1.   UMC与UMAC介绍

UMC是User Management Component首字母的简写，即用户管理组件。最初用户的管理是分散方式，用户的创建和管理都是在本地，每一个设备都有自己独立的用户管理，例如WINCC站点、TIA博途项目和操作面板。用户的本地管理对于较大的系统是低效的，用户的创建和管理不统一也不方便，造成管理的混乱的同时也不安全。

用户管理组件(UMC)是中央用户管理方式，针对个人的角色和权限进行分配，减少维护工作量，又提高流程的透明度。用户的中央管理是在系统中针对个人访问权限形成有效和一致管理的基础，可以显著降低安全风险。UMC可以创建新的用户和用户组，也可以从Microsoft Active Directory (AD) 导入用户和用户组（必须连接到相应的域中），然后将中心用户和用户组导入到各种应用程序中，或者将它们作为临时用户。说的更简单一点，就是在中央管理用户，这些用户和密码都存储在服务器中。目前支持UMC用户管理的的应用如下：

-  SINEMA RC

-  SINEC NMS

-  WinCC Unified

-  TIA 博途

-  WinCC Runtime Advanced

除此之外，UMC还是开放的，可以使用Openness进行访问。UMC也支持使用智能卡进行

用户身份认证。

UMAC是User Management and Access Control首字母的简写，即用户管理和访问控制，使用UMAC可以创建本地用户并进行管理，例如分配不同的操作权限。

UMC只是针对用户管理，虽然也分配权限，也仅限于UMC的管理。本地的操作权限就需要在UMAC（不同的应用）中进行设置，以TIA博途为例，可以设置项目管理权限，例如打开项目进行编辑；也可以设置项目维护权限，只能打开项目进行监控而不能编辑。

总结一下，就是在UMC中设置全局用户，在UMAC中设置本地用户和操作权限。

2.   UMC系统架构与PC的角色

想要了解UMC必须要知道UMC的系统架构，在架构中有哪些PC组成以及对应的功能？有几种配置方式？我们先参考一下UMC的系统架构，如图1所示。

图1

由不同角色的PC组成UMC的系统架构，主要有UMC环服务器（Ring Server）、UMC 服

务器（Server）、UM运行服务器（Run time Server）和UMC代理（Agent）。连接到域中，可以导入Microsoft Active Directory中的用户，这里不作介绍。

PC角色的解释如下：

UMC环服务器

主导UM配置，负责管理域（用户管理的域），完整实现用户身份验证和管理。通过运行umconf命令行创建UMC 环服务器，首先配置的环服务器优先级高，环服务器可以是冗余的，如果主环服务器未连接，系统会动态选择备用环服务器。UMC环服务器在整个架构中是必须的。数量最多是2个。

UMC 服务器

没有连接到UMC环服务器,UMC服务器工作在降级模式时，在该模式仍然允许进行身份验证（不是所有的应用都支持离线身份验证，例如TIA博途），但不能进行用户的管理。UM服务器用于平衡UMC环服务器负荷。UMC服务器在系统架构中是可选的（即可以不需要），数量最多是4个。

UMC 运行服务器

UMC运行服务器是一个简化版的UMC服务器，主要关注运行桌面应用程序和加速连接过程所需的操作。UMC运行服务器在系统架构中是可选的，数量最多是125个。

UMC代理

作为连接到的UM服务器/UM环服务器的客户端工作，每次登陆，在服务器端检测登陆的数据。UMC代理可以用于运行使用UMC API开发的应用程序。UMC代理在系统架构中是可选的，主要任务是将不同的应用连接到UMC服务器上。数量最多是25个。

在UMC整个系统架构中，UMC环服务的必须的，可以进行冗余配置，可以连接不同角色的PC。下面列出几种不同的组合：

-  UMC环服务器 + UMC 服务器/运行服务器,应用例如TIA博途安装于UMC服务器中。通

过UMC服务器连接到UMC环服务器。

-  UMC环服务器 + UMC 代理,应用安装于UMC代理中，通过UMC代理连接到UMC服务器/

环服务器。

-  UMC环服务器 +UMC 服务器/运行服务器+ UMC 代理,应用可以安装于UMC服务器和代理

中。UMC代理可作为UMC环服务器或者UMC服务器的客户端。

3.   用户的角色

UMC中的用户有不同的角色，不同角色有不同的权限，系统中缺省定义了三个角色，分别为：

-  Administrator（管理员）

最初始用户，可以执行任何操作。该角色不能与任何组关联。Administrator角色不能被删除。

-  UMC Admin

可以管理用户、组和所有其他UMC实体。

-  UMC Viewer

可以访问用户管理配置但不能做任何修改。

除此之外，还可以创建新的角色。不同角色可以分配不同的功能权限，具体的权限如下：

·   UM_ADMIN

·   UM_VIEW

·   UM_RESETPWD

·   UM_UNLOCKUSR

·   UM_ATTACH

·   UM_JOIN

·   UM_RESETJOIN

·   UM_IMPORT

·   UM_EXPORT

·   UM_BACKUP

·   UM_EXPORTCK

·   UM_EXPORTDK

·   UM_RA

·   UM_RINGMNG

·   UM_ADSYNC

·   UM_VIEWELG

·   UM_CLAIMAUTH

·   UM_REGCLIENT

这些权限是用于配置UMC系统的，与应用的权限是有区别的，具体的功能可以参考文档，这里不再赘述。不同角色的用户可以拥有多个权限，这些设置在稍后介绍。

心得体会：

使用umconf和UMX进行配置时需要分配相应的权限，如果使用WEB UI进行操作，则很少使用这些权限。

4.   UMC 订货信息和与授权

UMC的订货信息参考表1。

表1

5.   软件安装与工具简介

UMC随TIA博途自动安装，也可以独立安装在一台PC中作为UMC环服务器，在TIA 博途安装盘(DVD 2)的“支持”中可以发现UMC的安装文件“TIA_UMC_V2.exe”。

软件安装的缺省路径为：“C:\Program Files\Siemens\Automation\UserManagement”，这个路径会经常使用，需要记住。在该路径下可以发现帮助文档，如图2所示。

图2

UMC安装后，还需要进行设置，这些设置需要有先决条件，例如设置IIS（Internet Information Services），打开PC的控制面板，双击打开“程序和功能”，再双击“启用和关闭Windows功能”条目打开对话框，然后选择IIS进行安装，如图3所示。

图3

除此之外，还需要检查操作系统版本和其它选项，这些可以通过手册《UMC_InstallationManual》进行查看。

UMC环服务器、服务器和代理的创建、连接等操作需要使用umconf命令行进行操作，具体命令可以查看手册《UMC_UMCONFUserManual》。

UMC环服务器创建完成后还需要进行配置，例如添加和导入用户数据等，有两种工具可以使用：

-  使用WEB进行配置，相关资料需要查看手册《UMC_WEBUIUserManual》。这种方式相对简单。

-  使用UMX命令行进行配置，相关资料需要查看手册《UMC_UMXUserManual》。相对于WEB方式，使用UMX命令行功能强。

心得：

UMC功能比较多，涉及的知识面也比较广，手册也多。自己在学习和使用中遇到了不同问题，列出这些手册可以看出配置UMC有几种工具可以使用，在遇到问题时可以快速查询相关的资料。

6.   创建一个UMC 环服务器

UMC安装完成后，就可以创建一个UMC环服务器了，示例中的操作系统为WIN10，不连接到安装Microsoft Active Directory的域中。具体的步骤如下：

1)    在PC的左下角搜索中键入CMD，然后以管理员身份运行“命令提示符”，如图4所示。

图4

心得体会：

手册中是选择指令，然后直接使用管理员运行该指令，如果出现问题会跳出并关闭窗口，不能得到相应的返回信息，所以推荐使用CMD方式运行指令。

2)    打开CMD后，切换到“C:\Program Files\Siemens\Automation\UserManagement\BIN”路径（缺省安装路径），如图5所示。

图5

3)    键入“umconf -i”，在提示的条目中创建唯一的用户管理域名(“UM域名”)。输入期望的名称，例如test，回车确认。UM域与PC属性中的域是不同的。  

4)    UM域创建后，提示创建UM管理员的名称和密码，这里创建的管理员是唯一的，就是在第3节中所说的“Administrator”。

5)    接下来需要创建一个服务帐户来管理UMC服务。这个账户必须是属于“UM服务帐户”组或具有“UMCService”的管理权限，例如在网络上添加一个UMC 服务器，示例中使用缺省的“Administrator ”，即Windows登录账户，具体管理员权限。

6)    示例中没有使用Microsoft Active Directory，所以没有配置“provisioning service ”。

7)    键入 umconf -dsso enable -f ，使能UMC的单点登录功能。SSO（Single Sign-On）单点登录，使用该机制，在多个应用系统中，用户只需一次登录就可以访问所有相互信任的应用系统（更详细的介绍可以在网上搜索）。这样UMC服务器就配置完成了，如图6所示。

图6

8)    通过UMX -status命令可以查看UMC 环服务器的状态，如图7所示。

图7

7.   配置UMC环服务器的WEB服务器

UMC环服务器设置完成后，通过UMX命令行可以进行用户的创建、分配权限等操作，对于大多数工程师来说还是更倾向于将UMC环服务器作为一个WEB服务器，使用浏览器进行配置的方式。将UMC环服务器配置为WEB服务器需要配置Internet Information Services管理器。具体步骤如下：

1)    Internet Information Services必须安装，参考图3。在PC的左下角搜索中键入IIS，打开Internet Information Services管理器。

2)    选择根目录，双击打开服务器证书，如图8所示。

图8

这里需要注意，Application Request Routing和URL Rewrite 必须安装，如果没有安

装可以联网下载，网址如下：

https://www.iis.net/downloads/microsoft/application-request-routing

https://www.iis.net/downloads/microsoft/url-rewrite

3)    点击右键，创建一个自签名证书，如图9所示，证书创建后退出。

图9

4)    点击左侧的“Default Web Site”，右键快捷菜单中选择“编辑绑定”，在弹出的对话框中点击“添加”按钮，再次弹出对话框，选择类型为HTTPS，端口为443，SSL证书选择上面创建的自签名证书，如图10所示。

图10

5)    步骤1-4是在IIS中配置HTTPS协议，这样登录WEB服务器将使用HTTPS协议。对于WEB服务器后续的配置，在《UMC_InstallationManual》安装手册中，可以查看后续手动操作过程，比较繁琐。为了简化WEB服务器的配置，UMC软件安装后提供了一个批处理文件，可以自动执行后续大部分的工作。这个文件需要在CMD中执行，使用管理器权限打开CMD后，切换到C:\ProgramFiles\Siemens\Automation\UserManagement\BIN路径，运行IdP_WebUi_Configurator.bat，如图11所示。

图11

6)    到这里，为UMC环服务器建立基于WEB管理的工作就完成了。

心得体会：

修改UMC的配置，例如使用umconf -i命令重新配置UMC环服务器后也需要执行IdP_WebUi_Configurator.bat批处理文件，否则使用浏览器访问UMC环服务器会出现问题。如果需要重新配置，可以使用umconf -D -f（注意大小写）命令删除UMC环服务器的配置。

执行REMOVE_IdP_WebUI_configuration.bat批处理文件可以删除UMC环服务器的WEB配置，但是不会删除证书和网站的绑定。

7)    打开浏览器，键入地址https://UMC环服务器IP地址:443/UMC就可以访问UMC环服务器了。

 

本文/视频版权归西门子1847工业学习平台所有，未经允许，不得转载。