如何通过LDAP协议同步数据

7/7/2020 功能介绍

本文介绍以LDAP协议同步组织和用户数据至LDAP协议目录的方法。

# 前提条件

  • 1.IDaaS公云服务可以访问到AD服务,如果AD服务器存在网络策略,可以添加IDaaS公云服务ip 47.92.171.137到网络白名单中。

  • 2.管理员拥有IDaaS企业中心访问权限。

# 操作步骤

  • 1.在导航栏【资源】-【应用】中,点击添加自建应用,输入应用名称并保存。

  • 2.点击创建的应用,开启同步集成,选择LDAP类型并保存。

  • 3.同步集成配置。

通用配置:

参数 说明
*主机 运行 LDAP 服务器的主机名称或 IP 地址。
TCP端口 与 LDAP 服务器进行通信的 TCP/IP 端口号。
SSL 系统默认true,即使用 SSL 连接到 LDAP 服务器。false,不使用SSL。如需同步用户密码必须开启SSL。
StartTLS 是否启用startTLS进行加密通信。(true:启用StartTLS,且SSL不能设置为true;false:不启用StartTLS)
协议版本 系统默认TLSv1.2,推荐使用TLSv1.3、TLSv1.2。
主体 验证LDAP 服务器时使用的标识名。
密码 主体对应的认证密码。
*基本上下文 需要同步LDAP目录的顶级节点。

可选配置:

可选配置中,有几个属性需要进行配置,其他默认即可。

账户对象类: 默认是top,person,organizationalPerson,inetOrgPerson。如果连接的AD域修改为top,person,organizationalPerson,user,如果同步AD域账号,应用账号模型里无法添加sAMAccountName属性,增加securityPrincipal即可。

UID属性:如果连接的是AD域,修改为objectGUID

密码属性:如果连接的AD域,修改为unicodePwd

若需要同步IDaaS应用组成员关系,还需要配置一下属性:

组对象类:如果连接的是AD域,配置为top,group;如果连接的是LDAP,配置为top,groupOfNames或者top,groupOfUniqueNames

组基本上下文:和通用配置基本上下文一起作为组条目搜索DN,如果不填写,将使用基本上下文作为搜索DN

组成员属性:默认member

LDAP组过滤器:过滤器由一组查询条件或者运算关系和多组查询条件组成,运算关系支持与【&】和或【|】,例如(|(&(exp1)(exp2)) (&(exp3)(exp4)))查询条件由属性、关系、属性值组成,关系支持等于【cn=同步组】、不等于【!(cn=同步组)】、模糊查询【cn=同步组*】、小于等于【age<=18】、大于等于【age>=18】

组Uid属性:如果连接的是AD域,配置为objectGUID;如果连接的是LDAP,配置为entryUUID

配置完成后,单击“保存配置”。单击“测试”可以对连接状态进行测试。

常规配置:

常规配置中,可以设置同步数据的处理逻辑。

  • 4.如果需要同步用户的其他属性, 选择左侧的“对象模型 —应用账号模型—属性定义”,单击“添加”,添加属性。下面以employeeNumber为例。

参数 说明
属性名 应用系统的账号属性,可在下拉菜单选取,如 employeeNumber。
显示标签 必填,可自定义。
说明文字 非必填,可自定义。
属性类型 不同的属性名对应不同的属性类型,由应用系统的属性确定,不支持修改。
格式 系统默认不支持修改。
必填 系统默认不勾选。
  • 5.切换到映射定义页签,单击“编辑”,配置属性映射。

参数 说明
用户 IDaaS映射至应用的属性,如手机号。
转换方式 IDaaS与应用之间属性的映射方式。
脚本表达式 当转换方式选择脚本转换时,可激活该输入框。映射脚本请参考:如何开发映射脚本。
执行方式 IDaaS同步用户数据至目标应用时的方式。
应用账号 应用的账号属性。
  • 6.如果需要同步机构, 选择左侧的“对象模型—应用机构模型”,开启应用机构。应用机构开启后不支持关闭。

  • 7.如果需要同步机构的其他属性, 选择左侧的“对象模型—应用机构模型—属性定义”,单击“添加”,添加机构属性。

参数 说明
属性名 应用系统的机构属性,可在下拉菜单选取。
显示标签 必填,可自定义。
说明文字 非必填,可自定义。
属性类型 不同的属性名对应不同的属性类型,由应用系统的属性确定,不支持修改。
格式 系统默认不支持修改。
必填 系统默认不勾选,不支持修改。
  • 8.切换到映射定义页签,单击“编辑”,配置属性映射。

参数 说明
组织 IDaaS映射至应用的组织属性。
转换方式 IDaaS与应用之间属性的映射方式。
脚本表达式 当转换方式选择脚本转换时,可激活该输入框。映射脚本请参考:如何开发映射脚本。
执行方式 IDaaS同步组织数据至目标应用时的方式。

# 验证IDaaS同步数据至LDAP

  • 1.应用机构和应用账号同步

进入“应用机构-授权策略”,开启机构自动授权,选择机构范围,点击保存按钮,然后点击执行新增后可以看到同步的组织。

进入“应用账号构-授权策略”,开启用户自动授权,选择用户范围,点击保存按钮,点击执行新增后可以看到同步的用户。

查看同步事件。选择左侧的“授权管理 —同步事件”,可以查看上述的同步记录。同时,对于组织、用户的编辑和删除等操作,也可以进行查看并过滤。

  • 2.在LDAP中查看同步的组织机构和用户。

  • 3.应用组成员关系同步

进行应用账号,选择应用账号,点击更多-分配应用组。选择应用组后,点击保存。

或者进入应用组,选择应用组,点击添加成员。选择成员后,点击保存。

  • 4.在LDAP中查看应用组成员

Last Updated: 8/5/2022, 10:40:52 AM