功能介绍
LDAP(Lightweight Directory Access Protocol,轻量级目录访问协议) 是一种开放的、跨平台的目录服务访问协议,广泛应用于企业身份管理场景,用于查询和管理目录服务中的用户账号、组织架构等结构化数据。
在AOne平台中配置LDAP认证源后,企业用户可直接使用其现有目录服务(如Active Directory、OpenLDAP等)中的账号密码登录AOne,无需额外创建独立账号,实现企业身份体系的统一接入与管理。
本文将详细介绍如何在AOne平台中配置LDAP认证源,以及用户如何通过LDAP账号完成登录。
注意
客户端集成LDAP认证源版本为:PC客户端版本为2.12.0及以上版本,移动客户端为2.7.0及以上版本。
终端用户登录预览图
PC客户端
移动客户端
前置准备
1、内网连接器准备
该步骤非必须。若企业LDAP服务器部署在公网环境,则可跳过该步骤。
若企业LDAP服务器部署在公司内网环境,AOne平台无法直接访问内网LDAP服务,需提前在LDAP服务器或内网可访问LDAP服务器上安装连接器,确保AOne平台与内网LDAP服务器建立有效连接,实现网络打通。
2、LDAP协议相关配置参数准备
请提前向LDAP服务器管理员获取协议、服务器地址、端口号、管理员账号、管理员密码、BaseDN参数信息。
特别说明:
LDAP服务器管理员可以使用Microsoft官方工具 ADSI 编辑器获取参数
您获取参数后,可先通过LDAP Admin工具测试数据是否正确
| 序号 | 参数 | 参数说明 | ADSI 编辑器获取参数说明 | LDAP Admin工具登录连接时对应字段 |
|---|---|---|---|---|
| 1 | 协议 | ldaps://或ldap:// 若开启SSL加密则选择ldaps:// 若不开启SSL加密则选择ldap://,出于安全考虑,建议使用ldaps:// | SSL | |
| 2 | 服务器地址 | 支持域名或IP地址例如:119.91.137.138(公网),10.1.20.9(内网) | Host | |
| 3 | 端口号 | ldaps://协议默认端口636,ldap://协议默认端口389,如果修改了端口,可通过 netstat -an | findstr LISTENING 命令查看 | ||
| 4 | BaseDN | 服务器根目录,通常是DN(Distinguished Name)的路径,例如:OU=aoneid,DC=aoneid,DC=com | 首先找到根目录(即OU=Organization Unit),该OU需包含所有员工。右击点击属性,找到属性=distinguishedName对应的值 | Base |
| 5 | 管理员账号 | 该账户需具备所有账户的读取权限,一般管理员账号在CN=Users目录下例如:CN=Administrator,CN=Users,DC=aoneid,DC=com | 找到管理员账号,右击点击属性,找到属性=distinguishedName对应的值 | Username |
| 6 | 管理员密码 | 管理员账户对应的密码 | Password | |
| 7 | 用户登录标识 | 用户使用LDAP登录时账号对应LDAP字段,一般为sAMAccountName字段,具体根据您企业的自身情况填写,该字段需保证每个账号唯一 | 选择一个账户,右击选择属性查看 | |
| 8 | 用户映射规则中对应LDAP字段 | 用户登录创建/自动匹配绑定AOne用户时,LDAP对应的用户账号,姓名,手机号,邮箱字段 | 选择一个账户,右击选择属性查看,选择符合你需求的字段 |
创建认证源
1、进入认证源配置页面
登录边缘安全加速,支持在AOne零信任工作台进行操作
在左侧导航栏身份-第三方组织,选择扩展认证源菜单
点击添加认证源,选择LDAP类型
2、配置LDAP认证源连接参数
输入LDAP连接参数相关配置,可点击连接测试初步检测配置数据是否正确。若勾选了内网访问,需先保存认证源,保存成功后才可连接测试。
| 序号 | 参数 | 说明 |
|---|---|---|
| 1 | 服务器地址 | 分成3部分:协议,服务器地址,端口号例如:ldaps://43.139.222.166:389 见上方【前置准备】-【LDAP协议相关配置参数准备】中的协议,服务器地址,端口号 |
| 2 | 管理员账户 | 见上方【前置准备】-【LDAP协议相关配置参数准备】中的管理员账号 |
| 3 | 管理员密码 | 见上方【前置准备】-【LDAP协议相关配置参数准备】中的管理员密码 |
| 4 | 内网访问 | 若企业LDAP服务器部署在公网环境,则不勾选 若企业LDAP域服务器部署在公司内网环境,则勾选 |
| 5 | 连接器集群 | 仅内网访问时需要配置。请确保连接器集群到LDAP服务器地址网络可达 |
| 6 | BaseDN | 见上方【前置准备】-【LDAP协议相关配置参数准备】中的BaseDN |
| 7 | 用户登录标识 | 见上方【前置准备】-【LDAP协议相关配置参数准备】中的用户登录标识 |
3、配置LDAP认证源基础配置
| 序号 | 参数 | 说明 |
|---|---|---|
| 1 | 认证源名称 | 输入限制为16个字符,便于区分不同的认证源,建议为:LDAP登录 |
| 2 | 登录认证模式 | 分为两种模式,您可根据企业需求选择。 ① 仅登录:该模式下,LDAP账号仅能与AOne平台已存在的账号进行绑定,无法创建新账号。 ② 登录注册:该模式下,当LDAP账号未与AOne平台既有账号绑定,且用户通过该认证源登录时,系统将自动为用户创建新的AOne账号。 详细效果见下:【登录认证模式和启动自动匹配与自动绑定的配置说明】 |
| 3 | 启用自动匹配与绑定 | 该开关用于配置邮箱/手机号匹配的绑定逻辑。 ① 开启:用户登录时,获取当前LDAP账号的邮箱/手机号,若该邮箱/手机号在AOne平台已存在唯一对应用户,则自动完成“LDAP账号- AOne账号”的绑定操作; ② 关闭:用户登录时,仅判断当前LDAP账号是否与AOne平台既有账号已绑定,若未绑定,需用户手动点击“绑定账号”按钮,确认绑定关系后,方可完成登录。 详细效果见下:【登录认证模式和启动自动匹配与自动绑定的配置说明】 |
| 4 | 映射规则 | 见上方【前置准备】-【LDAP协议相关配置参数准备】中的用户映射规则中对应LDAP字段 |
| 5 | 适用范围 | PC端:勾选表示在AOne PC客户端支持该认证源登录 移动端:勾选表示在AOne 移动端支持该认证源登录 |
| 6 | logo | 在认证源列表展示的logo |
登录认证模式和启动自动匹配与自动绑定的配置说明
| 序号 | 登录认证模式的配置 | 启动自动匹配与自动绑定的配置 | 用户首次使用LDAP认证源登录成功后的流程 | 适用场景 |
|---|---|---|---|---|
| 1 | 仅登录 | 关闭 | 用户LDAP账号密码登录成功后,检测用户未绑定,跳转至账号绑定界面,用户手动输入AOne账号密码(或选择其他认证方式验证)完成“LDAP账号-AOne账号”绑定,绑定成功后登录 | 企业已完成所有用户AOne账号预置,需严格管控账号绑定,需人工确认绑定关系的场景(如金融、涉密类企业,或账号权限等级较高的办公场景) |
| 2 | 仅登录 | 开启,且匹配字段=邮箱/手机号 | 用户LDAP账号密码登录成功后,检测用户未绑定,根据映射规则自动获取LDAP账号的邮箱/手机号,比对AOne中账号邮箱/手机号 ②若未匹配/多匹配到多个,则跳转至账号绑定界面,用户手动输入AOne账号密码(或选择其他认证方式验证)完成“LDAP账号-AOne账号”绑定,绑定成功后登录 | 企业已完成所有用户AOne账号预置,且手机/邮箱均唯一绑定,无需人工干预绑定流程,追求高效快捷登录的场景(如成熟企业全员办公场景,账号管理规范、手机号/邮箱地址无重复)。 |
| 3 | 登录注册 | 关闭 | 用户LDAP账号密码登录成功后,检测用户未绑定,直接创建新AOne账号,登录成功 | 企业新员工入职频繁,未提前在AOne平台预置员工账号,需快速为新员工开通AOne访问权限,简化入职办公流程的场景(如互联网企业、快速扩张型企业)。 |
| 4 | 登录注册 | 开启,且匹配字段=邮箱/手机号 | 用户LDAP账号密码登录成功后,检测用户未绑定,根据映射规则自动获取LDAP账号的邮箱/手机号,比对AOne中账号邮箱/手机号 | 企业既有老员工(已预置AOne账号),又有新员工(未预置账号),兼顾老员工快捷登录、新员工快速注册的混合场景(如大部分中型企业,兼顾账号管理规范与入职效率)
|
完成以上配置后,您可以对认证效果进行验证,具体参考:认证源统一验证及维护操作
常见问题
1、如何使用ADSI 编辑器
登录AD/LDAP服务器,打开ADSI 编辑器:cmd 运行 adsiedit.msc
2、如何找到管理员账户
一般在CN=Users目录下查找,该目录下自动拥有账户读取权限。
若有必要您可以先在CN=Users目录下创建一个管理员账户:打开Active Directory 用户与计算机:cmd 运行 dsa.msc,在CN=Users目录下创建用户,且勾选用户不能更改密码,密码永不过期,切记不要勾选账户已禁用。
3、如何使用LDAP Admin工具测试数据是否正确
LDAP Admin工具下载说明:http://www.ldapadmin.org