LDAP作为身份源

7/7/2020 身份源

# 概述

IDaaS支持钉钉、企业微信和AD做为身份源,同时也支持企业内部LDAP目录做为IDaaS的身份源,与LDAP中的组织机构和用户信息保持同步,做到数据的统一管理和数据的一致性。

# 前置条件

  • 1.IDaaS公有云服务网关地址:47.92.171.137 可以访问到LDAP目录服务;

  • 2.拥有IDaaS企业中心管理员权限;

# 配置过程

# 1.添加LDAP身份源

管理员登录企业中心》用户》身份源管理,选择LDAP身份源进行添加。

# 2.导入配置

基础配置:

参数 说明
主机 运行LDAP服务器的主机地址或ip
TCP端口 LDAP服务器的TCP通信端口号
主体 拥有LDAP目录读取权限的管理员账号
密码 管理员账号密码
基本上下文 需要同步LDAP目录顶级节点,如OU=zhuyuntest,DC=test,DC=com

可选配置默认即可,如果同步出现异常,可根据LDAP的版本和实际使用的情况进行参数调整。

高级配置:

参数 说明
定时同步 设置每天定时获取LDAP目录数据的同步时间
选择组织 同步到IDaaS中的机构节点位置
删除阀值 LDAP数据已经同步到IDaaS中后,如果LDAP中删除用户或组织机构数据同步删除IDaaS中数据的最大值
组织匹配策略 可根据IDaaS中的属性名和LDAP身份源中的属性名进行映射来进行组织机构的匹配,支持添加多个匹配规则,如LDAP目录组织机构编码和IDaaS组织机构编码匹配
创建组织 默认 是
更新组织 默认 是
删除组织 LDAP中删除组织机构后,IDaaS中会继续保留组织机构
用户匹配策略 可根据IDaaS中的属性名和LDAP身份源中的属性名进行映射来进行用户信息的匹配,支持添加多个匹配规则,如LDAP目录用户唯一属性与IDaaS用户唯一属性匹配
创建用户 默认 是
更新用户 默认 是
删除用户 禁用用户或保留用户,LDAP中删除用户后IDaaS中禁用用户或继续保留用户,默认禁用

# 3.对象模型设置

对象模型作用是把LDAP身份源中的用户、组织机构上的属性信息与IDaaS中的用户、组织的属性进行映射,一一匹配,进行数据关联。设置之后,同步时会把LDAP中数据属性值同步到的IDaaS系统中进行关联的属性值上。 例如:用户属性定义中定义了一个名字标签,取LDAP目录用户 中的givenName值,在映射定义中把名字与IDaaS中的中间名属性进行映射。

属性定义:LDAP身份源侧的属性名称,内置属性为Y的无需配置

  • 映射定义: 属性定义中的属性字段映射为系统用户中的属性字段
    • 执行方式

      • 不映射 不会同步该属性

      • 创建 只有在创建的时候会同步该属性

      • 创建和更新 创建和更新时同步该属性

    • 转换方式

      • 无 不转换

      • 自动转换 身份源中什么值,就同步什么值

      • 脚本转换 身份源中的值不满足需要的格式可通过此方式来转换,可参考脚本映射方法 (opens new window)

可根据实际需要的属性值进行添加配置。

# 4.导入同步记录

点击执行按钮,立即执行手动同步操作,可以产看数据同步的记录,点击记录详情,可查看具体的数据回收结果。

# 5.定时同步记录

导入配置中高级配置设置了定时同步时间后,可查看定时同步的记录,建议每天晚上凌晨执行同步调度作业。

Last Updated: 7/16/2021, 2:51:09 PM