解决方案概述

背景信息:

当下大部分企业会选择将公司用户的数据存储在AD域中,将AD域作为用户数据中心进行维护。应用系统部署在内网时,应用系统可以访问 AD 进行账户的认证。随着企业信息化的转型,企业开始逐渐使用云产品和云服务。出于安全考虑,企业的AD往往不会开放到公网,这些云产品就很难与企业现有身份目录 AD 集成联动,造成云上身份孤岛问题,增加了企业维护成本和安全风险。用户也需要记录多套账号信息,容易出现账号记录混乱等问题;

解决方案:

通过 IDaaS 整合云产品,实现云产品的单点登录。并且使用 Connector 实现内网 AD 和 IDaaS的集成联动,达到内网 AD 账户认证登录 IDaaS 以及其他所有集成的应用系统的效果。

收益:

  1. IDaaS提供对接文档,操作简单,对接快速,减少自我研发对接认证方式的成本;
  2. 客户内网 AD 无需开放到公网,减小安全风险。同时用户只需使用AD中的账户密码,就可畅通访问所有集成了的应用系统,减少多套账户维护成本。

一、环境准备

1、购买公有云 IDaaS 产品

2、部署connector,connector服务器需要保证可以访问到您内网的AD,同时需要将connector服务器的对应端口开放到公网。

3、将您AD中的账户导入到IDaaS,您可以参考 基于 IDaaS 的AD账号同步中的步骤1-3。

二、支持的对象

AD中的账户

三、配置流程

说明配置流程如上。需要在Connector中创建AD来源(如果使用Connector拉取AD数据,可以直接使用已创建好的AD来源),并将其添加为委托认证的认证源。然后在IDaaS中添加并配置委托认证认证源即可。

3.1 新建同步来源

  1. 部署好connector后,通过 http://IP 的方式访问connector,输入用户名和密码进行登录
  2. 在左侧导航栏点击同步 > 来源管理,点击新建同步来源

  3. 新建同步来源页面,配置AD的信息内容,并点击提交
    配置项 说明
    来源主类型 LDAP
    来源子类型 WINDOWS_AD
    服务器地址 AD服务器的地址
    端口号 默认为389
    默认域 AD的域名,如test.com
    查询基准DN 如果AD域是test.com,此处填写DC=test,DC=com;如果想只查询其中的一个OU下的账户(例如002组织),那么在前面增加ou=002。
    管理员DN 参考格式CN=administrator,CN=Users,DC=test,DC=com,其中administrator是管理员账户名,Users值不需更改,test 和 com 是AD域信息。
    管理员密码 填写上述填写的管理员账户的密码,即 administrator 账户的密码。
  4. 点击测试连接,确保连接的参数配置正确。然后点击保存

3.2 配置connector委托认证

  1. 在左侧导航栏中,点击认证 > 委托认证。在委托认证配置页面,点击开启委托认证功能

  2. 获取数据加密公钥,在IDaaS 中创建委托认证认证源时会用到该参数
  3. 认证源 页签,点击新建认证源,添加之前创建的AD来源

  4. 添加完成后,会生成一个id。IDaaS创建委托认证认证源时会用到

3.3 添加委托认证认证源

  1. 登录IDaaS,在左侧导航栏中点击 认证 > 认证源,点击添加认证源
  2. 选择Connector委托认证,点击添加认证源
  3. 配置认证源

    服务器地址:connector访问地址

    认证ID:connector 认证源id, 3.2 步骤4中获取

    公钥:connector 委托认证数据加密公钥, 3.2 步骤2中获取

  4. 创建成功后启用该认证源

完成上述步骤,用户在登录IDaaS时就可以通过 connector 进行内网AD认证登录