LDAP作为身份源

身份源
最后更新时间: 1/19/2024, 11:05:32 AM

# 概述

IDaaS支持多种三方系统作为身份源,同时也支持企业内部LDAP目录作为IDaaS的身份源,与LDAP中的组织机构和用户信息保持同步,做到数据的统一管理和数据的一致性。

# 前提条件

  • IDaaS公云服务可以访问到LDAP目录服务,如果LDAP服务器存在网络策略,可以添加IDaaS公云服务ip(47.92.171.137)到网络白名单中。
  • 拥有IDaaS企业中心平台的管理员权限。

# 操作步骤

  1. 登录IDaaS企业中心平台,在上方导航栏选择 “用户 > 身份源管理" ,单击 ”添加身份源“ 选择 “LDAP” 身份源。

  2. 自定义设置身份源名称,参考界面提示填写主机、TCP端口等参数,设置完成后单击 ”确定“ 保存。

  3. 进入新增身份源的详情页,可查看、更新LDAP身份源的 “基础配置” ,包括连接参数及同步机制。

  4. 切换至 "可选配置" 页签,建议保持默认或根据实际需求参考界面填写

  5. 配置完成后切换至 "高级配置" 页签,建议保持默认或根据实际需求参考界面填写

    参数 说明
    选择根组织 同步到IDaaS中的机构节点位置
    组织匹配策略 可根据IDaaS中的属性名和LDAP身份源中的属性名进行映射来进行组织机构的匹配,支持添加多个匹配规则,如LDAP目录组织机构编码和IDaaS组织机构编码匹配
    创建组织 默认是
    更新组织 默认是
    删除组织 设置在LDAP中删除组织机构后,IDaaS对该组织机构的处理情况,支持禁用、保留、删除组织
    用户匹配策略 可根据IDaaS中的属性名和LDAP身份源中的属性名进行映射来进行用户信息的匹配,支持添加多个匹配规则,如LDAP目录用户唯一属性与IDaaS用户唯一属性匹配
    创建用户 默认是
    更新用户 默认是
    删除用户 默认禁用用户即可(即LDAP中删除用户,IDaaS中禁用用户),还支持保留、删除用户
    安全阈值调节 设置当上游身份源出现删除用户/删除组织/组织层级变动等情况时,在身份源中以上变动的最大阈值比例
    阈值 =(平台已回收数据和本次回收数据的差异值 / 已回收数据) * 100%,当上游身份源应用禁用/删除超过设定的阈值数据,平台接到指定后,将不进行禁用/删除操作。
  6. 配置完成后切换至 ”对象模型“ 页签选择 “映射定义” ,根据实际需求完成属性定义及映射定义,关键参数说明如下。

    对象模型支持把LDAP身份源中的用户、组织上的属性,与IDaaS中的用户、组织的属性进行映射匹配。设置之后,实现从LDAP回收用户、组织属性至IDaaS的用户、组织属性。

    • 执行方式:设置属性在哪种情形下需要映射。
      • 不映射:不会同步该属性至IDaaS。
      • 创建:只有在创建的时候会同步该属性。
      • 更新:只有在更新的时候会同步该属性。
      • 创建和更新:创建和更新时同步该属性。
    • 转换方式:设置属性映射的方式。
      • 自动转换:身份源中什么值,就同步什么值。
      • 脚本转换:身份源中的值不满足需要的格式可通过此方式来转换,可参考脚本映射方法
  7. 对象模型设置完成后单击 “执行同步” 立即执行同步操作。

    如果基础配置中的同步机制设置为定时同步,则此处无需通过手动执行同步任务。

  8. 执行完成后切换至 "同步事件" 页面,可查看该身份源的所有同步任务,单击 “操作” 列下的 “详情” 查看导入结果,或者在 “用户 > 用户与组织” 页面查看导入的数据。