通義靈碼 LDAP Windows AD 集成配置指南 - 專屬版同步與登錄實(shí)現(xiàn)

9.5.6.4. LDAP / Windows AD 集成

第三方集成中 LDAP、Windows AD 集成，支持將組織內(nèi)基于 LDAP 或 Windows AD 協(xié)議的用戶管理的用戶信息同步到通義靈碼靈碼的用戶管理，同時(shí)支持其通過 LDAP 或 Windows AD 賬號(hào)和密碼登錄。

創(chuàng)建范圍外用戶

企業(yè)管理員可以在企業(yè)管理 > 第三方集成中配置和管理 LDAP、Windows AD 集成。如果需要?jiǎng)?chuàng)建不在同步范圍內(nèi)的用戶，可以勾選支持內(nèi)建用戶，可以創(chuàng)建同步范圍外的用戶。

配置 LDAP 集成

前置依賴：

• LDAP服務(wù)已經(jīng)部署完成。

• 已在 LDAP 服務(wù)器上做好用戶賬號(hào)信息。

• 擁有 LDAP 服務(wù)器的 Bind DN 和 Bind Password。

步驟一 配置 LDAP 服務(wù)連接

首先需要配置 LDAP 服務(wù)器的連接信息，包括：

• 服務(wù)器地址：LDAP 服務(wù)器地址和端口。

• Base DN：LDAP 服務(wù)器的 Base DN，一般為 LDAP 服務(wù)器的根目錄，如果需要限定用戶同步的范圍，可以配置為 LDAP 服務(wù)器的子目錄。

說明

請(qǐng)認(rèn)真確認(rèn)用戶同步的范圍，避免實(shí)際同步范圍超出預(yù)期。

• Bind DN：LDAP 服務(wù)器的 Bind DN，一般為 LDAP 服務(wù)器的管理員賬號(hào)。

• Bind DN 密碼：LDAP 服務(wù)器的 Bind DN 密碼。

• 用戶查詢條件：LDAP 服務(wù)器用戶信息同步的過濾器，一般為“(objectClass=person)”。

• 部門查詢條件：LDAP 服務(wù)器部門信息同步的過濾器，一般為“(objectClass=GroupOfUniqueNames)”。

填寫完成后，單擊下一步。

步驟二 配置賬號(hào)綁定與屬性映射

目前提供種 4 種賬號(hào)識(shí)別和綁定方式：

• 自動(dòng)綁定郵箱相同的賬號(hào)：按照同步策略，自動(dòng)將靈碼通義靈碼、LDAP 中郵箱賬號(hào)相同的用戶綁定在一起。

• 自動(dòng)綁定登錄賬號(hào)相同的賬號(hào)：按照同步策略，自動(dòng)將通義靈碼靈碼、LDAP 中登錄賬號(hào)相同的用戶綁定在一起。

• 自動(dòng)綁定手機(jī)號(hào)相同的賬號(hào)：按照同步策略，自動(dòng)將靈碼通義靈碼、LDAP 中手機(jī)號(hào)相同的用戶綁定在一起。

• 自動(dòng)綁定工號(hào)相同的賬號(hào)：按照同步策略，自動(dòng)將通義靈碼靈碼、LDAP 中工號(hào)相同的用戶綁定在一起。

無論選擇哪一種賬號(hào)識(shí)別和綁定方式，均需要保證其對(duì)應(yīng)的屬性字段的唯一性和存在性，因?yàn)殪`碼通義靈碼將按照選擇的方式進(jìn)行賬號(hào)的一一匹配，選擇自動(dòng)綁定郵箱相同的賬號(hào)的綁定過程：

接下來需配置用戶屬性映射的字段，按照下圖中設(shè)置的用戶屬性字段映射關(guān)系進(jìn)行信息映射。

步驟三 開啟服務(wù)

LDAP 集成的服務(wù)在配置的過程中默認(rèn)不開啟，用戶可在此處開啟服務(wù)：

• 用戶和組織同步：開啟后，可保持用戶管理中的用戶目錄和 LDAP 同步范圍內(nèi)的用戶同步。

• 單點(diǎn)登錄：開啟后，可支持通過 LDAP 賬號(hào)和密碼登錄。

如果選擇開啟對(duì)應(yīng)功能的情況下，需要進(jìn)行相關(guān)配置（以下內(nèi)容適配于修改對(duì)應(yīng)功能配置）。

用戶和組織同步

• 數(shù)據(jù)同步時(shí)機(jī)：默認(rèn)為手動(dòng)同步，并支持手動(dòng)同步、定時(shí)同步的切換。

  • 手動(dòng)同步：需要企業(yè)管理員在有數(shù)據(jù)變更后，手動(dòng)在 LDAP 集成詳情頁(yè)面單擊執(zhí)行手動(dòng)同步按鈕完成用戶和組織同步。

說明

每次手動(dòng)同步操作盡量間隔 1 個(gè)小時(shí)。

• 定時(shí)同步：配置同步的時(shí)機(jī)和規(guī)則按每天（某刻）、每周（某天某刻）、每月（某天某刻）、每隔一定時(shí)間進(jìn)行同步，如果設(shè)置為定時(shí)同步，建議保存配置后完成一次手動(dòng)同步，以保證數(shù)據(jù)可以及時(shí)同步至通義靈碼靈碼。

• 用戶差異處理：默認(rèn)忽略通義靈碼靈碼上多余的賬號(hào)，且為在同步范圍內(nèi)的 LDAP 賬號(hào)創(chuàng)建通義靈碼靈碼賬號(hào)并綁定，可根據(jù)訴求修改。

  • 已有通義靈碼靈碼賬號(hào)未匹配到 LDAP 賬號(hào)-忽略：當(dāng)已有通義靈碼靈碼賬號(hào)未匹配到 LDAP 賬號(hào)時(shí)，不刪除靈碼通義靈碼上的多余賬號(hào)。

  • 已有通義靈碼靈碼賬號(hào)未匹配到 LDAP 賬號(hào)-刪除通義靈碼靈碼賬號(hào)：當(dāng)已有通義靈碼靈碼賬號(hào)未匹配到 LDAP 賬號(hào)時(shí)，刪除通義靈碼靈碼上的賬號(hào)。

  • 已有 LDAP 賬號(hào)未匹配到靈碼通義靈碼賬號(hào)-忽略：當(dāng)已有 LDAP 賬號(hào)未匹配到靈碼通義靈碼賬號(hào)時(shí)，不在靈碼通義靈碼上創(chuàng)建新賬號(hào)。

  • 已有 LDAP 賬號(hào)未匹配到通義靈碼靈碼賬號(hào)-新建通義靈碼靈碼賬號(hào)并綁定：當(dāng)已有 LDAP 賬號(hào)未匹配到通義靈碼靈碼賬號(hào)時(shí)，會(huì)按照賬號(hào)綁定和屬性映射規(guī)則在通義靈碼靈碼上創(chuàng)建新賬號(hào)，并與 LDAP 賬號(hào)綁定；

• 組織差異處理：默認(rèn)忽略通義靈碼靈碼上多余的部門節(jié)點(diǎn)，且為在同步范圍內(nèi)的 LDAP 部門節(jié)點(diǎn)創(chuàng)建通義靈碼靈碼部門并綁定，可根據(jù)訴求修改。

  • 已有靈碼通義靈碼部門未匹配到 LDAP 部門-忽略：當(dāng)已有靈碼通義靈碼部門未匹配到 LDAP 部門時(shí)，不刪除靈碼通義靈碼上的部門節(jié)點(diǎn)。

  • 已有靈碼通義靈碼部門未匹配到 LDAP 部門-刪除通義靈碼靈碼部門：當(dāng)已有通義靈碼靈碼部門未匹配到 LDAP 部門時(shí)，刪除通義靈碼靈碼上的部門節(jié)點(diǎn)。

  • 已有 LDAP 部門未匹配到通義靈碼靈碼部門-忽略：當(dāng)已有 LDAP 部門未匹配到通義靈碼靈碼部門時(shí)，不在通義靈碼靈碼上創(chuàng)建部門節(jié)點(diǎn)。

  • 已有 LDAP 部門未匹配到通義靈碼靈碼部門-創(chuàng)建通義靈碼靈碼部門并綁定：當(dāng)已有 LDAP 部門未匹配到通義靈碼靈碼部門時(shí)，會(huì)在通義靈碼靈碼上創(chuàng)建部門節(jié)點(diǎn)，并將兩方部門節(jié)點(diǎn)進(jìn)行綁定。

開啟單點(diǎn)登錄

打開單點(diǎn)登錄的開關(guān)后，可以：

• 查看 LDAP 的登錄地址，已經(jīng)綁定 LDAP 賬號(hào)的通義靈碼靈碼用戶，可以在該頁(yè)面使用 LDAP 的賬號(hào)和密碼登錄通義靈碼靈碼。

• 自定義配置可修改：LDAP 登錄入口的顯示名稱和顯示圖標(biāo)，修改后靈碼通義靈碼系統(tǒng)將按照修改的內(nèi)容顯示。

• 允許開啟首次登錄時(shí)創(chuàng)建通義靈碼靈碼賬號(hào)：

  • 默認(rèn)不勾選：登錄時(shí)僅允許 LDAP 賬號(hào)與通義靈碼靈碼賬號(hào)進(jìn)行綁定，匹配不到靈碼通義靈碼賬號(hào)時(shí)，靈碼通義靈碼不會(huì)根據(jù) LDAP 賬號(hào)創(chuàng)建靈碼通義靈碼賬號(hào)。

  • 勾選后：允許在 LDAP 賬號(hào)登錄通義靈碼靈碼且 LDAP 賬號(hào)無法匹配到通義靈碼靈碼賬號(hào)時(shí)，通義靈碼靈碼創(chuàng)建新的通義靈碼靈碼賬號(hào)與之綁定。

如果選擇不開啟服務(wù)，也可保存配置，后續(xù)可以在 LDAP 集成詳情頁(yè)面中開啟所需服務(wù)。 當(dāng)完成所有配置后，單擊保存配置按鈕即可完成 LDAP 集成的配置。

通過 LDAP 登錄靈碼通義靈碼

開啟單點(diǎn)登錄后，靈碼通義靈碼登錄頁(yè)面將顯示 LDAP 登錄入口，點(diǎn)擊后可進(jìn)入 LDAP 登錄頁(yè)面，已綁定 LDAP 賬號(hào)的用戶可以通過 LDAP 賬號(hào)和密碼登錄。

查看用戶和組織同步結(jié)果

在開啟用戶和組織同步的情況下，打開 LDAP 集成詳情頁(yè)面，可以查看最新同步結(jié)果：未執(zhí)行同步、同步成功、同步失敗、部分同步成功。

修改 LDAP 集成的功能服務(wù)

在 LDAP 集成詳情頁(yè)面，如果開啟了某個(gè)功能服務(wù)，可以看到修改服務(wù)配置的按鈕，點(diǎn)擊后即可進(jìn)行相關(guān)功能服務(wù)配置的修改或者關(guān)閉該功能：

• 關(guān)閉用戶和組織同步：

  • 不解除通義靈碼靈碼賬號(hào)與 LDAP 賬號(hào)的綁定關(guān)系。

  • 不再執(zhí)行 LDAP 的用戶和組織同步。

• 關(guān)閉單點(diǎn)登錄

  • 不會(huì)解除靈碼通義靈碼賬號(hào)與 LDAP 賬號(hào)的綁定關(guān)系。

  • 不支持通過 LDAP 賬號(hào)登錄通義靈碼靈碼，用戶若需要登錄通義靈碼靈碼，可使用通義靈碼靈碼的登錄賬號(hào)和密碼進(jìn)行登錄。

移除 LDAP 集成

在 LDAP 集成詳情頁(yè)面，可單擊移除集成按鈕，二次確認(rèn)后即可移除 LDAP 集成，移除集成后：

• 解除靈碼通義靈碼賬號(hào)與 LDAP 賬號(hào)的綁定關(guān)系，不會(huì)影響已同步的用戶和組織架構(gòu)信息。

• 不再執(zhí)行 LDAP 的用戶和組織同步。

• 不再支持通過 LDAP 賬號(hào)登錄通義靈碼靈碼，用戶若需要登錄通義靈碼靈碼，可使用通義靈碼靈碼的登錄賬號(hào)和密碼進(jìn)行登錄。