LDAP认证登录

本文介绍如何通过LDAP认证源,使用AD域里面的用户登录IDaaS,或者直接登录到应用。

场景

如果客户不希望保存AD用户的密码到阿里,可以使用IDaaS的LDAP认证服务,实现使用AD账户和密码登录阿里控制台,或者其它应用的目的。

演示动图

配置步骤

1. 以IT管理员账号登录云盾IDaaS管理平台。具体操作请参考IT管理员- 登录

2. 在左侧导航点击 认证 ->认证源 跳转到认证源界面。

3. 点击右上角添加认证源,选择LDAP认证源,点击【添加认证源】,即可在弹出的界面中配置LDAP认证源。

LDAP URL为AD域的IP加端口号;

LDAP Base、LDAP UserDn、LDAP密码为AD的值;

过滤条件填写为如 (UID=$username$) 。

说明

IDaaS目前只支持公网访问,AD需要提供公网地址,并开启389端口,可以在安全组策略设置只有IDaaS的出口IP可以访问AD, IDaaS出口IP请提工单咨询IDaaS同学获取。

4. 在AD中创建账户。

说明

若您的AD中已有账户数据,可以跳过该步骤。AD中账户必须同步IDaaS中,才能实现认证。

5. 在右侧导航中点击机构及组,在机构及组页面 新建LDAP配置,配置完成后,将AD中的账户数据拉取到IDaaS中。

6. AD中的账户需要同步IDaaS后,才能使用ldap认证源进行登录认证。 用户输入AD中的账户和密码时,会先检验登录的这个账户是否在IDaaS中存在,如果在IDaaS中存在, 再传递账户到LDAP中去认证, 如果IDaaS中不存在,不会进行下面的操作。

说明

若已经在机构及组中存在LDAP认证源对应的LDAP配置,则不需要新建LDAP配置。

7. 在用户登录页面下侧的第三方认证登录中点击LDAP认证源,跳转到LDAP账户登录界面,使用AD域中的账户密码进行登录。

注意

使用LDAP认证源进行登录时,需要使用AD域里面的密码进行登录,不能使用IDaaS里面的密码登录。

通过以上步骤,完成了添加配置LDAP认证源,用户可以直接使用AD中的账户和密码登录IDaaS。

FAQ

1. 是否使用LDAP认证源,一定要同步ldap的账户到IDaaS中。

是的。只需同步账户,不会同步LDAP中的密码到IDaaS中。

2. 添加了ldap认证源,但是在登录页面没有显示ldap图标。

请查看下图中的登录页显示,是否进行了勾选。

123

3. 是否可以更新LDAP中的密码到IDaaS中。

支持。参考下图设置同步ldap的密码到IDaaS中,当使用LDAP账户和密码登录一次后会自动更新IDaaS中的密码。

12323

4. 通过ldap认证源进行登录,提示账户名和密码不正确。

请检查下面参数和格式是否正确。

123452

5. 是否可以指定默认的登录方式是ldap认证

支持。参考下图配置默认的登录方式是ldap认证源。

1111