同步中心说明

同步中心功能主要依赖connector组件进行实现,connector组件需要进行单独部署。Connector部署说明请查看基于IDaaS的AD账户同步-最佳实践

Connector作为一个第三方组件,IDaaS标准版(增强版)提供单机版部署,IDaaS专属版提供集群部署。

使用connector原因

  1. IDaaS如果同步的数据量过大,会有网关超时的限制,如果把同步功能放到connector中,connector进行独立部署,不会引起网关超时;
  2. 内网应用,如AD无法和公网直接通信,可以在内外网之间部署connector,实现内网AD经由connector同步数据到公网IDaaS的目的。

Connector和IDaaS结合实现的场景

  1. IDaaS和AD之间的双向同步
  2. IDaaS和钉钉之间的双向同步
  3. IDaaS同步账户到RAM系统

1. 同步中心配置

此处我们使用connector从AD同步数据到IDaaS,再同步账户到RAM进行配置说明

1.1. 前提

Connector 组件需要部署在阿里云的ECS服务器上,需要用户自行购买。服务器的配置推荐为4核8G,200G的存储空间。操作系统选择centos7以上64bit的linux系统

1.2. 添加建立连接使用的密钥对

部署好Connector组件之后,在浏览器输入服务器的IP进行访问。登录成功之后,点击左侧导航栏中的密钥管理,添加一对密钥。

在新建密钥界面输入密钥的名称即可。如果需要建立多个密钥,则需要保证名称的唯一性。

点击保存之后,界面上会展示一条新的密钥信息,点击按钮进行启用。

IDaaS同步中心创建Connector连接器时,需要填写Connector的客户端ID和客户端密钥,从此处直接点击复制即可。一个密钥对对应一个Connector连接器,如需创建多个Connector连接器,需要创建多个密钥对。

1.3. 新建Conntector连接

管理员登录后,在左侧导航栏中点击同步中心,切换到同步设置页面。在管理Connector连接器的标签下,点击新建Connector

必填项参数说明:

  • 名称:connector连接器的名称
  • 接口调用地址: connector的地址接口
  • ClientId:上述步骤创建好密钥对后,获取的客户端ID接口
  • ClientSecret:上述步骤创建好密钥对后,获取的客户端密钥

创建成功之后,会在管理Connector连接器中创建一条记录,如图:

2. 拉取第三方应用/AD数据到IDaaS

本章节以LDAP作为数据源,介绍如何配置实现拉取LDAP数据到IDaaS。

2.1. 创建同步来源

在管理同步来源(入方向)的标签下,点击新建来源。

参数说明:

  • 名称:同步来源的名称,唯一
  • 来源类型:同步来源使用的协议类型以及子类型,如LDAP/OPEN_LDAP指的是来源使用的是LDAP协议,类型是OPEN_LDAP
  • LDAP服务器的连接信息
    • 服务器地址:LDAP服务器的地址
    • 端口号:LDAP服务器的端口号,默认为389
    • Base DN:LDAP同步来源的账户范围
    • 管理员DN:拥有LDAP管理员权限的账号
    • 管理员密码:管理员账户对应的密码

2.2. 配置同步任务

创建同步来源后,需要配置同步任务。在管理同步来源(入方向)的标签下,选择同步来源,点击配置同步。

参数说明:

  • 名称:同步任务的名称,需要唯一
  • 目标根节点标识:IDaaS中目标机构的外部ID,获取方式如图
  • 描述:同步任务的描述
配置完成之后,点击立刻执行同步,即可实现拉取LDAP数据到IDaaS平台。
2.3. 设置定时同步

Connector组件还支持定时同步功能,即定时拉取LDAP数据到IDaaS平台,配置步骤如下:

1、在Connector应用界面点击同步任务,选择对应的任务点击编辑

2、点击“下一步”,切换到“同步计划”标签页。然后开启定时同步,并进行配置。
3、配置定时同步任务

定时同步任务有两种执行方式,分别是周期执行和定时执行:

  • 周期执行:每隔一段时间将LDAP数据拉取到IDaaS平台,时间间隔由管理员设定,最短1小时,最长23小时。
  • 定时执行:到规定时间后自动执行同步任务,将LDAP数据拉取到IDaaS平台,时间可以由管理员设置,可以添加多个执行时间点。

通过以上步骤即可实现定时执行同步任务。

3. 将IDaaS数据推送到第三方应用

本章节以阿里云RAM作为接收方,介绍如何配置实现将IDaaS数据推送到RAM。

3.1. 创建同步目标

在管理同步目标(出方向)的标签下,点击新建目标。

必填参数说明

  • 目标名称:同步目标的名称,需唯一
  • 目标类型:同步目标的应用类型或使用的协议类型及子类型
  • 区域ID:固定值,为cn-hangzhouAccess Key ID:阿里云RAM中的
  • AccessKey ID,获取方式如图Access Key Secret:阿里云RAM中的AccessKey Secret,获取方式如图API 版本:IDaaS 对外提供的 API 版本,固定为v1.2

3.2. 配置同步任务

创建同步目标后,需要配置同步任务。在管理同步目标(出方向)的标签下,选择同步目标,点击配置同步。

参数说明:

  • 名称:同步任务的名称,需要唯一
  • 描述:同步任务的描述

配置完成之后,点击立刻执行同步,即可实现将IDaaS数据全量推送到阿里云RAM。

3.3. 自动同步及同步范围

3.3.1. 自动同步

同步中心默认将同步来源同步到IDaaS的数据自动推送同步目标。即如果依照上述步骤同时配置了LDAP同步来源和RAM同步目标,管理员在同步中心手动点击LDAP来源的“立刻执行同步”按钮后。会拉取LDAP的数据到IDaaS,并且同时将拉取到的数据推送到RAM。

3.3.2. 设置自动同步的范围

管理员可以在管理同步目标(出方向)中,进行同步范围的配置。操作步骤如下:

1、创建应用

管理员在左侧导航栏中点击添加应用,进入添加应用界面。选择JWT应用模板,创建一个应用:

2、应用授权

在左侧导航栏中点击应用授权,选择对应的应用改变授权范围。下图表示仅对机构1及其子级机构进行授权。

3、配置关联应用授权同步范围

在管理同步目标(出方向)标签下,选择同步目标,点击修改。

关联应用授权同步范围,输入应用的名称,点击保存。

通过以上步骤,实现自动同步到同步目标时,仅同步指定范围的账户和机构。