功能介绍
Windows AD 是 Microsoft 提供的本地化用户目录管理服务,在AOne配置并开启 Windows AD 服务商的企业登录,即可实现通过 AOne快速获取 Windows AD 基本开放的信息和帮助用户实现登录功能。
注意该功能目前需要线下配置,如有需求,请联系我们。
Windows AD同步
仅将AD的用户与组织信息进行同步到AOne,AOne进行认证管理(即密码由AOne管理)。
如有该需求可提供以下参数进行后台配置:
参数 说明 服务器地址 输入AD服务器的地址,格式通常为IP地址加端口号,例如:Idap://127.0.0.1:389。 服务器根目录 AD服务器的根目录,通常是DN(Distinguished Name)的路径。 管理员账户 输入AD服务器的管理员账户名,用于进行同步操作的认证。 管理员密码 输入与管理员账户对应的密码。 字段映射 配置AD和AOne平台之间的字段映射规则,因为不同的系统可能会使用不同的字段来存储用户信息,必须配置orgName和username的映射规则。
例如:orgName=ou;username=uid;mobile,email=mail。
同步组织 选择该同步需要同步到的组织下。 同步方式 可选择“手动”或者“定时同步”。
Windwos AD认证
即AD当作认证源,其管理登录认证验证,AOne客户端登录时进行转发给AD进行认证,因零信任需要针对用户、组织进行精细化授权,建议采用AD同步提前将用户信息导入,配置对应权限。
注意登录时直接登录已有账号,如不存在则创建新账号。
如有该需求可提供以下参数进行后台配置:
参数 说明 认证源名称 默认值“AD”,输入限制为16个字。 服务器地址
选择域名为ldap:// 或者 ldaps://。
输入服务器地址。
输入端口号。
同步密码到 AD 时必须开启 StartTLS 或 ldaps,非同步密码场景也推荐开启,可以有效提高数据传输的安全性。一般使用 389 或 636 端口。
管理员账户 请输入登录名,如admin@example.com。支持DN格式,并请确保该账户至少拥有全部节点的读取权限;如需同步账户或密码到 AD,还需分配写入权限; 管理员密码 该账户的登录密码。 User DN 定义从哪个目录开始搜索,如:dc=test,dc=local”。 查询条件 请输入用于过滤用户的查询条件,如(cn=China*)。 用户登录标识 在使用 AD 委托认证登录 AOne时,AOne将根据这些属性去 AD 中查询用户并匹配密码,密码正确则允许用户登录 AOne。 用户信息映射规则 例如username=uid;mobile=mobile;email=mail。
配置以上信息后将在对应客户端展示AD登录,选择AD登录方式输入AD账号、密码进行登录。
AD配置获取指导
服务器地址获取
端口获取
AD认证使用的是LDAP协议,该协议标准使用端口默认是389,如果修改了端口,可通过 netstat -an | findstr LISTENING 命令查看。
用户获取
工具->Active Directory 用户和计算机->Users->对应用户属性。
