第三方集成中 LDAP、Windows AD 集成,支持将组织内基于 LDAP 或 Windows AD 协议的用户管理的用户信息同步到通义灵码的用户管理,同时支持其通过 LDAP 或 Windows AD 账号和密码登录。
适用版本 | 专属版 |
创建范围外用户
企业管理员可以在中配置和管理 LDAP、Windows AD 集成。如果需要创建不在同步范围内的用户,可以勾选支持内建用户,可以创建同步范围外的用户。
配置 LDAP 集成
前置依赖:
LDAP服务已经部署完成。
已在 LDAP 服务器上做好用户账号信息。
拥有 LDAP 服务器的 Bind DN 和 Bind Password。
步骤一 配置 LDAP 服务连接
首先需要配置 LDAP 服务器的连接信息,包括:
服务器地址:LDAP 服务器地址和端口。
Base DN:LDAP 服务器的 Base DN,一般为 LDAP 服务器的根目录,如果需要限定用户同步的范围,可以配置为 LDAP 服务器的子目录。
请认真确认用户同步的范围,避免实际同步范围超出预期。
Bind DN:LDAP 服务器的 Bind DN,一般为 LDAP 服务器的管理员账号。
Bind DN 密码:LDAP 服务器的 Bind DN 密码。
用户查询条件:LDAP 服务器用户信息同步的过滤器,一般为“(objectClass=person)”。
部门查询条件:LDAP 服务器部门信息同步的过滤器,一般为“(objectClass=GroupOfUniqueNames)”。
填写完成后,单击下一步。
步骤二 配置账号绑定与属性映射
目前提供种 4 种账号识别和绑定方式:
自动绑定邮箱相同的账号:按照同步策略,自动将通义灵码、LDAP 中邮箱账号相同的用户绑定在一起。
自动绑定登录账号相同的账号:按照同步策略,自动将通义灵码、LDAP 中登录账号相同的用户绑定在一起。
自动绑定手机号相同的账号:按照同步策略,自动将通义灵码、LDAP 中手机号相同的用户绑定在一起。
自动绑定工号相同的账号:按照同步策略,自动将通义灵码、LDAP 中工号相同的用户绑定在一起。
无论选择哪一种账号识别和绑定方式,均需要保证其对应的属性字段的唯一性和存在性,因为通义灵码将按照选择的方式进行账号的一一匹配,选择自动绑定邮箱相同的账号的绑定过程:
接下来需配置用户属性映射的字段,按照下图中设置的用户属性字段映射关系进行信息映射。
步骤三 开启服务
LDAP 集成的服务在配置的过程中默认不开启,用户可在此处开启服务:
用户和组织同步:开启后,可保持用户管理中的用户目录和 LDAP 同步范围内的用户同步。
单点登录:开启后,可支持通过 LDAP 账号和密码登录。
如果选择开启对应功能的情况下,需要进行相关配置(以下内容适配于修改对应功能配置)。
用户和组织同步
数据同步时机:默认为手动同步,并支持手动同步、定时同步的切换。
手动同步:需要企业管理员在有数据变更后,手动在 LDAP 集成详情页面单击执行手动同步按钮完成用户和组织同步。
每次手动同步操作尽量间隔 1 个小时。
定时同步:配置同步的时机和规则按每天(某刻)、每周(某天某刻)、每月(某天某刻)、每隔一定时间进行同步,如果设置为定时同步,建议保存配置后完成一次手动同步,以保证数据可以及时同步至通义灵码。
用户差异处理:默认忽略通义灵码上多余的账号,且为在同步范围内的 LDAP 账号创建通义灵码账号并绑定,可根据诉求修改。
已有通义灵码账号未匹配到 LDAP 账号-忽略:当已有通义灵码账号未匹配到 LDAP 账号时,不删除通义灵码上的多余账号。
已有通义灵码账号未匹配到 LDAP 账号-删除通义灵码账号:当已有通义灵码账号未匹配到 LDAP 账号时,删除通义灵码上的账号。
已有 LDAP 账号未匹配到通义灵码账号-忽略:当已有 LDAP 账号未匹配到通义灵码账号时,不在通义灵码上创建新账号。
已有 LDAP 账号未匹配到通义灵码账号-新建通义灵码账号并绑定:当已有 LDAP 账号未匹配到通义灵码账号时,会按照账号绑定和属性映射规则在通义灵码上创建新账号,并与 LDAP 账号绑定;
组织差异处理:默认忽略通义灵码上多余的部门节点,且为在同步范围内的 LDAP 部门节点创建通义灵码部门并绑定,可根据诉求修改。
已有通义灵码部门未匹配到 LDAP 部门-忽略:当已有通义灵码部门未匹配到 LDAP 部门时,不删除通义灵码上的部门节点。
已有通义灵码部门未匹配到 LDAP 部门-删除通义灵码部门:当已有通义灵码部门未匹配到 LDAP 部门时,删除通义灵码上的部门节点。
已有 LDAP 部门未匹配到通义灵码部门-忽略:当已有 LDAP 部门未匹配到通义灵码部门时,不在通义灵码上创建部门节点。
已有 LDAP 部门未匹配到通义灵码部门-创建通义灵码部门并绑定:当已有 LDAP 部门未匹配到通义灵码部门时,会在通义灵码上创建部门节点,并将两方部门节点进行绑定。
开启单点登录
打开单点登录的开关后,可以:
查看 LDAP 的登录地址,已经绑定 LDAP 账号的通义灵码用户,可以在该页面使用 LDAP 的账号和密码登录通义灵码。
自定义配置可修改:LDAP 登录入口的显示名称和显示图标,修改后通义灵码系统将按照修改的内容显示。
允许开启首次登录时创建通义灵码账号:
默认不勾选:登录时仅允许 LDAP 账号与通义灵码账号进行绑定,匹配不到通义灵码账号时,通义灵码不会根据 LDAP 账号创建通义灵码账号。
勾选后:允许在 LDAP 账号登录通义灵码且 LDAP 账号无法匹配到通义灵码账号时,通义灵码创建新的通义灵码账号与之绑定。
如果选择不开启服务,也可保存配置,后续可以在 LDAP 集成详情页面中开启所需服务。 当完成所有配置后,单击保存配置按钮即可完成 LDAP 集成的配置。
通过 LDAP 登录通义灵码
开启单点登录后,通义灵码登录页面将显示 LDAP 登录入口,点击后可进入 LDAP 登录页面,已绑定 LDAP 账号的用户可以通过 LDAP 账号和密码登录。
查看用户和组织同步结果
在开启用户和组织同步的情况下,打开 LDAP 集成详情页面,可以查看最新同步结果:未执行同步、同步成功、同步失败、部分同步成功。
修改 LDAP 集成的功能服务
在 LDAP 集成详情页面,如果开启了某个功能服务,可以看到修改服务配置的按钮,点击后即可进行相关功能服务配置的修改或者关闭该功能:
关闭用户和组织同步:
不解除通义灵码账号与 LDAP 账号的绑定关系。
不再执行 LDAP 的用户和组织同步。
关闭单点登录
不会解除通义灵码账号与 LDAP 账号的绑定关系。
不支持通过 LDAP 账号登录通义灵码,用户若需要登录通义灵码,可使用通义灵码的登录账号和密码进行登录。
移除 LDAP 集成
在 LDAP 集成详情页面,可单击移除集成按钮,二次确认后即可移除 LDAP 集成,移除集成后:
解除通义灵码账号与 LDAP 账号的绑定关系,不会影响已同步的用户和组织架构信息。
不再执行 LDAP 的用户和组织同步。
不再支持通过 LDAP 账号登录通义灵码,用户若需要登录通义灵码,可使用通义灵码的登录账号和密码进行登录。
- 本页导读 (1)
- 创建范围外用户
- 配置 LDAP 集成
- 步骤一 配置 LDAP 服务连接
- 步骤二 配置账号绑定与属性映射
- 步骤三 开启服务
- 通过 LDAP 登录通义灵码
- 查看用户和组织同步结果
- 修改 LDAP 集成的功能服务
- 移除 LDAP 集成
