本文介绍如何通过LDAP认证源,使用AD域里面的用户登录IDaaS,或者直接登录到应用。
场景
如果客户不希望保存AD用户的密码到阿里,可以使用IDaaS的LDAP认证服务,实现使用AD账户和密码登录阿里控制台,或者其它应用的目的。
演示动图
阿里云IDaaS平台登录页面,当前登录方式为AD认证源。登录表单包含邮箱/手机号/账户名称、密码和验证码三个输入项,以及登录按钮。页面底部提供第三方账户登录选项,包括钉钉和LDAP等方式。
配置步骤
1. 以IT管理员账号登录云盾IDaaS管理平台。
登录后,在实例列表中找到目标 IDaaS 实例,单击其操作列的管理按钮,进入实例管理页面。
2. 在左侧导航点击 【认证】 ->【证源】 跳转到认证源界面。
3. 点击右上角添加认证源,选择LDAP认证源,点击【添加认证源】,即可在弹出的界面中配置LDAP认证源。
LDAP URL为AD域的IP加端口号;
LDAP Base、LDAP UserDn、LDAP密码为AD的值;
过滤条件填写为如 (UID=$username$) 。
IDaaS目前只支持公网访问,AD需要提供公网地址,并开启389端口,可以在安全组策略设置只有IDaaS的出口IP可以访问AD, IDaaS出口IP请提工单咨询IDaaS同学获取。
4. 在AD中创建账户。
若您的AD中已有账户数据,可以跳过该步骤。AD中账户必须同步IDaaS中,才能实现认证。
5. 在右侧导航中点击机构及组,在机构及组页面新建LDAP配置,配置完成后,将AD中的账户数据拉取到IDaaS中。
6. AD中的账户需要同步IDaaS后,才能使用ldap认证源进行登录认证。 用户输入AD中的账户和密码时,会先检验登录的这个账户是否在IDaaS中存在,如果在IDaaS中存在, 再传递账户到LDAP中去认证, 如果IDaaS中不存在,不会进行下面的操作。
若已经在机构及组中存在LDAP认证源对应的LDAP配置,则不需要新建LDAP配置。
7. 在用户登录页面下侧的第三方认证登录中点击LDAP认证源,跳转到LDAP账户登录界面,使用AD域中的账户密码进行登录。 在 IDaaS 控制台选择旧版 Tab,在实例列表中找到目标实例对应的用户登录页地址列,该地址即为终端用户使用 AD 账户登录 IDaaS 的入口 URL。
使用LDAP认证源进行登录时,需要使用AD域里面的密码进行登录,不能使用IDaaS里面的密码登录。
通过以上步骤,完成了添加配置LDAP认证源,用户可以直接使用AD中的账户和密码登录IDaaS。
FAQ
1. 是否使用LDAP认证源,一定要同步ldap的账户到IDaaS中。
是的。只需同步账户,不会同步LDAP中的密码到IDaaS中。
2. 添加了ldap认证源,但是在登录页面没有显示ldap图标。
请查看认证源配置中的登录页显示,是否进行了勾选。
3. 是否可以更新LDAP中的密码到IDaaS中。
支持。参考以下说明设置同步ldap的密码到IDaaS中,当使用LDAP账户和密码登录一次后会自动更新IDaaS中的密码。
在添加LDAP认证源配置页面中,勾选更新IDaaS密码复选框。
4. 通过ldap认证源进行登录,提示账户名和密码不正确。
请检查下面参数和格式是否正确。
需检查以下参数及格式:LDAP URL 格式应为 ldap://IP:端口/(如 ldap://127.0.0.1:389/);LDAP账户 需具有所填 Base 的管理权限,格式如 cn=Manager,dc=userName,dc=com;LDAP账户密码 需确认输入正确;过滤条件 格式如 (sAMAccountName=$username$)。
5. 是否可以指定默认的登录方式是ldap认证源
支持。按以下步骤配置默认的登录方式为LDAP认证源:
在左侧导航栏选择设置 > 安全设置,单击顶部登录/注册页签,选择登录子页签,在登录认证方式下拉框中选择LDAP。