IDaaS 可以通过 LDAP 配置从 AD 或 OpenLDAP 中拉取组织机构和账户信息。同时支持向 AD 或 OpenLDAP 的增量和全量同步。
新建LDAP配置
操作步骤
以IT管理员账号登录云盾IDaaS管理平台。
点击左侧导航栏账户 -> 机构及组。
点击【配置LDAP】,新建LDAP配置,填入必填信息,开启从 IDaaS 同步至 LDAP。
服务器链接:
服务名称
服务器地址和端口
Base DN
是否使用 SSL 连接方式
管理员账户和密码
类型选择( Windows AD/OpenLDAP )
IDaaS目前只支持公网访问,AD/LDAP需要提供公网地址,并开启389端口,可以在安全组策略设置只有IDaaS的出口IP可以访问AD/LDAP, IDaaS出口IP请提工单咨询IDaaS同学获取。
上述参数为LDAP连接的基本参数,请根据 LDAP 服务器的信息进行填写
所属组织架构 OU 节点:填写后,可以将 LDAP 的数据导入 IDaaS 平台指定的组织机构下,不填则默认导入到 IDaaS 根目录下。
LDAP 同步至本系统:启用后,可以手动从 LDAP 同步数据到 IDaaS 系统
本系统同步至 LDAP: 启用后,在 IDaaS 系统对组织机构和账户进行操作后,会自动同步到 LDAP,
配置好后可点击测试连接,测试AD/LDAP是否连接正常。
字段匹配规则:
字段匹配规则为 IDaaS 中字段与 AD/LDAP 中属性的对应匹配
账户名称:cn (如AD中的cn对应在IDaaS的账户名)
如果您 AD 中的账户的 CN 字段值为中文,无法拉取到IDaaS。建议您使用 sAMAccountName 字段。
外部id:Windows AD 填写 objectGUID, OpenLdap 填写 uid
密码字段:Windows AD 填写 unicodePwd, OpenLdap 填写 userPassword
用户唯一标识:Windows AD 填写 DistinguishedName, OpenLdap 填写 EntryDN
手机字段:telephoneNumber
邮箱字段:mail
默认密码:定时从AD/LDAP 同步账户到IDaaS系统时的默认密码
昵称:在IDaaS中账户的显示名称
从AD导入组织机构和账户
导入组织机构
在机构及组页面,点击导入-LDAP-组织机构。
选择添加的LDAP配置,点击导入。
页面会展示组织机构的临时数据。确认数据正确后,点击确定导入,即可将AD的组织机构全量导入到IDaaS。
导入账户
在机构及组页面,点击导入-LDAP-账户。
选择添加的LDAP配置,点击导入。
页面会展示组织机构的临时数据。确认数据正确后,点击确定导入,即可将AD的组织机构全量导入到IDaaS 。
导出组织机构或账户到AD
导出组织机构及账户时,请确认已将父级组织机构导出到AD,否则会导出失败。
导出组织机构
在机构及组页面,点击导出-LDAP-组织机构。
勾选LDAP配置,再勾选需要导出的组织机构。
点击确定,成功导出后会显示如下提示。
导出账户
在机构及组页面,点击导出-LDAP-账户。
勾选LDAP配置,再勾选需要导出账户的组织机构,点击确定即可将机构下的账户导出到AD。
切换到单个导出页签,也可以支持导出指定账户到AD。
通过上述步骤,即可将IDaaS组织机构和账户数据导出到AD。
FAQ
1. 是否可以实现定时自动从AD中同步账户到IDaaS?
支持。需要使用connector实现同步,只在专属版支持。
2. 是否可以只导入某个OU中的账户信息?
可以。需要新建ldap同步配置,不支持在原来配置上修改Base DN,在Base DN 中加上OU值。
3. 新建LDAP配置,点击测试连接失败。
请求连接后需要比较久才返回结果,请查看网络是否通,IDaaS目前只支持公网访问;
请求连接后很快返回连接失败,请检查配置的连接参数是否正确,以及检查密码,密码会转义特殊字符,如 <>,单引号,双引号等。
4. 从IDaaS导出组织机构到LDAP,提示:导出失败,请检查配置。
往LDAP中导出组织机构是有层级结构的,请确认IDaaS中组织机构的根节点是否已经导出到LDAP中,如下图所示。
5. 从LDAP导入账户到IDaaS, 提示:InvalidUserLicense。
请查看购买的license数是否足够, 比如购买了100个license,导入的账户数超出了这个限制。可以先指定base DN 到某个OU, 先导入部分账户测试,或者升级license数量。
6. 从IDaaS导出组织机构到LDAP成功,但是导出账户提示导出成功0个。
请查看LDAP配置中的字段匹配规格是否正确,请参考下图参数配置。