LDAP
1 介绍
飞网IAM支持通过LDAP协议从LDAP服务器中提取用户、群组信息,并将其导入到我们的系统中,以确保用户数据的实时同步和一致性。
LDAP 是一种用于访问和维护分层目录信息的协议,常用于企业内部的用户身份验证和管理。它以层级结构存储数据,支持基于文本的查询和标准化操作
2 使用场景
当企业内部有一个负责管理用户的系统时,这时要引入飞网IAM对用户进行身份认证,但用户的管理还是使用企业内部自己的系统,比如用户的注册依旧是在企业自己的系统上进行,这时就需要通过用户同步功能。通过LDAP 或 SCIM协议可以将企业的用户信息同步到飞网IAM中,从而保持飞网IAM和其用户管理系统的用户数据的一致性和完整性。这样,每当有新的用户注册时,只需要执行用户同步功能即可。
3 配置
3.1 基础配置
1、在用户同步器页面点击"LDAP"进入配置页面。
2、在"详情"页面中可以修改"描述"信息,修改完成后,点击"更新"按钮即可。3、点击"配置"菜单,进入页面,在该页面中可以配置ldap服务的地址等信息,修改完成后点击"更新"按钮即可。
服务器域名/IP:LDAP服务器的地址。
端口:LDAP服务端口。
绑定DN:LDAP 管理员的 DN,身份认证服务器 将使用此 DN 访问 LDAP 服务器。
绑定凭证:LDAP 管理员密码。
用户DN:包含用户信息的 LDAP 树的完整DN。
用户对象类:LDAP 中用户的所有对象类属性的值,以逗号分隔。
用户组DN:包含用户组的完整 LDAP 树 DN。
用户组对象类:LDAP 中用户组的所有对象类属性的值,以逗号分隔。
LDAP成员组属性:这是群组上用于成员映射的 LDAP 属性的名称,例如 memberUid。
LDAP成员用户属性:这是用户上用于成员映射的 LDAP 属性的名称,例如 uidNumber。
用户组检索策略:用户检索策略。分为"根据成员属性加载"和"根据用户Memberof属性加载"。
如果选择"根据用户Memberof属性加载",会多一条属性LDAP用户组属性:指定包含该用户所属组的LDAP用户的LDAP属性名。
LDAP用户属性标识:LDAP属性的名称,用作LDAP中对象的唯一对象标识符,Active Directory的objectSID或Open LDAP的uidNumber。
LDAP用户组属性标识:LDAP属性的名称,用作LDAP中对象的唯一对象标识符,Active Directory的objectSID或Open LDAP的gidNumber。
修改日期属性:LDAP属性名称,用于LDAP中对象的修改日期。
批量执行数:执行数量。
3.2 映射规则
3.2.1 添加
1、点击"映射规则"菜单,进入页面后,点击"添加映射规则",进行添加操作。
2、当点击"添加映射规则"按钮后,会弹出添加窗口,选择一个映射类型,然后选择需要的类型,点击"下一步"。 3、根据页面需求填写内容后,点击"保存"按钮即可。User类型
通用属性
特殊属性
特殊属性与通用属性类似,不同在于通用属性只能选择一些已经存在的通用字段,而特殊属性可以自定义字段名称。
通用属性中的固定字段包括:
Id:用户编号。
Name:用户名(登录名、账号)。
Firstname:用户姓名。
Email:邮箱地址。
EmailVerified:邮箱是否经过认证。
Group类型名称
3.2.2 修改
1、在映射规则页面中,点击我们想要修改映射规则的名称,进入配置页面。
2、修改想要修改的内容,修改完成后,点击"保存"按钮即可。3.2.2 删除
如果想要删除已经创建好的映射规则,我们可以在映射规则页面中,勾选我们想要删除的映射规则(支持多选),然后点击右侧的蓝色按钮,然后点击"删除"字样,即可删除勾选的映射规则。
4 启动
1、当我们配置好后,就可以启动程序开始同步用户数据了,在同步前,我们可以先点击"尝试提取用户"按钮,查看是否可以连接到服务器。
2、如果可以连接到服务器,会弹出窗口,显示提取到的用户信息。 3、接着我们就可以点击"启动"按钮开始同步了,当点击"启动"按钮之后,点击"历史"菜单,可以看到工作流中,显示橙色的"已提取",这表示正在提取。 4、然后刷新"历史"页面,可以看到之前橙色的"已提取"变成了绿色,这表示提取完成,接着我们点击右侧的蓝色按钮,开始同步。 5、当点击蓝色后,会提示"已启动导入过程",并且工作流中会出现橙色的"已导入",这表示正在导入。 6、然后刷新"历史"页面,可以看到之前橙色的"已导入"变成了绿色,这表示导入完成。 7、然后我们点击左侧"用户管理"->"用户"菜单进行查看,可以看到有来源一个"LDAP",这就是我们从ldap中导入的用户。5 历史
我们可以通过点击"历史"菜单,查看我们通过ldap导入的所有历史信息。