将LDAP身份源信息同步到SASE上_办公安全平台(SASE)-阿里云帮助中心

SASE以身份驱动下发安全策略，如果企业已使用LDAP身份源管理组织架构，可以通过SASE对接企业的LDAP身份源，无需您再次为企业员工创建身份信息。对接企业LDAP身份源后，企业员工可使用与企业身份一致的账号体系登录SASE App办公。本文介绍如何对接LDAP身份源。

使用限制

身份源功能在同一时段最多开启5个身份源（自定义身份源仅支持同时开启一个）。如果当前已启用的身份源额度已满，您需要先禁用已启用的身份源，然后再启用您需要的身份源。

配置并开启Windows AD/OpenLDAP身份源

登录办公安全平台控制台。
在左侧导航栏，选择身份认证 > 身份接入。
在身份同步页签，单击新增身份源。
在新增身份源面板中，选择LDAP，然后单击开始配置，根据配置向导完成相关配置。

在基础配置向导中，参考下表内容进行配置，然后单击下一步。

配置项	说明
身份源名称	配置身份源的名称信息。长度为2~100个字符，中文字符、英文字母、阿拉伯数字、短划线（-）和下划线（_）。
描述	该配置的描述信息。该描述会作为登录标题显示在SASE客户端，方便您登录时知晓身份源信息。
身份源状态	根据需要配置身份源状态。取值：已开启：创建成功后开启身份源开关。已关闭：创建成功后关闭身份源开关。重要关闭身份源开关，会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。
类型选择	支持的目录类型。取值： Windows AD：Windows的目录服务。 OpenLDAP：轻型目录访问协议。
服务器地址	AD或者LDAP服务器地址。最多支持配置5个。
服务器端口号	AD或者LDAP服务器的端口号。
使用连接器访问认证服务器	当LDAP认证服务部署内网环境时，可通过连接器实现认证服务打通。您需要选择已成功连接的连接器实例，如何配置连接器打通网络请参见使用SASE连接器。
使用SSL连接方式	AD或者LDAP服务器是否开启SSL连接。取值：是：开启SSL连接后，您在AD或者LDAP服务器上的数据会进行加密传输，保证您的数据安全。否：表示不开启SSL连接。
Base DN	要认证用户的Base DN。当您设置该值后，SASE会认证该节点下所有账户的信息。被认证的账户信息可以登录SASE客户端。该字段的长度为2~100个字符。说明如果要认证用户与组不在LDAP的同一节点下，您需要设置高级配置中的用户 Base DN和组 Base DN。
部门结构同步	输入管理员DN和管理员密码，用于从身份源中获取企业目录结构列表。说明配置后您可以按照企业目录结构列表批量下发安全策略。在下发安全策略时，系统不会读取您的员工信息。
登录用户名属性	设置登录用户名属性字段，用于统一同一企业用户登录时用户名的形式，您需要在企业内部定义该字段。您可以选择LDAP默认的表示用户名属性的字段（包含cn、name、givenName、displayName、userPrincipalName、sAMAccountName），也可以输入LDAP定义的其他字段，用来表示登录用户名属性。说明 userPrincipalName是有域后缀，当您选择userPrincipalName作为登录用户名属性时，登录时一定要填写对应的域后缀。例如：user***@aliyundoc.com。
组名称属性	设置组名称属性字段，用于统一同一企业中组名称的形式，您需要在企业内部统一定义该字段。您可以选择LDAP默认的表示用户名属性的字段（包含cn、name、sAMAccountName），也可以输入LDAP定义的其他字段，用来表示组名称属性。
组映射属性	设置组映射属性字段，用于定义企业用户所归属的组关系。默认值：memberOf。说明该字段非必选，如需填写，需与您在LDAP中设置的组映射属性一致。
组过滤器	添加组过滤表达式，用于过滤不同分组的企业用户，以便您后续管控不同分组下企业用户的访问权限。 LDAP常见的过滤器表示方式举例： (&(objectClass=organizationalUnit)(objectClass=organization))：表示搜索objectClass等于organizationalUnit和objectClass等于organization，即两个属性都满足的所有组。 (\|(objectClass=organizationalUnit)(objectClass=organization))：表示搜索objectClass等于organizationalUnit或object等于organization，即两个属性满足其中一个的组。 (!(objectClass=organizationalUnit))：表示搜索objectClass不等于organizationalUnit的组。关于LDAP的具体匹配规则，请参见LDAP官方文档LDAP Filters。
用户过滤器	您可以添加过滤表达式，用于过滤某一个或者某一类用户。 LDAP常见的过滤器表示方式举例： (&(objectClass=person)(objectClass=user)) ：表示搜索objectClass等于person和objectClass等于user，即两个属性都满足的所有企业用户。 (\|(objectClass=person)(objectClass=user)) ：表示搜索objectClass等于person或objectClass等于user，即两个属性满足其中一个的所有企业用户。 (!(objectClass=person))：表示搜索objectClass不等于person的所有企业用户。关于LDAP的具体匹配规则，请参见LDAP官方文档LDAP Filters。
自动同步	开启自动同步开关后，系统将自动根据同步模式从LDAP同步相关信息。如果您未开启自动同步，需要手动同步组织架构，具体操作，请参见查看同步记录。
同步员工信息	开启同步员工信息开关后，系统将根据自动同步周期，自动从LDAP同步员工信息。说明若未开启自动同步功能，则不执行同步员工信息功能。
自动同步周期	设置自动同步周期，支持设置每1小时-每24小时自动同步一次。

在同步配置向导中，对组织架构的同步范围及字段映射进行配置，然后单击下一步。

配置项

说明

组织架构同步

配置同步组织架构的范围。

全部同步：将LDAP的组织架构全部同步到SASE系统中。
部分同步：选择需要同步的组织架构。

字段同步映射

配置LDAP组织架构字段与SASE同步字段的映射关系。

说明

如果SASE系统内置的映射后本地字段无法满足您的业务需求，您可以单击列表右上方的查看扩展字段，在查看扩展字段面板中对扩展字段进行新增、编辑、删除等操作。

在登录配置向导中，根据下表内容设置设备登录方式。

配置项

说明

电脑设备登录方式

支持账号密码登录和无密码登录。

使用账号密码登录方式时，您可以开启双因素认证，取值：
- OTP认证：开启后，您需要选择OTP令牌模式，目前支持如下三种模式：
  - 允许SASE移动端展示令牌：即SASE自带OTP，需要员工安装SASE移动端App。
  - 允许第三方App令牌：需确保OTP客户端时钟同步正常，目前支持标准及常见的OTP认证软件，例如阿里云App等。
  - 允许企业自有令牌：若需兼容企业自研OTP，请在技术人员支持下进行配置。
- 验证码认证：支持短信验证码和邮箱验证码。确保配置的身份源中每个用户都已录入手机号或者邮箱号。
使用无密码登录方式时，需要先下载并登录SASE移动端App，然后进行扫码认证。

移动设备登录方式

支持账号密码登录和指纹或人脸识别认证。

使用账号密码登录方式时，您可以开启双因素认证，取值：
- OTP认证：开启OTP认证前，需开启PC端OTP认证并选择允许第三方APP绑定令牌或者允许企业自有令牌，移动端令牌配置与电脑设备配置一致。
- 验证码认证：开启验证码认证前，需确保配置的身份源中每个用户都已录入手机号或邮箱。
使用指纹或人脸识别认证方式时，首次登录SASE App时仍需要输入账号名与密码。

配置完成后您可以单击面板下方的登录测试，确保登录测试成功后，单击确认完成配置。
说明
如果您配置的数据有误，SASE会提示您对应的问题。当测试连接后，提示连接LDAP服务器失败，请联系管理员，您需要排查服务器地址、端口号是否填写正确，以及服务器网络是否正常。

查看同步记录

在身份同步页签，定位到已添加的身份源，单击操作列同步记录。
在同步记录页面，查看该身份源的信息同步记录。
在页面左侧同步任务区域单击具体的同步任务，可以在页面右侧列表中查看该同步任务的同步信息。
单击目标操作列详情，查看本次同步的三方数据源和SASE数据源的字段信息。

手动同步

如果您在配置身份源时未开启自动同步或您的身份源架构调整，需要手动同步架构信息。您可以单击新增同步任务，并单击确定。等待同步任务执行成功后，再查看同步记录。

说明

同步成功后，您可以在身份认证 > 身份接入 > 员工中心页签中查看同步的企业组织架构及员工信息等。具体操作，请参见员工中心。

关闭自动同步

在身份同步页面，定位到已添加的身份源，在自动同步列关闭身份源的自动同步开关。
在编辑身份源面板中，关闭自动同步开关。

编辑LDAP身份源

在身份同步页面，定位到已添加的LDAP身份源，单击操作列编辑即可修改该LDAP信息。

关闭LADP身份源

在身份同步页签，定位到已添加的LDAP身份源，在身份源开关列关闭身份源的状态开关。

删除LDAP身份源

在身份同步页面，定位到已添加的LDAP身份源，单击操作列删除即可删除该身份源信息。