内网AD认证

解决方案概述

背景信息:

当下大部分企业会选择将公司用户的数据存储在AD域中,将AD域作为用户数据中心进行维护。应用系统部署在内网时,应用系统可以访问 AD 进行账户的认证。随着企业信息化的转型,企业开始逐渐使用云产品和云服务。出于安全考虑,企业的AD往往不会开放到公网,这些云产品就很难与企业现有身份目录 AD 集成联动,造成云上身份孤岛问题,增加了企业维护成本和安全风险。用户也需要记录多套账号信息,容易出现账号记录混乱等问题;

解决方案:

通过 IDaaS 整合云产品,实现云产品的单点登录,并使用 Connector 服务组件实现内网 AD 和 IDaaS 的认证联动,达到使用内网 AD 账户认证登录到 IDaaS 以及其他在 IDaaS 中所有集成的应用系统。

收益:

  1. 客户内网 AD 无需开放到公网,降低安全风险,同时用户只需使用AD中的账户密码,就可畅通访问所有集成了的应用系统,减少多套账户维护成本;

  2. IDaaS提供对接文档,操作简单,对接快速,减少自我研发对接认证方式的成本;

一、环境准备

1、购买公有云 IDaaS 产品;

2、部署 Connector 服务组件,Connector 服务器需要保证可以访问到您内网的 AD,同时需要将Connector 服务器的对应端口开放到公网;

3、将您 AD 中的账户通过 Connector 导入到 IDaaS,您可以参考 基于 IDaaS 的AD账号同步中的步骤1-3;

二、支持的对象

AD 中的可用账户;

三、配置流程

在 Connector 中创建 AD 来源(如果使用 Connector 拉取 AD 数据到 IDaaS,可以使用同一个来源),并将其添加为委托认证的认证源,然后在 IDaaS 中添加并配置委托认证认证源即可。

3.1 新建同步来源

  1. 部署好 Connector 后,通过 http://IP 的方式进行访问,输入用户名和密码进行登录

  2. 在左侧导航栏点击同步 > 来源管理,点击新建同步来源

  3. 新建同步来源页面,配置AD的信息内容,并点击提交

    配置项

    说明

    来源主类型

    LDAP

    来源子类型

    WINDOWS_AD

    服务器地址

    AD服务器的地址

    端口号

    默认为389

    默认域

    AD的域名,如test.com

    查询基准DN

    如果AD域是test.com,此处填写DC=test,DC=com;如果想只查询其中的一个OU下的账户(例如002组织),那么在前面增加ou=002。

    管理员DN

    参考格式CN=administrator,CN=Users,DC=test,DC=com,其中administrator是管理员账户名,Users值不需更改,test 和 com 是AD域信息。

    管理员密码

    填写上述填写的管理员账户的密码,即 administrator 账户的密码。

  4. 点击测试连接,确保连接的参数配置正确。然后点击保存

3.2 配置 Connector 委托认证

  1. 在左侧导航栏中,点击认证 > 委托认证。在委托认证配置页面,点击开启委托认证功能

  2. 获取数据加密公钥,在IDaaS 中创建委托认证源时会用到该参数

  3. 认证源 页签,点击新建认证源,添加之前创建的AD来源

  4. 添加完成后,会生成一个id,IDaaS 创建委托认证认证源时会用到

3.3 添加委托认证认证源

  1. 登录 IDaaS,在左侧导航栏中点击 认证 > 认证源,点击添加认证源

  2. 选择 Connector 委托认证,点击添加认证源

  3. 配置认证源

    服务器地址:Connector访问地址

    认证ID:Connector 认证源id, 3.2 步骤4中获取

    公钥:Connector 委托认证数据加密公钥, 3.2 步骤2中获取

  4. 创建成功后,启用它

完成上述步骤,用户在 IDaaS 登录页会看到对应的认证源图标

点击图标会进入 AD 认证源的登录页面,直接使用 AD 账户进行认证即可进入 IDaaS 中,并可单点登录到已集成并授权了的公网应用