AD作为身份源

7/7/2020 身份源

# 前提条件

  • 1.IDaaS公云服务可以访问到AD服务,如果AD服务器存在网络策略,可以添加IDaaS公云服务ip 47.92.171.137到网络白名单中。

  • 2.管理员拥有IDaaS企业中心访问权限。

# 配置过程

# 1.添加AD身份源

管理员登录企业中心》用户》身份源管理,选择AD身份源进行添加。

# 2.身份源导入配置

  • 基础配置:
参数 说明
主机 运行AD服务器的主机地址或ip
TCP端口 AD服务器的TCP通信端口号
SSL 系统默认true,即使用 SSL 连接到 LDAP 服务器。false,不使用SSL。
协议版本 系统默认TLSv1.2,推荐使用TLSv1.3、TLSv1.2。
主体 拥有AD域读取权限的账号名,带域名,例如admin@test.com 或者TEST\admin
密码 主体的账号密码
基本上下文 要同步AD账号所在AD中的树的顶级节点,如OU=zhuyuntest,DC=test,DC=com

  • 可选配置:

可选配置中,有几个属性需要进行配置,其他默认即可

账户对象类: 修改为top,person,organizationalPerson,user

账户用户名属性: 默认是uid,cn 同步时会把ad中的cn值同步至IDaaS中的用户名

如果想要使用AD中的其他属性作为IDaaS中的用户名,如sAMAccountName做为用户名,可以设置为sAMAccountName,在下一步对象模型-用户映射定义-账号名>用户名的映射,执行方式改为创建和更新

UID 属性:修改为objectGUID

  • 高级配置:
参数 说明
定时同步 设置每天执行从AD同步数据的时间
选择组织 同步到IDaaS中的机构节点
删除阀值 AD已经同步到IDaaS中后,如果AD中删除用户或组织同步删除IDaaS中账号的最大值
组织匹配策略 可根据IDaaS中的属性名和AD身份源中的属性名进行映射来进行组织机构的匹配,支持添加多个匹配规则
创建组织 默认 是
更新组织 默认 是
删除组织 AD中删除组织后,IDaaS中会继续保留组织
用户匹配策略 可根据IDaaS中的属性名和AD身份源中的属性名进行映射来进行用户信息的匹配,支持添加多个匹配规则
创建用户 默认 是
更新用户 默认 是
删除用户 禁用用户or保留用户,AD中删除用户后IDaaS中禁用用户或继续保留用户,默认禁用

# 3.对象模型设置

对象模型作用是把AD身份源中的用户、组织上的属性,与IDaaS中的用户、组织的属性进行映射,一一匹配,进行数据关联。设置之后,同步时会把AD中数据属性值同步到的IDaaS系统中进行关联的属性值上。 例如:用户属性定义中定义了一个名字标签,取AD中的givenName值,在映射定义中把名字与IDaaS中的中间名属性进行映射。

  • 属性定义:AD身份源侧的属性名称,内置属性为Y的无需配置

  • 映射定义: 属性定义中的属性字段映射为系统用户中的属性字段

    • 执行方式

      • 不映射 不会同步该属性

      • 创建 只有在创建的时候会同步该属性

      • 创建和更新 创建和更新时同步该属性

    • 转换方式

      • 无 不转换

      • 自动转换 身份源中什么值,就同步什么值

      • 脚本转换 身份源中的值不满足需要的格式可通过此方式来转换,可参考脚本映射方法 (opens new window)

可根据实际需要的属性值进行添加配置。

# 4.导入同步记录

点击执行按钮,立即执行手动同步操作,可以查看数据同步的记录,点击记录详情,可查看具体的数据回收结果。

# 5.定时同步记录

导入配置中高级配置设置了定时同步时间后,可查看定时同步的记录。

Last Updated: 9/6/2021, 3:37:18 PM