创建AD同步任务
更新时间 2026-04-20 11:09:51
最近更新时间: 2026-04-20 11:09:51
本文档为AOne平台AD(Active Directory)同步身份源的详细操作指南。
功能介绍
AD(Active Directory)是Microsoft提供的本地化用户目录管理服务,主要用于企业内部用户、组织、权限的集中管理。
在AOne平台配置AD同步任务,可实现将AD域中的核心数据无缝同步至AOne平台的用户与组织模块,其中AD与AOne的数据对应关系如下表所示:
| AD(Active Directory) | AOne平台 | 说明 |
|---|---|---|
| User(用户) | 用户 | AD域中的User对象,同步至AOne平台后对应单个用户账号,包含用户基础信息 |
| OU(组织单元) | 组织 | AD域中的OU,同步至AOne平台后对应组织架构,用于划分用户层级 |
| Group(用户组) | 用户组 | AD域中的Group对象,同步至AOne平台后对应用户组,用于批量管理用户权限 |
前置准备
1、内网连接器准备
该步骤非必须。若企业AD域服务器部署在公网环境,则可跳过该步骤。
若企业AD域服务器部署在公司内网环境,AOne平台无法直接访问内网AD域控制器,需提前在AD域服务器或内网可访问AD域的服务器上,安装连接器,确保AOne平台与内网AD域服务器建立有效连接,实现数据同步。
2、AD域相关配置参数准备
请提前向AD服务器平台管理员获取协议、服务器地址、端口号、管理员账号、管理员密码、BaseDN参数信息。
特别说明:
- AD服务器平台管理员可以使用Microsoft官方工具 ADSI 编辑器获取参数
- 您获取参数后,可先通过LDAP Admin工具测试数据是否正确
| 序号 | 参数 | 参数说明 | ADSI 编辑器获取参数说明 | LDAP Admin工具登录连接时对应字段 |
|---|---|---|---|---|
| 1 | 协议 | ldaps://或ldap:// 若开启SSL加密则选择ldaps:// 若不开启SSL加密则选择ldap://,出于安全考虑,建议使用ldaps:// |
SSL | |
| 2 | 服务器地址 | 支持域名或IP地址例如:119.91.137.138(公网),10.1.20.9(内网) | Host | |
| 3 | 端口号 | ldaps://协议默认端口636,ldap://协议默认端口389,如果修改了端口,可通过 netstat -an | findstr LISTENING 命令查看 |
||
| 4 | BaseDN | 服务器根目录,通常是DN(Distinguished Name)的路径,例如:OU=aoneid,DC=aoneid,DC=com | 首先找到根目录(即OU=Organization Unit),该OU需包含所有员工。右击点击属性,找到属性=distinguishedName对应的值 |
Base |
| 5 | 管理员账号 | 该账户需具备所有账户的读取权限,一般管理员账号在CN=Users目录下例如:CN=Administrator,CN=Users,DC=aoneid,DC=com | 找到管理员账号,右击点击属性,找到属性=distinguishedName对应的值 |
Username |
| 6 | 管理员密码 | 管理员账户对应的密码 | Password | |
| 7 | 用户映射规则中对应AD字段 | 同步至AOne用户与组织中用户账号,姓名,手机号,邮箱在AD中的对应字段 | 选择一个账户,右击选择属性查看,选择符合你需求的字段 |
|
| 8 | 机构映射规则中对应AD字段 | 同步至AOne用户与组织中组织名称字段在AD中的对应字段 | 选择一个机构,右击选择属性查看,选择符合你需求的字段 |
创建同步任务
1、进入同步任务配置页面
- 登录边缘安全加速,支持在AOne零信任工作台进行操作
- 在左侧导航栏身份-第三方组织,选择同步身份源菜单
- 点击添加同步任务,选择AD类型
2、配置AD同步任务连接参数
输入AD连接参数相关配置,可点击连接测试初步检测配置数据是否正确。
| 序号 | 参数 | 说明 |
|---|---|---|
| 1 | 服务器地址 | 分成3部分:协议,服务器地址,端口号例如:ldaps://43.139.222.166:389 见上方【前置准备】-【AD域相关配置参数准备】中的协议,服务器地址,端口号 |
| 2 | 管理员账户 | 见上方【前置准备】-【AD域相关配置参数准备】中的管理员账号 |
| 3 | 管理员密码 | 见上方【前置准备】-【AD域相关配置参数准备】中的管理员密码 |
| 4 | 内网访问 | 若企业AD域服务器部署在公网环境,则不勾选。若企业AD域服务器部署在公司内网环境,则勾选 |
| 5 | 连接器集群 | 仅内网访问时需要配置。请确保连接器集群到AD服务器地址网络可达 |
| 6 | BaseDN | 见上方【前置准备】-【AD域相关配置参数准备】中的BaseDN |
| 7 | 机构同步配置 | 用于控制AD域中OU(组织单元)同步至AOne平台组织的范围。支持通过过滤条件精准筛选需同步的OU,配置逻辑如下: 1)启用OU过滤: * 关闭:不进行过滤,同步BaseDN参数限定范围内的所有OU及其子OU * 开启:仅同步符合过滤条件的OU及其子OU 2)OU过滤条件:仅当“启用OU过滤”选框开启时展示,对应需同步的机构过滤条件,需输入符合LDAP语法的过滤表达式,示例如下: * 示例1: (|(sAMAccountName=OU1)(sAMAccountName=OU2)) 表示仅同步组织单元为OU1和OU2的OU及其子OU* 示例2: (objectClass=organizationalUnit),表示同步所有类型为organizationalUnit的OU及其子OU |
| 8 | 用户同步配置 | 用于控制AD域中User(用户)同步至AOne平台用户的范围,支持通过过滤条件筛选需同步的User,配置逻辑如下: 1)启用User过滤: * 关闭:不进行过滤,同步机构同步范围内的全量User * 开启:仅同步符合过滤条件的User 2)User过滤条件:仅当“启用User过滤”选框开启时展示,对应需同步的用户过滤条件,需输入符合LDAP语法的过滤表达式,示例如下: * 示例1: (objectClass=person) 表示仅同步AD域中类型为person的User* 示例2: (|(objectClass=Person)(objectClass=user)) 表示同步类型为Person或user的User* 示例3: (sAMAccountName=oec*) 表示同步登录名以oec开头的User |
| 9 | 用户组同步配置 | 用户组同步配置用于控制AD域中Group(用户组)同步至AOne平台用户组的范围,配置逻辑如下: 1)启用用户组同步:是用户组同步的基础控制开关 * 关闭:不同步任何AD域中的Group信息 * 开启:将AD域中的Group信息同步至AOne平台用户组,同时同步用户组与成员的关联关系 2)启用Group过滤:仅当“启用用户组同步”选框开启时展示 * 关闭:不进行过滤,同步当前机构同步范围内的全量Group及其成员关系 * 开启:仅同步符合过滤条件的Group及其成员关系 3)Group过滤条件:仅当“启用Group过滤”选框开启时展示,对应用户组过滤条件,需输入符合LDAP语法的过滤表达式,示例如下: * 示例1: (|(sAMAccountName=Group1)(sAMAccountName=Group2)) 表示仅同步Group1和Group2两个用户组,以及两个用户组与成员的关联关系* 示例2: (&(objectClass=group)(memberof=CN=GraylogAdmins,CN=Users,DC=company,DC=local)) 表示同步隶属于指定父组的用户组及其成员关系 |
| 10 | 用户映射规则 | 支持自定义配置AOne中用户字段和AD字段的映射关系,目前支持账号,姓名,手机号,邮箱字段的配置 见上方【前置准备】-【AD域相关配置参数准备】中的用户映射规则中对应AD字段 |
| 11 | 机构映射规则 | 支持自定义配置零信任中机构字段和AD字段的映射关系,目前支持机构名称字段的配置 见上方【前置准备】-【AD域相关配置参数准备】中的机构映射规则中对应AD字段 |
3、配置AD同步任务基础信息
| 序号 | 参数 | 说明 |
|---|---|---|
| 1 | 同步任务名称 | 输入限制为16个字符,建议为:AD身份源 |
| 2 | 同步至机构 | 所有在AD中获取的OU和User信息同步至AOne平台该机构下,若无法选中,请先到 【身份】-【用户与组织】菜单下新建一个组织 |
4、配置AD同步任务同步策略
可选择手动或定时同步:
- 手动:仅在创建同步任务后点击执行任务按钮才更新数据
- 定时同步:目前支持按周和按天的同步策略,最短的时间间隔为1小时
注意 : 建议先将同步方式设置成手动 ,待确定同步数据无误后再将同步方式按需改成定时。
完成以上配置后,您可以对同步效果进行验证,具体参考:同步任务统一验证及维护操作 。
常见问题
1、如何使用ADSI 编辑器
登录AD服务器,打开ADSI 编辑器:cmd 运行 adsiedit.msc
2、如何找到管理员账户
一般在CN=Users目录下查找,该目录下自动拥有账户读取权限。
若有必要您可以先在CN=Users目录下创建一个管理员账户:打开Active Directory 用户与计算机:cmd 运行 dsa.msc,在CN=Users目录下创建用户,且勾选用户不能更改密码,密码永不过期,切记不要勾选账户已禁用。
3、如何使用LDAP Admin工具测试数据是否正确
LDAP Admin工具下载说明:http://www.ldapadmin.org
