配置AD认证源

认证源
最后更新时间: 12/22/2022, 5:57:39 PM

# 概述

为方便企业用户的认证登录,IDaaS通过LDAP协议把认证指向AD域,AD通过认证后,根据AD返回的用户属性与IDaaS用户关联属性做匹配校验,验证通过即可登录IDaaS。当前仅在2E场景支持此功能。

本章节为您介绍配置AD认证源的相关操作。

# 前提条件

拥有IDaaS企业中心平台的管理员权限。

# 操作步骤

# IDaaS平台配置AD认证源

  1. 登录IDaaS企业中心平台,在上方导航栏选择 “认证 > 认证源管理” ,进入AD认证源页面单击 “添加认证源” 。

  2. 根据项目实际需求参考界面提示配置AD认证源参数,关键参数说明如下。

    • 连接方式:配置AD服务与IDaaS服务的连接方式。

      • 直接连接:AD服务器如果有固定的外网ip并且外网可以访问的情况,建议选择直接连接方式。

      • 通过云桥Agent方式:AD服务器如果不能外网访问,需要通过认证源云桥访问,此时选择通过云桥Agent方式连接。

    • AD地址:仅配置直接连接方式时需要填写,推荐使用传输加密的方式,如ldaps://[hostname]:[port]/,使用ldaps地址默认会校验证书,您可以根据实际情况选择忽略证书校验。

    • 关联源属性和关联用户属性的作用:取AD中用户的一个属性与IDaaS中用户的一个属性进行关系映射。如果AD返回的用户信息的该属性与IDaaS中的关联属性一致,则通过认证。

    • 未关联用户时:如果AD返回的用户信息的源属性与IDaaS中的关联属性不一致时,可选配置项如下。

      • 选择失败即不允许认证通过。

      • 选择自动创建用户时,则根据映射规则和关联属性进行IDaaS用户创建,并通过认证。

        待添加映射属性说明如下:

        • 用户属性名:下拉选择IDaaS中用户属性。

        • 映射类型: 选择映射类型。

          • 选择认证源属性选项时,需在第三行认证源属性名输入栏中输入认证源返回的属性名称。
          • 选择固定值选项时,需在第三行固定值输入栏中输入固定属性值。
          • 选择脚本转换时,需在第三行脚本内容输入栏中输入转换脚本。关于脚本转换的语法,请参考开发映射定义里的动态脚本,脚本转换对象中常见的AD返回属性请参考下文脚本转换对象
        • 认证源属性名:AD服务器中的用户属性。

      # 脚本转换对象

      脚本对象为idp,包含AD返回的属性,其中常见属性如下:

      属性名 显示名称
      givenname
      mobile 手机
      sn
      mail 电子邮件
      userPrincipalName 简称UPN,一般由账户名+@+域名组成,比如idaas@bamboocloud.com
      sAMAccountName 账户名

      在使用脚本对象时,可以直接使用 idp.【属性名】的方式获取。例如:idp.sAMAccountName、idp.userPrincipalName。

  3. 完成AD认证源参数配置后,在配置最底部输入AD用户名和密码,单击 “测试” 对AD认证源的配置以及AD服务器的连接情况进行测试,测试无误后保存配置。