LDAP协议对接及配置说明-阿里云帮助中心

本文为您介绍LDAP配置信息。

说明

仅独立部署版本支持对接LDAP协议，可自行完成对接。若需要紧急支持或专家指导，请联系Quick BI运营负责人。

背景信息

LDAP全称是轻型目录访问协议（lightweight directory access protocol)，它是一种建立在TCP/IP基础上的应用协议，因为LDAP协议的特性，现在一般用于单点登录，成为安全认证中比较常见且重要的部分。本文为您介绍如何使用LDAP协议，与Quick BI进行登录集成对接。

快速开始

1. 接入前须知

目前仅支持的LDAP服务器为：Windows系统AD域。
网络要求：LDAP服务器与独立部署的Quick BI网络需要为连通状态。
仅用于登录对接，Quick BI为SP服务提供方，以下涉及的对接配置需要IDP方（租户侧）提供。

2. 在Quick BI进行对接配置

2.1 开启LDAP登录

步骤一：使用登录认证超管账号进入超级管理员后台。

image..png

若账号无权限登录时，会出现以下界面，提示“无权限禁止访问”。请联系Quick BI运维人员添加权限。

步骤二：选择登录系统管理->登录全局开关，开启/关闭指定的三方登录方式，保存后立即生效

2.2 LDAP登录对接配置

步骤一：打开登录认证配置页面

在运维中心->登录策略配置或开放平台->登录认证位置打开。两个位置打开的配置效果是一样的，下边以在运维中心打开对应页面为例，页面如下：

步骤二：添加登录策略

若您已配置过登录策略，则跳过步骤二。

每个登录策略都允许配置一套域名/IP拦截策略，用来指定访问指定域名或IP时Quick BI支持的登录方式。

登录策略配置请参见自定义企业登录门户。

步骤三：选中需要开启LDAP登录的策略，并点击编辑

步骤四：在「编辑策略」页面，选择基础设置

步骤五：配置LDAP三方登录

在您进行LDAP三方登录配置前，若您未开启Quick BI账号，建议开启，原因为：1）防止三方登录设置错误后，无法登录Quick BI；2）自定义账号配置成功且能正常登录后，可根据需要关闭Quick BI账号。

Quick BI账号配置页面如下（相关配置项请参见内置账号配置说明）：
开启LDAP登录
在弹出窗口填写LDAP的配置信息。

其中，LADP相关的配置项及说明如下：

配置项	是否必填	说明	示例值	提供方
服务器地址	是	LDAP服务器的IP地址。	118.178.xxx.103	由租户侧鉴权服务器（IDP）提供
服务器端口	是	LDAP服务器开放的端口号，默认连接的端口号为389，SSL连接开放的端口号为636。	389	由租户侧鉴权服务器（IDP）提供
是否使用SSL连接	是	是否使用基于SSL安全协议的管道连接。	关闭	由租户侧鉴权服务器（IDP）提供
基准DN	是	进行LDAP用户名检索的基准DN，例如dc=quickbi,dc=com。	dc=bi,dc=com	由租户侧鉴权服务器（IDP）提供
管理员DN	是	用于与LDAP服务器连接的管理员DN，例如：cn=Administrator,cn=users,dc=quickbi,dc=com。	cn=administrator,cn=users,dc=bi,dc=com	由租户侧鉴权服务器（IDP）提供
管理员密码	是	用于与LDAP服务器连接的管理员密码。	Taobao.1XM234	由租户侧鉴权服务器（IDP）提供
用户名格式	是	用于匹配登录到本系统的LDAP用户名，支持格式为：${username}@quickbi.com和sAMAccountName=${username}。其中${username}是必须的宏格式，在登录时使用正在登录的用户名进行替换。当格式为${username}@quickbi.com时，系统会匹配LDAP用户的userPrincipalName，其中quickbi.com对应LDAP中的域，需要根据实际情况修改；当格式为sAMAccountName=${username}时，系统会匹配LDAP用户的sAMAccountName字段。	${username}@bi.com	由租户侧鉴权服务器（IDP）提供
登录态过期时间	是	登录态过期时间。 -1：则浏览器关闭登录态失效。 > 0：指定过期时间。登录态过期后，需要重新登录。	-1	由租户侧自定义