内网AD认证

解决方案概述

背景信息：

当下大部分企业会选择将公司用户的数据存储在AD域中，将AD域作为用户数据中心进行维护。应用系统部署在内网时，应用系统可以访问 AD 进行账户的认证。随着企业信息化的转型，企业开始逐渐使用云产品和云服务。出于安全考虑，企业的AD往往不会开放到公网，这些云产品就很难与企业现有身份目录 AD 集成联动，造成云上身份孤岛问题，增加了企业维护成本和安全风险。用户也需要记录多套账号信息，容易出现账号记录混乱等问题；

解决方案：

通过 IDaaS 整合云产品，实现云产品的单点登录，并使用 Connector 服务组件实现内网 AD 和 IDaaS 的认证联动，达到使用内网 AD 账户认证登录到 IDaaS 以及其他在 IDaaS 中所有集成的应用系统。

收益：

1. 客户内网 AD 无需开放到公网，降低安全风险，同时用户只需使用AD中的账户密码，就可畅通访问所有集成了的应用系统，减少多套账户维护成本；

2. IDaaS提供对接文档，操作简单，对接快速，减少自我研发对接认证方式的成本；

一、环境准备

1、购买公有云 IDaaS 产品；

2、部署 Connector 服务组件，Connector 服务器需要保证可以访问到您内网的 AD，同时需要将Connector 服务器的对应端口开放到公网；

3、将您 AD 中的账户通过 Connector 导入到 IDaaS，您可以参考 基于 IDaaS 的AD账号同步中的步骤1-3；

二、支持的对象

AD 中的可用账户；

三、配置流程

在 Connector 中创建 AD 来源（如果使用 Connector 拉取 AD 数据到 IDaaS，可以使用同一个来源），并将其添加为委托认证的认证源，然后在 IDaaS 中添加并配置委托认证认证源即可。

3.1 新建同步来源

1. 部署好 Connector 后，通过 http://IP 的方式进行访问，输入用户名和密码进行登录

   

2. 在左侧导航栏点击同步 > 来源管理，点击新建同步来源

   

3. 在新建同步来源页面，配置AD的信息内容，并点击提交

   配置项	说明
   来源主类型	LDAP
   来源子类型	WINDOWS_AD
   服务器地址	AD服务器的地址
   端口号	默认为389
   默认域	AD的域名，如test.com
   查询基准DN	如果AD域是test.com，此处填写DC=test,DC=com；如果想只查询其中的一个OU下的账户（例如002组织），那么在前面增加ou=002。
   管理员DN	参考格式CN=administrator,CN=Users,DC=test,DC=com，其中administrator是管理员账户名，Users值不需更改，test 和 com 是AD域信息。
   管理员密码	填写上述填写的管理员账户的密码，即 administrator 账户的密码。

   

4. 点击测试连接，确保连接的参数配置正确。然后点击保存

3.2 配置 Connector 委托认证

1. 在左侧导航栏中，点击认证 > 委托认证。在委托认证配置页面，点击开启委托认证功能

   

2. 获取数据加密公钥，在IDaaS 中创建委托认证源时会用到该参数

   

3. 在 认证源 页签，点击新建认证源，添加之前创建的AD来源

   

4. 添加完成后，会生成一个id，IDaaS 创建委托认证认证源时会用到

3.3 添加委托认证认证源

1. 登录 IDaaS，在左侧导航栏中点击 认证 > 认证源，点击添加认证源

   

2. 选择 Connector 委托认证，点击添加认证源

   

3. 配置认证源

   

   服务器地址：Connector访问地址

   认证ID：Connector 认证源id， 3.2 步骤4中获取

   公钥：Connector 委托认证数据加密公钥， 3.2 步骤2中获取

4. 创建成功后，启用它

完成上述步骤，用户在 IDaaS 登录页会看到对应的认证源图标

点击图标会进入 AD 认证源的登录页面，直接使用 AD 账户进行认证即可进入 IDaaS 中，并可单点登录到已集成并授权了的公网应用