.)
- Không hỗ trợ đồng bộ hóa với máy chủ AD phía sau bộ cân bằng tải. Như với việc đồng bộ hóa giữa hai máy chủ AD khác nhau, Microsoft Active Directory không sao chép thuộc tính uSNChanged trên các phiên bản. Vì lý do đó, chúng tôi không hỗ trợ kết nối với các máy chủ AD khác nhau ngay cả khi chúng được cân bằng tải. Bạn sẽ cần chọn một máy chủ (tốt nhất là máy chủ cục bộ) để đồng bộ hóa thay vì sử dụng bộ cân bằng tải.
- Bạn phải khởi động lại ứng dụng sau khi khôi phục AD từ bản sao lưu. Khi khôi phục từ bản sao lưu của máy chủ AD, dấu thời gian uSNChanged được hoàn nguyên về thời gian sao lưu. Để tránh nhầm lẫn, bạn sẽ cần xóa bộ nhớ đệm thư mục sau thao tác khôi phục Active Directory.
- Việc xóa đối tượng AD yêu cầu quyền truy cập của quản trị viên. Active Directory lưu trữ các đối tượng đã xóa trong một vùng chứa đặc biệt có tên là cn=Các đối tượng đã xóa. Theo mặc định, để truy cập vùng chứa này, bạn cần phải kết nối với tư cách quản trị viên và do đó, để tác vụ đồng bộ hóa nhận biết được việc xóa, bạn phải sử dụng thông tin xác thực của quản trị viên. Ngoài ra, có thể thay đổi các quyền trên vùng chứa cn=Deleted Objects. Nếu bạn muốn làm như vậy, vui lòng xem bài viết Microsoft KB này .
- DN người dùng được sử dụng để kết nối với AD phải có thể nhìn thấy thuộc tính uSNChanged. Tác vụ đồng bộ hóa dựa trên thuộc tính uSNChanged để phát hiện các thay đổi và do đó phải ở trong các nhóm bảo mật AD thích hợp để xem thuộc tính này cho tất cả các đối tượng LDAP trong cây con.
Đề xuất kết nối với máy chủ JIRA khác
Vui lòng xem xét các hạn chế và đề xuất sau đây khi kết nối với máy chủ JIRA để quản lý người dùng.
Đăng nhập một lần trên nhiều ứng dụng không được hỗ trợ
Khi bạn kết nối với ứng dụng JIRA để quản lý người dùng, bạn sẽ không có đăng nhập một lần trên các ứng dụng được kết nối theo cách này. JIRA, khi hoạt động như một trình quản lý thư mục, không hỗ trợ SSO.
Trình kết nối ứng dụng tùy chỉnh không được hỗ trợ
Các ứng dụng JIRA, Confluence, FishEye, Crucible và Bamboo có thể kết nối với máy chủ JIRA để quản lý người dùng. Trình kết nối ứng dụng tùy chỉnh sẽ cần sử dụng API REST mới.
Thư mục tùy chỉnh không được hỗ trợ
Các phiên bản trước của JIRA hỗ trợ Nhà cung cấp OSUser. Do đó, có thể viết một nhà cung cấp đặc biệt để lấy thông tin người dùng từ bất kỳ thư mục người dùng bên ngoài nào. Đây không còn là trường hợp.
Tải trên phiên bản JIRA của bạn
Nếu phiên bản JIRA của bạn đã ở mức tải cao, thì việc sử dụng phiên bản đó làm Máy chủ người dùng sẽ làm tăng tải đó.
Các ứng dụng JIRA Cloud không được hỗ trợ
Bạn không thể sử dụng các ứng dụng JIRA Cloud để quản lý người dùng độc lập. Người dùng đám mây và người dùng trong các ứng dụng Atlassian tự lưu trữ của bạn cần được quản lý riêng.
khuyến nghị
môi trường của bạn | sự giới thiệu |
|---|
Nếu tất cả những điều sau đây là đúng: - Ứng dụng JIRA của bạn không ở mức tải cao.
- Bạn muốn chia sẻ việc quản lý nhóm và người dùng chỉ trên một vài ứng dụng, chẳng hạn như một máy chủ Phần mềm JIRA và một máy chủ Confluence hoặc hai máy chủ JIRA.
- Bạn không cần đăng nhập một lần (SSO) giữa ứng dụng JIRA của bạn và Confluence hoặc giữa hai máy chủ JIRA.
- Bạn không có trình kết nối ứng dụng tùy chỉnh. Hoặc, nếu bạn có chúng, bạn có thể chuyển đổi chúng để sử dụng API REST mới.
- Bạn có thể tắt tất cả các máy chủ của mình khi cần nâng cấp ứng dụng JIRA của mình.
| Môi trường của bạn đáp ứng các yêu cầu tối ưu để sử dụng ứng dụng JIRA để quản lý người dùng. |
Nếu một hoặc nhiều điều sau đây là đúng: - Nếu ứng dụng JIRA của bạn đã ở mức tải cao.
- Bạn muốn chia sẻ quản lý người dùng và nhóm trên hơn 5 ứng dụng.
- Bạn cần đăng nhập một lần (SSO) trên nhiều ứng dụng.
- Bạn có các ứng dụng tùy chỉnh được tích hợp thông qua API Crowd SOAP và bạn không thể chuyển đổi chúng để sử dụng API REST mới.
- Bạn không vui khi tắt tất cả các máy chủ của mình khi cần nâng cấp JIRA.
| Chúng tôi khuyên bạn nên cài đặt Atlassian Crowd để quản lý người dùng và SSO. |
Nếu bạn đang xem xét việc tạo trình kết nối thư mục tùy chỉnh để xác định bộ nhớ của riêng mình cho người dùng và nhóm... | Vui lòng xem liệu một trong các giải pháp sau có phù hợp với bạn không: - Nếu bạn đã viết một nhà cung cấp tùy chỉnh để hỗ trợ một lược đồ LDAP cụ thể, vui lòng kiểm tra các lược đồ LDAP được hỗ trợ để xem liệu bạn có thể sử dụng một trong số chúng hay không.
- Nếu bạn đã viết một trình cung cấp tùy chỉnh để hỗ trợ các nhóm lồng nhau, thay vào đó, vui lòng xem xét bật các nhóm lồng nhau trong trình kết nối thư mục được hỗ trợ.
- Nếu bạn đã viết một nhà cung cấp tùy chỉnh để kết nối với cơ sở dữ liệu của riêng mình, thay vào đó hãy xem xét việc tải dữ liệu vào cơ sở dữ liệu của ứng dụng.
- Nếu bạn cần giữ kết nối thư mục tùy chỉnh, vui lòng xem xét liệu Atlassian Crowd có đáp ứng yêu cầu của bạn hay không. Xem tài liệu về Tạo Trình kết nối Thư mục Tùy chỉnh .
|