LDAP / Windows AD 集成

第三方集成中 LDAP、Windows AD 集成，支持将企业内基于 LDAP 或 Windows AD 协议的用户管理的用户信息同步到云效的用户管理，同时支持其通过 LDAP 或 Windows AD 账号和密码登录云效。

站点管理员可以在站点管理-第三方集成中配置和管理 LDAP、Windows AD 集成。如果需要创建不在同步范围的用户，可以勾选支持内建用户，可以创建同步范围外的用户。

配置 LDAP 集成

前置依赖：

• LDAP服务已经部署完成；

• 已在 LDAP 服务器上做好用户账号信息；

• 拥有 LDAP 服务器的 Bind DN 和 Bind Password；

步骤一 配置 LDAP 服务连接

首先需要配置 LDAP 服务器的连接信息，包括：

• 服务器地址：LDAP 服务器地址和端口；

• Base DN：LDAP 服务器的 Base DN，一般为 LDAP 服务器的根目录，如果需要限定用户同步的范围，可以配置为 LDAP 服务器的子目录；

  说明

  请认真确认用户同步的范围，避免实际同步范围超出预期。

• Bind DN：LDAP 服务器的 Bind DN，一般为 LDAP 服务器的管理员账号；

• Bind DN 密码：LDAP 服务器的 Bind DN 密码；

• 用户查询条件：LDAP 服务器用户信息同步的过滤器，一般为“(objectClass=person)”；

• 部门查询条件：LDAP 服务器部门信息同步的过滤器，一般为“(objectClass=GroupOfUniqueNames)”；

填写完成后，单击下一步。

步骤二 配置账号绑定与属性映射

目前提供种 4 种账号识别和绑定方式：

• 自动绑定邮箱相同的账号：按照同步策略，自动将云效、LDAP 中邮箱账号相同的用户绑定在一起；

• 自动绑定登录账号相同的账号：按照同步策略，自动将云效、LDAP 中登录账号相同的用户绑定在一起；

• 自动绑定手机号相同的账号：按照同步策略，自动将云效、LDAP 中手机号相同的用户绑定在一起；

• 自动绑定工号相同的账号：按照同步策略，自动将云效、LDAP 中工号相同的用户绑定在一起。

无论选择哪一种账号识别和绑定方式，均需要保证其对应的属性字段的唯一性和存在性，因为云效将按照选择的方式进行账号的一一匹配，如下图为选择自动绑定邮箱相同的账号的绑定过程：

接下来需配置用户属性映射的字段，云效将按照下图中设置的用户属性字段映射关系进行信息映射。

步骤三 开启服务

LDAP 集成的服务在配置的过程中默认不开启，用户可在此处开启服务：

• 用户和组织同步：开启后，可保持云效用户管理中的用户目录和 LDAP 同步范围内的用户同步;

• 单点登录：开启后，可支持通过 LDAP 账号和密码登录云效；

如果选择开启对应的功能情况下，需要进行相关配置（以下内容适配于修改对应功能配置）。

用户和组织同步

• 数据同步时机：默认为手动同步，并支持手动同步、定时同步的切换；

  • 手动同步：需要站点管理员在有数据变更后，手动在 LDAP 集成详情页面单击执行手动同步按钮完成用户和组织同步。

    说明

    每次手动同步操作尽量间隔 1 个小时。

  • 定时同步：配置同步的时机和规则按每天（某刻）、每周（某天某刻）、每月（某天某刻）、每隔一定时间进行同步，如果设置为定时同步，建议保存配置后完成一次手动同步，以保证数据可以及时同步至云效。

• 用户差异处理：默认忽略云效上多余的账号且为在同步范围内的 LDAP 账号创建云效账号并绑定，可根据诉求修改；

  • 已有云效账号未匹配到 LDAP 账号-忽略：当已有云效账号未匹配到 LDAP 账号时，不删除云效上的多余账号；

  • 已有云效账号未匹配到 LDAP 账号-删除云效账号：当已有云效账号未匹配到 LDAP 账号时，删除云效上的账号；

  • 已有 LDAP 账号未匹配到云效账号-忽略：当已有 LDAP 账号未匹配到云效账号时，不在云效上创建新账号；

  • 已有 LDAP 账号未匹配到云效账号-新建云效账号并绑定：当已有 LDAP 账号未匹配到云效账号时，会按照账号绑定和属性映射规则在云效上创建新账号，并与 LDAP 账号绑定；

• 组织差异处理：默认忽略云效上多余的部门节点且为在同步范围内的 LDAP 部门节点创建云效部门并绑定，可根据诉求修改；

  • 已有云效部门未匹配到 LDAP 部门-忽略：当已有云效部门未匹配到 LDAP 部门时，不删除云效上的部门节点；

  • 已有云效部门未匹配到 LDAP 部门-删除云效部门：当已有云效部门未匹配到 LDAP 部门时，删除云效上的部门节点；

  • 已有 LDAP 部门未匹配到云效部门-忽略：当已有 LDAP 部门未匹配到云效部门时，不在云效上创建部门节点；

  • 已有 LDAP 部门未匹配到云效部门-创建云效部门并绑定：当已有 LDAP 部门未匹配到云效部门时，会在云效上创建部门节点，并将两方部门节点进行绑定；

开启单点登录

打开单点登录的开关后，可以：

• 查看 LDAP 的登录地址，已经绑定 LDAP 账号的云效用户，可以在该页面使用 LDAP 的账号和密码登录云效；

• 自定义配置可修改：LDAP 登录入口的显示名称和显示图标，修改后云效系统将按照修改的内容显示；

• 允许开启首次登录时创建云效账号：

  • 默认不勾选：登录时仅允许 LDAP 账号与云效账号进行绑定，匹配不到云效账号时，云效不会根据 LDAP 账号创建云效账号；

  • 勾选后：允许在 LDAP 账号登录云效且 LDAP 账号无法匹配到云效账号时，云效创建新的云效账号与之绑定。

如果选择不开启服务，也可保存配置，后续可以在 LDAP 集成详情页面中开启所需服务。 当完成所有配置后，单击保存配置按钮即可完成 LDAP 集成的配置。

通过 LDAP 登录云效

开启单点登录后，云效登录页面将显示 LDAP 登录入口，点击后可进入 LDAP 登录页面，已绑定 LDAP 账号的用户可以通过 LDAP 账号和密码登录。

查看用户和组织同步结果

在开启用户和组织同步的情况下，打开 LDAP 集成详情页面，可以查看最新同步结果：未执行同步、同步成功、同步失败、部分同步成功。

修改 LDAP 集成的功能服务

在 LDAP 集成详情页面，如果开启了某个功能服务，可以看到修改服务配置的按钮，点击后即可进行相关功能服务配置的修改或者关闭该功能：

• 关闭用户和组织同步：

  • 不解除云效账号与 LDAP 账号的绑定关系;

  • 不再执行 LDAP 的用户和组织同步。

• 关闭单点登录

  • 不会解除云效账号与 LDAP 账号的绑定关系；

  • 不支持通过 LDAP 账号登录云效，用户若需要登录云效，可使用云效的登录账号和密码进行登录。

移除 LDAP 集成

在 LDAP 集成详情页面，可单击移除集成按钮，二次确认后即可移除 LDAP 集成，移除集成后：

• 解除云效账号与 LDAP 账号的绑定关系，不会影响已同步的用户和组织架构信息；

• 不再执行 LDAP 的用户和组织同步；

• 不再支持通过 LDAP 账号登录云效，用户若需要登录云效，可使用云效的登录账号和密码进行登录。