users

数栈用户与Ldap成员打通

租户和用户的关系：一个用户可以被加入多个租户

租户和集群的关系：一个租户绑定一个集群，一个集群可以被多个租户绑定

集群和ldap的关系：一个集群对应一套ldap、一套ranger，也支持多个集群配置相同的ldap和ranger地址（考虑网络不通场景）

【结论】：基于以上关系，本质上是加入租户时创建相应的ldap账号，但是需要判断用户所属的租户是否属于同一集群同一套ldap，且需要判断同一套ldap用户体系下是不是已经存在ldap账号，若已存在则无需再创建ldap账号。

【场景一】：租户A、租户B属于同一套集群，用的是同一套ldap账户体系

当用户先后被加入了租户A、租户B

当用户被加入租户A时，创建相应的ldap账号

当用户被加入租户B时，不再创建相应的ldap账号

【场景二】：租户A、租户C不属于同一套集群，用的不是同一套ldap账户体系

当用户先后被加入了租户A、租户C

当用户被加入租户A时，创建相应的ldap账号

当用户被加入租户B时，需要再创建相应的ldap账号

【UIC】:不同租户下，UIC用户组名称可以重复；同一租户下，用户组名称不能重复

【ldap】：用户组名称不允许重复

【UIC】：同一个租户下，用户组名称可以和用户名相同

【ldap】：用户组名称和用户名不允许相同

【结论】：综上，当UIC创建用户组时，ldap侧同步创建用户组，ldap用户组名称：租户id名称+UIC用户组名称（这样处理可以避免以上问题）

备注：用户在界面上无需感知，因为ldap用户组的创建与ldap账号没有关系，只需要创建对应用户组

数据安全平台定期拉取Ldap用户、用户组，由于数栈用户与Ldap用户已打通，数栈用户可直接登入数据安全平台进行操作。