功能介绍
Windows AD 是 Microsoft 提供的本地化用户目录管理服务。在AOne配置AD同步任务并开启 Windows AD 服务商的企业登录,即可实现将AD中的用户和组织信息同步至AOne,通过AOne进行认证管理帮助用户实现登录功能。 本文介绍如何创建AD同步任务。
操作步骤
管理员创建同步任务
仅将AD的用户与组织信息进行同步到AOne,AOne进行认证管理(即密码由AOne管理)。
- 登录边缘安全加速。
- 支持在AOne零信任工作台进行操作。
- 在左侧导航栏身份-第三方组织,选择同步身份源菜单。
- 点击“添加同步任务”,按需选择同步任务,完成任务配置。
注意目前该能力暂未全面开放至控制台,若想要进行该能力配置,可联系我们进行开启。
1、添加同步任务
进入同步身份源列表,点击“添加同步任务”,进行AD身份源添加。
2、选择同步任务
选择“AD 同步机构任务”。
3、配置任务
输入配置参数,完成AD身份源同步任务配置。
配置参数说明:
参数 说明 服务器地址 必填,输入AD服务器的地址,格式通常为IP地址加端口号,例如:Idap://127.0.0.1:389。 服务器根目录 必填,输入AD服务器的根目录,通常是DN(Distinguished Name)的路径。 管理员账户 必填,输入AD服务器的管理员账户名, 用于进行同步操作的认证。 管理员密码 必填,输入与管理员账户对应的密码。 同步任务名称 非必填,支持自定义同步任务名称。 字段映射 必填,配置AD和AOneId之间的字段映射规则,因为不同的系统可能会使用不同的字段来存储用户信息,目前AOneId仅支持配置username(必须)、name、mobile、email、nickname、orgName(必须) 6个字段的映射规则。 例如:userName=cn;name=name;mobile=telephoneNumber;email=mail;
nickname=givenName;orgName=ou。
注意
AOneId中的userName(账号)同步AD中的cn字段,其中该字段不填默认为AD中的cn字段,这个字段非常重要,需保证每个账号唯一。
AOneId中的name(姓名)同步AD中的name字段,其中该字段不填默认为AD中的name字段 。
AOneId中的mobile(手机号)同步AD中的telephoneNumber字段,其中该字段不填默认为AD中的telephoneNumber字段, 该字段会根据您在用户池的字段唯一性设置,校验唯一性。
AOneId中的email(邮箱)同步AD中的mail字段,其中该字段不填默认为AD中的mail字段,该字段会根据您在用户池的字段唯一性设置,校验唯一性。
AOneId中的nickname(昵称)同步AD中的givenName字段,其中该字段不填默认不同步数据 。
AOneId中的orgName(组织名称)同步AD中的ou字段,其中该字段不填默认为AD中的ou字段。
同步至AOneId机构 必填,选择要同步到的AOneId机构。 同步方式 必填,可选择“手动”或者“定时同步”。
手动:启用同步同步任务后,可手动执行同步任务。
定时同步:设置“同步时间”与“同步周期”,启用同步任务后,自动按照定时执行同步任务,期间不可手动执行。
4、完成
同步任务创建完成后,任务默认的状态为停用,需要启用后,才能生效。同样,当不需要该任务时可以停用。
当同步方式为手动时,可通过“执行任务”按钮立即执行同步任务。
管理员查看同步任务
1、查看同步历史
执行任务后,可查看同步历史。
2、查看同步后用户与组织信息
在用户与组织中,可查看同步过后的机构以及用户信息。
AD配置获取指导
1、服务器地址获取
2、端口获取
AD认证使用的是LDAP协议,该协议标准使用端口默认是389,如果修改了端口,可通过 netstat -an | findstr LISTENING 命令查看。
3、登录名获取
工具->Active Directory 用户和计算机->Users->对应用户属性。