AD作为身份源

身份源
最后更新时间: 1/19/2024, 11:05:32 AM

# 概述

本章节将为您介绍如何在IDaaS平台中配置AD作为身份源,将AD中统一维护的组织机构和用户数据,同步至IDaaS平台,保障企业内各应用系统的数据一致性。

# 前提条件

  • IDaaS公云服务可以访问到AD服务,如果AD服务器存在网络策略,可以添加IDaaS公云服务ip(47.92.171.137)到网络白名单中。
  • 拥有IDaaS企业中心平台的管理员权限。

# 操作步骤

  1. 登录IDaaS企业中心平台,在上方导航栏选择 “用户 > 身份源管理" ,单击 ”添加身份源“ 选择 “AD” 身份源。

  2. 自定义身份源名称,参考界面提示填写主机、TCP端口等参数,建议 “连接方式” 选择 ”直接连接“ ,设置完成后单击 ”确定“ 保存。

  3. 进入新增身份源的详情页,可查看、更新AD身份源的 “基础配置” ,包括连接参数及同步机制。

  4. 切换至 "可选配置" 页签,关键配置参考如下。

    • 可选配置仅设置下表提及的参数,其余参数保持默认。
    • 如果想要使用AD中的其他属性作为IDaaS中的用户名,如sAMAccountName做为用户名,可以设置为sAMAccountName,在下一步对象模型-用户映射定义-账号名>用户名的映射,执行方式改为创建和更新。
    参数 说明
    帐户对象类 修改为top,person,organizationalPerson,user
    账户用户名属性 默认是uid,cn 同步时会把ad中的cn值同步至IDaaS中的用户名
    UID属性 修改为objectGUID
  5. 配置完成后切换至 "高级配置" 页签,建议保持默认或根据实际需求参考填写

    参数 说明
    选择根组织 设置同步到IDaaS中的机构节点
    组织匹配策略 可根据IDaaS中的属性名和AD身份源中的属性名进行映射来进行组织机构的匹配,支持添加多个匹配规则
    创建组织 默认 “是” ,即在AD创建组织时自动在IDaaS中创建组织
    更新组织 默认 “是” ,即在AD更新组织时自动在IDaaS中更新组织
    删除组织 AD中删除组织后,IDaaS中支持禁用该组织或继续保留组织或同步删除组织
    用户匹配策略 可根据IDaaS中的属性名和AD身份源中的属性名进行映射来进行用户信息的匹配,支持添加多个匹配规则
    创建用户 默认 “是” ,即在AD创建用户时自动在IDaaS中创建用户
    更新用户 默认 “是” ,即在AD创建用户时自动在IDaaS中创建用户
    删除用户 AD中删除用户后,IDaaS中支持禁用该用户或继续保留用户或同步删除用户
    安全阀值调节 设置当上游身份源出现删除用户/删除组织/组织层级变动等情况时,在身份源中以上变动的最大阈值比例
    阈值 =(平台已回收数据和本次回收数据的差异值 / 已回收数据) * 100%,当上游身份源应用禁用/删除超过设定的阈值数据,平台接到指定后,将不进行禁用/删除操作。
  6. 配置完成后切换至 ”对象模型“ 页签选择 “映射定义” ,根据实际需求完成属性定义及映射定义,关键参数说明如下。

    对象模型支持把AD身份源中的用户、组织上的属性,与IDaaS中的用户、组织的属性进行映射匹配。设置之后,实现从AD回收用户、组织属性至IDaaS的用户、组织属性。

    • 执行方式:设置属性在哪种情形下需要映射。
      • 不映射:不会同步该属性至IDaaS。
      • 创建:只有在创建的时候会同步该属性。
      • 更新:只有在更新的时候会同步该属性。
      • 创建和更新:创建和更新时同步该属性。
    • 转换方式:设置属性映射的方式。
      • 自动转换:身份源中什么值,就同步什么值。
      • 脚本转换:身份源中的值不满足需要的格式可通过此方式来转换,可参考脚本映射方法
  7. 对象模型设置完成后单击 “执行同步” 立即执行同步操作。

    如果基础配置中的同步机制设置为定时同步,则此处无需通过手动执行同步任务。

  8. 执行完成后切换至 "同步事件" 页面,可查看该身份源的所有同步任务,单击 “操作” 列下的 “详情” 查看导入结果,或者在 “用户 > 用户与组织” 页面查看导入的数据。