配置LDAP认证源
# 说明
为方便企业用户的认证登录,IDaaS通过LDAP协议把认证指向LDAP,LDAP通过认证后,根据LDAP返回的用户属性与IDaaS用户关联属性做匹配校验,验证通过即可登录IDaaS。当前仅在2E场景支持此功能。
本章节为您介绍配置LDAP认证源的相关操作。
# 前提条件
拥有IDaaS企业中心平台的管理员权限。
# 操作步骤
# IDaaS平台配置LDAP认证源
登录IDaaS企业中心平台,在上方导航栏选择 “认证 > 认证源管理” ,进入LDAP认证源页面单击 “添加认证源” 。
参考界面提示配置LDAP认证源关键参数,关键参数说明如下。
连接方式:配置LDAP服务与IDaaS服务的连接方式。
直接连接:LDAP服务器如果有固定的外网ip并且外网可以访问的情况,建议选择直接连接方式。
通过云桥Agent方式:LDAP服务器如果不能外网访问,需要通过认证源云桥访问,此时选择通过云桥Agent方式连接。
# 配置直接连接参数(直接连接)
支持配置两种认证模式,说明如下。
配置基于DN直接认证:若您的企业用户均有类似的DN模式,如uid=XXX,ou=user,dc=test,dc=com,建议您选择此配置。
连接方式选择直接连接方式,参考界面提示配置LDAP地址、Base DN以及用户DN模式,其余参数选配。
配置管理员账号密码认证:若您的企业用户没有固定的DN模式,建议您选择此配置。
连接方式选择直接连接方式,参考界面提示配置LDAP地址、Base DN、管理员DN、管理员密码、用户查询Base、以及用户查询条件,其余参数选配。
- 推荐LDAP地址连接使用传输加密的方式,如ldaps://[hostname]:[port]/,使用ldaps地址默认会校验证书,您可以根据实际情况选择忽略证书校验。
- 如果以上两种认证模式均已配置,则在认证登录阶段会优先使用DN模式认证,若未认证成功则通过管理员账号密码认证。
# 配置云桥连接参数(通过云桥Agent连接)
参数 说明 连接方式 连接LDAP服务器的方式,选择通过云桥Agent连接 选择云桥Agent 选择已安装部署的认证源类型云桥,已过滤掉22.6.1.0之前版本的云桥 关联源属性 LDAP用户名属性,默认值uid 关联用户属性 IDaaS用户属性字段,可选择用户名、ID、手机号、员工ID、邮箱,建议使用用户名关联LDAP用户名 未关联用户时 LDAP属性与IDaaS用户属性未关联时的策略,可配置自动创建用户或失败 更新已存在属性 默认否(自动创建用户时展示) 关联源属性和关联用户属性的作用:取LDAP中用户的一个属性与IDaaS中用户的一个属性进行关系映射。如果LDAP返回的用户信息的该属性与IDaaS中的关联属性一致,则通过认证。
未关联用户时:如果LDAP返回的用户信息的源属性与IDaaS中的关联属性不一致时,没有关联到系统用户时,可选配置如下。
选择失败即不允许认证通过。
选择自动创建用户时,则根据映射规则和关联属性进行IDaaS用户创建,并通过认证。
映射属性说明如下:
用户属性名:下拉选择IDaaS中用户属性。
映射类型: 选择映射类型。
- 选择认证源属性选项时,需在第三行认证源属性名输入栏中输入认证源返回的属性名称。
- 选择固定值选项时,需在第三行固定值输入栏中输入固定属性值。
- 选择脚本转换时,需在第三行脚本内容输入栏中输入转换脚本。关于脚本转换的语法,请参考如何开发映射定义里的动态脚本,脚本转换对象中常见的AD返回属性请参考下文脚本转换对象。
认证源属性名:LDAP服务器中的用户属性。
# 脚本转换对象
脚本对象为idp,包含LDAP返回的属性,其中常见属性如下:
属性名 显示名称 uid 通常指用户登录名。例:uid=tester sn 通常指一个人的姓氏。例:sn: Wang cn 通常指一个对象的名称。如果是人,需要使用全名。例:CN=ldapadmin telephoneNumber 电话号码 mail 电子邮件 LDAP schema中定义的objectClass决定LDAP中具有的属性,如下图的LDAP控制面板中,可以看到这个用户的objectClass为organizationalPerson,包含属性sn(Last Name)、cn(Common Name)。
我们在使用脚本对象时,可以直接使用 idp.【属性名】的方式获取,例如:idp.cn、idp.sn。
完成LDAP认证源参数配置后,在配置最底部输入LDAP用户名和密码,单击 “测试” 对LDAP认证源的配置以及LDAP服务器的连接情况进行测试,测试无误后保存配置。
