将LDAP身份源信息同步到SASE上_办公安全平台(SASE)-阿里云帮助中心

SASE以身份驱动下发安全策略，如果企业已使用LDAP身份源管理组织架构，可以通过SASE对接企业的LDAP身份源，无需您再次为企业员工创建身份信息。对接企业LDAP身份源后，企业员工可使用与企业身份一致的账号体系登录SASE App办公。本文介绍如何对接LDAP身份源。

使用限制

身份源功能仅支持在同一时段开启一个身份源（一个单身份源或者一个多身份源）。如果当前存在已启用的身份源，您需要先禁用已启用的身份源，然后再启用您需要的身份源。

配置并开启LDAP身份源

登录办公安全平台控制台。在左侧导航栏，选择身份管理 > 身份源管理。

单击添加身份源，在单身份源的LDAP页签，设置LDAP身份源的配置。然后单击下一步。

配置项	说明
身份源配置状态	根据需要启用或者禁用身份源。取值：已启用：如果当前没有启用其他身份源，您可以直接开启创建的身份源。已禁用：如果当前存在已启用其他身份源，您可以将创建的身份源设置为禁用状态。待您在身份源管理页面将其他身份源设置为禁用状态后，再开启新创建的身份源。重要关闭身份源配置状态开关，会导致终端用户使用SASE客户端无法访问内网应用。请谨慎操作。
类型选择	支持的目录类型。取值： Windows AD：Windows的目录服务。 OpenLDAP：轻型目录访问协议。
配置名称	AD或者LDAP的名称信息，用户自定义。长度为2~100个字符，中文字符、英文字母、阿拉伯数字、短划线（-）和下划线（_）。
描述	该配置的描述信息。该描述会作为登录标题显示在SASE客户端，方便您登录时知晓身份源信息。
服务器地址	AD或者LDAP服务器地址。
服务器端口号	AD或者LDAP服务器的端口号。
使用SSL连接方式	AD或者LDAP服务器是否开启SSL连接。取值：是：开启SSL连接后，您在AD或者LDAP服务器上的数据会进行加密传输，保证您的数据安全。否：表示不开启SSL连接。
Base DN	要认证用户的Base DN。当您设置该值后，SASE会认证该节点下所有账户的信息。被认证的账户信息可以登录SASE客户端。该字段的长度为2~100个字符。说明如果要认证用户与组不在LDAP的同一节点下，那您需要设置高级配置中的用户Base DN和组Base DN。
部门结构同步	输入管理员DN和管理员密码，用于从身份源中获取企业目录结构列表。说明配置后您可以按照企业目录结构列表批量下发安全策略。在下发安全策略时，系统不会读取您的员工信息。

设置属性配置，然后单击下一步。

设置属性字段及过滤器，以便您后续管控不同分组下企业用户的访问权限。

配置项	说明
登录用户名属性	设置登录用户名属性字段，用于统一同一企业用户登录时用户名的形式，您需要在企业内部定义该字段。您可以选择LDAP默认的表示用户名属性的字段（包含cn、name、givenName、displayName、userPrincipalName、sAMAccountName），也可以输入LDAP定义的其他字段，用来表示登录用户名属性。说明 userPrincipalName是有域后缀，当您选择userPrincipalName作为登录用户名属性时，登录时一定要填写对应的域后缀。例如：user***@aliyundoc.com。
展示用户名属性	设置展示用户名属性字段，用于统一同一企业用户在终端设备上展示的用户名形式，您需要在企业内部定义该字段。展示用户名即账户名称。您可以选择LDAP默认的表示用户名属性的字段（包含cn、name、givenName、displayName、userPrincipalName、sAMAccountName），也可以输入LDAP定义的其他字段，用来表示展示用户名属性。
组名称属性	设置组名称属性字段，用于统一同一企业中组名称的形式，您需要在企业内部统一定义该字段。您可以选择LDAP默认的表示用户名属性的字段（包含cn、name、sAMAccountName），也可以输入LDAP定义的其他字段，用来表示组名称属性。
组映射属性	设置组映射属性字段，用于定义企业用户所归属的组关系。默认值：memberOf。说明该字段非必选，如需填写，需与您在LDAP中设置的组映射属性一致。
组过滤器	添加组过滤表达式，用于过滤不同分组的企业用户，以便您后续管控不同分组下企业用户的访问权限。 LDAP常见的过滤器表示方式举例： (&(objectClass=organizationalUnit)(objectClass=organization))：表示搜索objectClass等于organizationalUnit和objectClass等于organization，即两个属性都满足的所有组。 (\|(objectClass=organizationalUnit)(objectClass=organization))：表示搜索objectClass等于organizationalUnit或object等于organization，即两个属性满足其中一个的组。 (!(objectClass=organizationalUnit))：表示搜索objectClass不等于organizationalUnit的组。关于LDAP的具体匹配规则，请参见LDAP官方文档LDAP Filters。
用户过滤器	您可以添加过滤表达式，用于过滤某一个或者某一类用户。 LDAP常见的过滤器表示方式举例： (&(objectClass=person)(objectClass=user)) ：表示搜索objectClass等于person和objectClass等于user，即两个属性都满足的所有企业用户。 (\|(objectClass=person)(objectClass=user)) ：表示搜索objectClass等于person或object等于user，即两个属性满足其中一个的所有企业用户。 (!(objectClass=person))：表示搜索objectClass不等于person的所有企业用户。关于LDAP的具体匹配规则，请参见LDAP官方文档LDAP Filters。
邮箱属性	设置表示邮箱的字段。重要 LDAP中默认的标识邮箱的字段为email，填写时需要与您在LDAP中设置的邮箱属性字段一致。
手机号属性	设置标识手机号的字段。重要 LDAP中默认的标识手机号的字段为telephoneNumber，填写时需要与您在LDAP中设置的手机号属性字段一致。

设置双因素认证，然后单击登录测试。

配置项

说明

电脑设备登录方式

支持账号密码登录和无密码登录。

使用账号密码登录方式时，您可以开启双因素认证，取值：
- OTP认证：开启OTP验证后，您还要选择OTP令牌模式，目前支持如下三种模式：
  - 允许SASE移动端展示令牌：即SASE自带OTP，需要员工安装SASE移动端客户端。
  - 允许第三方App令牌：需确保OTP客户端时钟同步正常，目前支持标准及常见的OTP认证软件，例如阿里云App等。
  - 允许企业自有令牌：若需兼容企业自研OTP，请在技术人员支持下进行配置。
- 验证码认证：开启短信验证码验证，需确保配置的身份源中每个用户都已录入手机号。
使用无密码登录方式时，需要先下载并登录SASE移动端App，然后进行扫码认证。

移动设备登录方式

支持账号密码登录和指纹或人脸识别认证。

使用账号密码登录方式时，您可以开启双因素认证，取值：
- OTP认证：开启OTP验证码验证前，需开启PC端OTP认证并选择允许第三方App绑定或者允许企业自有令牌，移动端令牌配置与电脑设备配置一致。
- 验证码认证：开启验证码验证，需确保配置的身份源中每个用户都已录入手机号或邮箱。
使用指纹或人脸识别认证方式时，首次登录SASE客户端时仍需要输入账号名与密码。

说明

如果您配置的数据有误，SASE会提示您对应的问题。当测试连接后，提示连接LDAP服务器失败，请联系管理员，您需要排查服务器地址、端口号是否填写正确，以及服务器网络是否正常。

测试成功后，单击确认。

关闭LDAP身份源

在身份源管理页面，定位到已添加的LDAP身份源，在状态列关闭身份源的状态开关。

查看LDAP身份源

在身份源管理页面，定位到已添加的LDAP身份源，单击操作列详情即可查看配置的LDAP信息。

删除LDAP身份源

在身份源管理页面，定位到已添加的LDAP身份源，单击操作列删除即可删除该LDAP信息。

编辑LDAP身份源

在身份源管理页面，定位到已添加的LDAP身份源，单击操作列编辑即可修改该LDAP信息。