LDAP
# LDAP插件配置手册
# 1. 基础介绍
概念介绍
LDAP——轻型目录访问协议(英文 (opens new window):Lightweight Directory Access Protocol,缩写 (opens new window):LDAP,/ˈɛldæp/)是一个开放的,中立的,工业标准的应用协议 (opens new window),通过IP协议 (opens new window)提供访问控制和维护分布式信息的目录信息。了解更多LDAP知识介绍,可以前往 百度百科 (opens new window)。
SSO360****提供的服务
SSO360支持上下游的LDAP目录服务对接,更直接提供LDAP环境搭建(适用于无LDAP环境的企业)或LDAP应用配置(适用于已有LDAP环境的企业)的两种方式,实现LDAP目录服务数据与其他各应用(如Coding、行为审计、Jenkins、grafana...)间的交互传输。
# 2. LDAP环境配置
# 1. windows系统
下载LdapAdmin软件,并进行本地安装,软件下载地址:http://www.ldapadmin.org/
配置本地LDAP环境参数——
A. 创建新连接
- B. 填写对应参数,hostname、port、baseDN等,并点击test connection,提示successful,则说明配置联通成功
参数格式参考:(仅作参考)
Host:xxx.sso360.cn
SSL端口:389/636
Base: dc=xxx,dc=sso360,dc=cn
Username/User DN: cn=xxx,dc=sso360,dc=cn
Password:xxx
- 查看你的LDAP目录数据
# 2. macOS系统
下载LDAP Admin Tool软件,并进行本地安装,软件下载地址:https://www.ldapsoft.com/download.html
配置本地LDAP环境参数——
A. 创建新连接
- B. 填写连接参数,hostname、port、baseDN等,并单击test connection,当提示successful,则说明联通正确,同时勾选SSL,并点击next进行下一步
- c. 选择simple authentication,并输入user DN、password,单击next进入下一步
- d. 如果没有其他特殊要求,直接点击finish按钮,则ldap环境目录连接成功!
- 查看你的LDAP目录数据
# 3. LDAP同步任务配置
说明:如果您的公司没有LDAP环境,且派拉已为你搭建了LDAP环境,则无需配置LDAP同步任务,您可以忽略此步骤
# 1. 在SSO360创建LDAP同步
在租户后台【应用管理>应用中心>新增应用】模块创建LDAP集成应用
填写LDAP的基本参数,,并点击【测试联通】按钮,提示“已联通”则证明配置正确,再点击【保存】按钮。
# 2. 添加应用属性
说明:每个插件都会自动内置部分必需属性(内置的属性请勿删除),如果您的插件没有自定义属性,则无需添加,您可以跳过此步骤。
在【应用中心>应用详情>属性池】模块添加更多的应用同步的映射属性
# 3. 新建LDAP同步任务
- 在SSO360后台,【应用管理>同步任务】模块,点击新建任务按钮,创建LDAP下游同步任务
属性映射参考列表——
1)LDAP用户属性映射:
| SSO360字段名称 | SSO360字段 | 是否为登录属性 | 是否必填 | 数据同步JavaBean | LDAP字段 |
|---|---|---|---|---|---|
| 邮箱(可支持登录) | 是 | 是 | |||
| 手机号(可支持登录 | phone | 是 | 是 | mobile | mobile/telephoneNumber |
| 登录名(可支持登录) | username | 是 | 是 | cn | sn |
| 身份证号 | idNumber | 否 | 否 | 无 | |
| 状态 | status | 否 | 是 | status | ds-pwp-account-disabled |
| 性别 | gender | 否 | 否 | 无 | |
| 密码 | password | 否 | 是 | password | userPassword |
2)LDAP组织属性映射:
ldap会根据用户设置的策略,进行自动脱敏。
| SSO360字段名称 | SSO360字段 | 是否必填 | 数据同步JavaBean | LDAP字段 |
|---|---|---|---|---|
| 上级组织id | parentId | 是 | 无 | 无 |
| 组织id | id | 是 | 无 | entryUUID |
| 组织名称 | orgName | 是 | ou | ou |
| 组织code | orgCode | 是 | 无 | 无 |
- 配置同步的属性映射字段,并点击保存按钮
- 在同步任务列表,点击执行按钮,则数据同步开始,执行完成后,可以点击同步历史按钮,查看同步结果
# 4. LDAP中查看同步结果
# 1. 查看组织&用户数据
打开您本地的LDAP管理工具,展开dc下方的目录,查看从SSO360同步过来的组织、用户数据。
# 2. 普通用户登录LDAP
- 获取用户ldap登录名
ldap目录用户名获取,管理员选择用户,单击鼠标右键,选择copy dn to clipboard,则该用户的登录名已复制,例如:uid=zhuwenwen,ou=XXX有限公司,dc=sheca,dc=sso360,dc=cn
创建新连接
- 单击左上角创建图标,复制一个connection
- 单击properties,打开连接页面
- 输入该用户的username(用户的uid),password(用户在idaas当中的密码)并单击ok按钮,则该用户成功登录到ldap目录环境。
