9.5.6.4. LDAP / Windows AD 集成

第三方集成中 LDAP、Windows AD 集成，支持將組織內(nèi)基于 LDAP 或 Windows AD 協(xié)議的用戶管理的用戶信息同步到通義靈碼靈碼的用戶管理，同時支持其通過 LDAP 或 Windows AD 賬號和密碼登錄。

創(chuàng)建范圍外用戶

企業(yè)管理員可以在企業(yè)管理 > 第三方集成中配置和管理 LDAP、Windows AD 集成。如果需要創(chuàng)建不在同步范圍內(nèi)的用戶，可以勾選支持內(nèi)建用戶，可以創(chuàng)建同步范圍外的用戶。

配置 LDAP 集成

前置依賴：

• LDAP服務(wù)已經(jīng)部署完成。

• 已在 LDAP 服務(wù)器上做好用戶賬號信息。

• 擁有 LDAP 服務(wù)器的 Bind DN 和 Bind Password。

步驟一 配置 LDAP 服務(wù)連接

首先需要配置 LDAP 服務(wù)器的連接信息，包括：

• 服務(wù)器地址：LDAP 服務(wù)器地址和端口。

• Base DN：LDAP 服務(wù)器的 Base DN，一般為 LDAP 服務(wù)器的根目錄，如果需要限定用戶同步的范圍，可以配置為 LDAP 服務(wù)器的子目錄。

說明

請認真確認用戶同步的范圍，避免實際同步范圍超出預(yù)期。

• Bind DN：LDAP 服務(wù)器的 Bind DN，一般為 LDAP 服務(wù)器的管理員賬號。

• Bind DN 密碼：LDAP 服務(wù)器的 Bind DN 密碼。

• 用戶查詢條件：LDAP 服務(wù)器用戶信息同步的過濾器，一般為“(objectClass=person)”。

• 部門查詢條件：LDAP 服務(wù)器部門信息同步的過濾器，一般為“(objectClass=GroupOfUniqueNames)”。

填寫完成后，單擊下一步。

步驟二 配置賬號綁定與屬性映射

目前提供種 4 種賬號識別和綁定方式：

• 自動綁定郵箱相同的賬號：按照同步策略，自動將靈碼通義靈碼、LDAP 中郵箱賬號相同的用戶綁定在一起。

• 自動綁定登錄賬號相同的賬號：按照同步策略，自動將通義靈碼靈碼、LDAP 中登錄賬號相同的用戶綁定在一起。

• 自動綁定手機號相同的賬號：按照同步策略，自動將靈碼通義靈碼、LDAP 中手機號相同的用戶綁定在一起。

• 自動綁定工號相同的賬號：按照同步策略，自動將通義靈碼靈碼、LDAP 中工號相同的用戶綁定在一起。

無論選擇哪一種賬號識別和綁定方式，均需要保證其對應(yīng)的屬性字段的唯一性和存在性，因為靈碼通義靈碼將按照選擇的方式進行賬號的一一匹配，選擇自動綁定郵箱相同的賬號的綁定過程：

接下來需配置用戶屬性映射的字段，按照下圖中設(shè)置的用戶屬性字段映射關(guān)系進行信息映射。

步驟三 開啟服務(wù)

LDAP 集成的服務(wù)在配置的過程中默認不開啟，用戶可在此處開啟服務(wù)：

• 用戶和組織同步：開啟后，可保持用戶管理中的用戶目錄和 LDAP 同步范圍內(nèi)的用戶同步。

• 單點登錄：開啟后，可支持通過 LDAP 賬號和密碼登錄。

如果選擇開啟對應(yīng)功能的情況下，需要進行相關(guān)配置（以下內(nèi)容適配于修改對應(yīng)功能配置）。

用戶和組織同步

• 數(shù)據(jù)同步時機：默認為手動同步，并支持手動同步、定時同步的切換。

  • 手動同步：需要企業(yè)管理員在有數(shù)據(jù)變更后，手動在 LDAP 集成詳情頁面單擊執(zhí)行手動同步按鈕完成用戶和組織同步。

說明

每次手動同步操作盡量間隔 1 個小時。

• 定時同步：配置同步的時機和規(guī)則按每天（某刻）、每周（某天某刻）、每月（某天某刻）、每隔一定時間進行同步，如果設(shè)置為定時同步，建議保存配置后完成一次手動同步，以保證數(shù)據(jù)可以及時同步至通義靈碼靈碼。

• 用戶差異處理：默認忽略通義靈碼靈碼上多余的賬號，且為在同步范圍內(nèi)的 LDAP 賬號創(chuàng)建通義靈碼靈碼賬號并綁定，可根據(jù)訴求修改。

  • 已有通義靈碼靈碼賬號未匹配到 LDAP 賬號-忽略：當(dāng)已有通義靈碼靈碼賬號未匹配到 LDAP 賬號時，不刪除靈碼通義靈碼上的多余賬號。

  • 已有通義靈碼靈碼賬號未匹配到 LDAP 賬號-刪除通義靈碼靈碼賬號：當(dāng)已有通義靈碼靈碼賬號未匹配到 LDAP 賬號時，刪除通義靈碼靈碼上的賬號。

  • 已有 LDAP 賬號未匹配到靈碼通義靈碼賬號-忽略：當(dāng)已有 LDAP 賬號未匹配到靈碼通義靈碼賬號時，不在靈碼通義靈碼上創(chuàng)建新賬號。

  • 已有 LDAP 賬號未匹配到通義靈碼靈碼賬號-新建通義靈碼靈碼賬號并綁定：當(dāng)已有 LDAP 賬號未匹配到通義靈碼靈碼賬號時，會按照賬號綁定和屬性映射規(guī)則在通義靈碼靈碼上創(chuàng)建新賬號，并與 LDAP 賬號綁定；

• 組織差異處理：默認忽略通義靈碼靈碼上多余的部門節(jié)點，且為在同步范圍內(nèi)的 LDAP 部門節(jié)點創(chuàng)建通義靈碼靈碼部門并綁定，可根據(jù)訴求修改。

  • 已有靈碼通義靈碼部門未匹配到 LDAP 部門-忽略：當(dāng)已有靈碼通義靈碼部門未匹配到 LDAP 部門時，不刪除靈碼通義靈碼上的部門節(jié)點。

  • 已有靈碼通義靈碼部門未匹配到 LDAP 部門-刪除通義靈碼靈碼部門：當(dāng)已有通義靈碼靈碼部門未匹配到 LDAP 部門時，刪除通義靈碼靈碼上的部門節(jié)點。

  • 已有 LDAP 部門未匹配到通義靈碼靈碼部門-忽略：當(dāng)已有 LDAP 部門未匹配到通義靈碼靈碼部門時，不在通義靈碼靈碼上創(chuàng)建部門節(jié)點。

  • 已有 LDAP 部門未匹配到通義靈碼靈碼部門-創(chuàng)建通義靈碼靈碼部門并綁定：當(dāng)已有 LDAP 部門未匹配到通義靈碼靈碼部門時，會在通義靈碼靈碼上創(chuàng)建部門節(jié)點，并將兩方部門節(jié)點進行綁定。

開啟單點登錄

打開單點登錄的開關(guān)后，可以：

• 查看 LDAP 的登錄地址，已經(jīng)綁定 LDAP 賬號的通義靈碼靈碼用戶，可以在該頁面使用 LDAP 的賬號和密碼登錄通義靈碼靈碼。

• 自定義配置可修改：LDAP 登錄入口的顯示名稱和顯示圖標，修改后靈碼通義靈碼系統(tǒng)將按照修改的內(nèi)容顯示。

• 允許開啟首次登錄時創(chuàng)建通義靈碼靈碼賬號：

  • 默認不勾選：登錄時僅允許 LDAP 賬號與通義靈碼靈碼賬號進行綁定，匹配不到靈碼通義靈碼賬號時，靈碼通義靈碼不會根據(jù) LDAP 賬號創(chuàng)建靈碼通義靈碼賬號。

  • 勾選后：允許在 LDAP 賬號登錄通義靈碼靈碼且 LDAP 賬號無法匹配到通義靈碼靈碼賬號時，通義靈碼靈碼創(chuàng)建新的通義靈碼靈碼賬號與之綁定。

如果選擇不開啟服務(wù)，也可保存配置，后續(xù)可以在 LDAP 集成詳情頁面中開啟所需服務(wù)。 當(dāng)完成所有配置后，單擊保存配置按鈕即可完成 LDAP 集成的配置。

通過 LDAP 登錄靈碼通義靈碼

開啟單點登錄后，靈碼通義靈碼登錄頁面將顯示 LDAP 登錄入口，點擊后可進入 LDAP 登錄頁面，已綁定 LDAP 賬號的用戶可以通過 LDAP 賬號和密碼登錄。

查看用戶和組織同步結(jié)果

在開啟用戶和組織同步的情況下，打開 LDAP 集成詳情頁面，可以查看最新同步結(jié)果：未執(zhí)行同步、同步成功、同步失敗、部分同步成功。

修改 LDAP 集成的功能服務(wù)

在 LDAP 集成詳情頁面，如果開啟了某個功能服務(wù)，可以看到修改服務(wù)配置的按鈕，點擊后即可進行相關(guān)功能服務(wù)配置的修改或者關(guān)閉該功能：

• 關(guān)閉用戶和組織同步：

  • 不解除通義靈碼靈碼賬號與 LDAP 賬號的綁定關(guān)系。

  • 不再執(zhí)行 LDAP 的用戶和組織同步。

• 關(guān)閉單點登錄

  • 不會解除靈碼通義靈碼賬號與 LDAP 賬號的綁定關(guān)系。

  • 不支持通過 LDAP 賬號登錄通義靈碼靈碼，用戶若需要登錄通義靈碼靈碼，可使用通義靈碼靈碼的登錄賬號和密碼進行登錄。

移除 LDAP 集成

在 LDAP 集成詳情頁面，可單擊移除集成按鈕，二次確認后即可移除 LDAP 集成，移除集成后：

• 解除靈碼通義靈碼賬號與 LDAP 賬號的綁定關(guān)系，不會影響已同步的用戶和組織架構(gòu)信息。

• 不再執(zhí)行 LDAP 的用戶和組織同步。

• 不再支持通過 LDAP 賬號登錄通義靈碼靈碼，用戶若需要登錄通義靈碼靈碼，可使用通義靈碼靈碼的登錄賬號和密碼進行登錄。