第三方集成中 LDAP、Windows AD 集成,支持将组织内基于 LDAP 或 Windows AD 协议的用户管理的用户信息同步到Qoder CN的用户管理,同时支持其通过 LDAP 或 Windows AD 账号和密码登录。
|
适用版本 |
专属版 |
创建范围外用户
企业管理员可以在中配置和管理 LDAP、Windows AD 集成。如果需要创建不在同步范围内的用户,可以勾选支持内建用户,可以创建同步范围外的用户。
配置 LDAP 集成
前置依赖:
-
LDAP服务已经部署完成。
-
已在 LDAP 服务器上做好用户账号信息。
-
拥有 LDAP 服务器的 Bind DN 和 Bind Password。
步骤一 配置 LDAP 服务连接
首先需要配置 LDAP 服务器的连接信息,包括:
-
服务器地址:LDAP 服务器地址和端口。
-
Base DN:LDAP 服务器的 Base DN,一般为 LDAP 服务器的根目录,如果需要限定用户同步的范围,可以配置为 LDAP 服务器的子目录。
说明请认真确认用户同步的范围,避免实际同步范围超出预期。
-
Bind DN:LDAP 服务器的 Bind DN,一般为 LDAP 服务器的管理员账号。
-
Bind DN 密码:LDAP 服务器的 Bind DN 密码。
-
用户查询条件:LDAP 服务器用户信息同步的过滤器,一般为“(objectClass=person)”。
-
部门查询条件:LDAP 服务器部门信息同步的过滤器,一般为“(objectClass=GroupOfUniqueNames)”。
填写完成后,单击下一步。
步骤二 配置账号绑定与属性映射
目前提供种 4 种账号识别和绑定方式:
-
自动绑定邮箱相同的账号:按照同步策略,自动将Qoder CN、LDAP 中邮箱账号相同的用户绑定在一起。
-
自动绑定登录账号相同的账号:按照同步策略,自动将Qoder CN、LDAP 中登录账号相同的用户绑定在一起。
-
自动绑定手机号相同的账号:按照同步策略,自动将Qoder CN、LDAP 中手机号相同的用户绑定在一起。
-
自动绑定工号相同的账号:按照同步策略,自动将Qoder CN、LDAP 中工号相同的用户绑定在一起。
无论选择哪一种账号识别和绑定方式,均需要保证其对应的属性字段的唯一性和存在性,因为Qoder CN将按照选择的方式进行账号的一一匹配,选择自动绑定邮箱相同的账号的绑定过程:
接下来需配置用户属性映射的字段,按照下图中设置的用户属性字段映射关系进行信息映射。
步骤三 开启服务
LDAP 集成的服务在配置的过程中默认不开启,用户可在此处开启服务:
-
用户和组织同步:开启后,可保持用户管理中的用户目录和 LDAP 同步范围内的用户同步。
-
单点登录:开启后,可支持通过 LDAP 账号和密码登录。
如果选择开启对应功能的情况下,需要进行相关配置(以下内容适配于修改对应功能配置)。
用户和组织同步
-
数据同步时机:默认为手动同步,并支持手动同步、定时同步的切换。
-
手动同步:需要企业管理员在有数据变更后,手动在 LDAP 集成详情页面单击执行手动同步按钮完成用户和组织同步。
说明每次手动同步操作尽量间隔 1 个小时。
-
定时同步:配置同步的时机和规则按每天(某刻)、每周(某天某刻)、每月(某天某刻)、每隔一定时间进行同步,如果设置为定时同步,建议保存配置后完成一次手动同步,以保证数据可以及时同步至Qoder CN。
-
-
用户差异处理:默认忽略Qoder CN上多余的账号,且为在同步范围内的 LDAP 账号创建Qoder CN账号并绑定,可根据诉求修改。
-
已有Qoder CN账号未匹配到 LDAP 账号-忽略:当已有Qoder CN账号未匹配到 LDAP 账号时,不删除Qoder CN上的多余账号。
-
已有Qoder CN账号未匹配到 LDAP 账号-删除Qoder CN账号:当已有Qoder CN账号未匹配到 LDAP 账号时,删除Qoder CN上的账号。
-
已有 LDAP 账号未匹配到Qoder CN账号-忽略:当已有 LDAP 账号未匹配到Qoder CN账号时,不在Qoder CN上创建新账号。
-
已有 LDAP 账号未匹配到Qoder CN账号-新建Qoder CN账号并绑定:当已有 LDAP 账号未匹配到Qoder CN账号时,会按照账号绑定和属性映射规则在Qoder CN上创建新账号,并与 LDAP 账号绑定;
-
-
组织差异处理:默认忽略Qoder CN上多余的部门节点,且为在同步范围内的 LDAP 部门节点创建Qoder CN部门并绑定,可根据诉求修改。
-
已有Qoder CN部门未匹配到 LDAP 部门-忽略:当已有Qoder CN部门未匹配到 LDAP 部门时,不删除Qoder CN上的部门节点。
-
已有Qoder CN部门未匹配到 LDAP 部门-删除Qoder CN部门:当已有Qoder CN部门未匹配到 LDAP 部门时,删除Qoder CN上的部门节点。
-
已有 LDAP 部门未匹配到Qoder CN部门-忽略:当已有 LDAP 部门未匹配到Qoder CN部门时,不在Qoder CN上创建部门节点。
-
已有 LDAP 部门未匹配到Qoder CN部门-创建Qoder CN部门并绑定:当已有 LDAP 部门未匹配到Qoder CN部门时,会在Qoder CN上创建部门节点,并将两方部门节点进行绑定。
-
开启单点登录
打开单点登录的开关后,可以:
-
查看 LDAP 的登录地址,已经绑定 LDAP 账号的Qoder CN用户,可以在该页面使用 LDAP 的账号和密码登录Qoder CN。
-
自定义配置可修改:LDAP 登录入口的显示名称和显示图标,修改后Qoder CN系统将按照修改的内容显示。
-
允许开启首次登录时创建Qoder CN账号:
-
默认不勾选:登录时仅允许 LDAP 账号与Qoder CN账号进行绑定,匹配不到Qoder CN账号时,Qoder CN不会根据 LDAP 账号创建Qoder CN账号。
-
勾选后:允许在 LDAP 账号登录Qoder CN且 LDAP 账号无法匹配到Qoder CN账号时,Qoder CN创建新的Qoder CN账号与之绑定。
-
如果选择不开启服务,也可保存配置,后续可以在 LDAP 集成详情页面中开启所需服务。 当完成所有配置后,单击保存配置按钮即可完成 LDAP 集成的配置。
通过 LDAP 登录Qoder CN
开启单点登录后,Qoder CN登录页面将显示 LDAP 登录入口,点击后可进入 LDAP 登录页面,已绑定 LDAP 账号的用户可以通过 LDAP 账号和密码登录。
查看用户和组织同步结果
在开启用户和组织同步的情况下,打开 LDAP 集成详情页面,可以查看最新同步结果:未执行同步、同步成功、同步失败、部分同步成功。
修改 LDAP 集成的功能服务
在 LDAP 集成详情页面,如果开启了某个功能服务,可以看到修改服务配置的按钮,点击后即可进行相关功能服务配置的修改或者关闭该功能:
-
关闭用户和组织同步:
-
不解除Qoder CN账号与 LDAP 账号的绑定关系。
-
不再执行 LDAP 的用户和组织同步。
-
-
关闭单点登录
-
不会解除Qoder CN账号与 LDAP 账号的绑定关系。
-
不支持通过 LDAP 账号登录Qoder CN,用户若需要登录Qoder CN,可使用Qoder CN的登录账号和密码进行登录。
-
移除 LDAP 集成
在 LDAP 集成详情页面,可单击移除集成按钮,二次确认后即可移除 LDAP 集成,移除集成后:
-
解除Qoder CN账号与 LDAP 账号的绑定关系,不会影响已同步的用户和组织架构信息。
-
不再执行 LDAP 的用户和组织同步。
-
不再支持通过 LDAP 账号登录Qoder CN,用户若需要登录Qoder CN,可使用Qoder CN的登录账号和密码进行登录。
