功能介绍

Windows AD 是 Microsoft 提供的本地化用户目录管理服务。在AOne中配置AD认证源，可实现用户使用AD的账户密码登录的功能。本文介绍如何使用AD作为认证源。

注意
目前该能力暂未全面开放至控制台，若想要进行该能力配置，可联系我们进行开启。
客户端集成AD认证源版本为：PC客户端版本（windows、macOS、Linux图形化）为2.12.0及以上版本，移动端（安卓、IOS）为1.14.0版本。

操作步骤

管理员创建AD认证源

即AD当作认证源，其管理登录认证验证，AOne客户端登录时进行转发给AD进行认证，因零信任需要针对用户、组织进行精细化授权，建议采用AD同步提前将用户信息导入，配置对应权限。

1、添加认证源

进入扩展认证源列表，点击“添加认证源”，进行AD认证源添加。

2、选择认证源类型

选择AD 认证源类型。输入配置参数，完成AD认证源配置。

配置参数说明：

  参数
说明
认证源名称
必填，默认值“AD”，输入限制为16个字。
服务器地址
必填，分为链接方式、服务器地址和端口三个部分：
 下拉选择域名为ldap:// 或者 ldaps://。
输入服务器地址。
输入端口号。
同步密码到 AD 时必须开启 StartTLS 或 ldaps，非同步密码场景也推荐开启，可以有效提高数据传输的安全性。一般使用 389 或 636 端口。
管理员账户
必填，请输入登录名，如admin@example.com。支持DN格式，并请确保该账户至少拥有全部节点的读取权限；如需同步账户或密码到 AD，还需分配写入权限。
管理员密码
必填，该账户的登录密码。
User DN
必填，AD服务器的根目录，通常是DN（Distinguished Name）的路径。例如：dc=test,dc=local。
查询条件
必填，无特殊情况一般为objectclass=*，查询User DN下所有的对象。 此处也可定义搜索条件，确定哪些条目（Entry）符合查询要求，例如：
 (objectClass=person)：查找所有对象类为“person”的条目。
(cn=John Doe)：查找常见名称（cn）为“John Doe”的条目。
(uid=*)：查找所有具有“uid”属性的条目。
&（和）、|（或）、!（非）等逻辑运算符可以用来组合多个条件。

用户登录标识
必填， 会同步至AOneId的username（账号）字段，也是用户使用AD登录时账号字段。
用户信息映射规则
必填，同步AD数据至AOneId的映射关系，支持多个，目前AOneId仅支持配置name、mobile、email、nickname 4个字段的映射规则。
例如：name=displayName;mobile=homePhone;email=mail;
nickname=givenName。
注意：
AOneId中的name（姓名）同步AD中的displayName字段
AOneId中的mobile（手机号）同步AD中的homePhone字段
AOneId中的email（邮箱）同步AD中的mail字段
AOneId中的nickname（昵称）同步AD中的givenName字段
登录模式
必填，目前支持登录注册。
适用范围
必填，目前支持Web端。
logo
非必填，用于在认证源列表展示的logo。

3、配置完成

配置参数填写完成后，点击“下一步”完成任务配置，系统回到认证源列表，可查看认证源的相关信息。

登录验证

使用AOne客户端即可看到对应登录方式，选择AD登录方式输入AD账号、密码（其中账号用户在AD认证源中配置的“用户登录标识”字段，密码为AD密码）进行登录。