认证源
概述
百度智能云IDaaS支持企业员工使用企业目录认证源或第三方认证源登录,管理员用户可以按需配置不同的认证方式,企业目录认证源支持LDAP,OIDC,JWT等协议,第三方认证源支持百度账号、Github、码云等认证源。
IDaaS提供的认证源服务主要区分以下2种典型的客户场景:
- 使用IDaaS登录入口登录: 企业员工统一使用由IDaaS项目提供的登录域名和入口,登入IDaaS工作台,并选择应用进行单点登录。
- 使用企业登录入口登录: 企业员工先以企业内部认证源登录,以IDaaS为单点登录到其他应用的桥梁,在企业内部门户或工作台,直接单点登录到其他应用。
- 使用第三方认证源登录: 企业员工通过绑定第三方认证源的账号信息,登录到对应的IDaaS账号空间。
默认情况下,IDaaS项目提供系统默认认证方式即账号密码登录方式,当管理员用户配置了企业目录认证源并启用,IDaaS将切换到企业目录认证源登录方式,直到禁用或删除所配置认证源,恢复到默认认证方式。即系统默认认证方式和企业目录认证源登录方式为二选一。
IDaaS账号与第三方认证源的绑定关系为一对多,即一个IDaaS账号可以同时绑定多个第三方认证源,且可以同时开启使用IDaaS账号密码或第三方认证源的登录方式登录企业空间。
本文将介绍使用IDaaS登录入口登录场景下,如何配置并使用LDAP协议企业目录认证源进行IDaaS用户登录。
先决条件
在配置LDAP协议认证源之前,您需要具备如下条件:
- 拥有百度智能云账号;
- 已成功创建IDaaS项目;
- 准备好一个外网可连接的Windows AD服务器,并拥有管理员账号。
操作步骤
本章节将介绍如何配置并启用LDAP协议认证源:
- 实现企业内Windows AD服务器中的账号信息自动同步到IDaaS项目;
- 企业员工通过Windows AD内已有域账号登录IDaaS工作台,并单点登录到下游应用。
创建LDAP认证源
本节将介绍如何创建并启用Windows AD类型LDAP服务器:
- 进入 IDaaS项目 > 设置 > 认证源;
- 点击 创建认证源,选择认证协议为LDAP,填写如下配置信息:
字段 | 必填 | 说明 |
---|---|---|
认证源名称 | 是 | IDaaS项目内唯一 |
描述 | 否 | 认证源补充说明 |
协议类型 | 是 | 选择LDAP,其他可选配置协议见最佳实践 |
连接到组织节点 | 是 | 默认为root,即选择AD服务器Base DN映射到的IDaaS组织架构节点 |
类型 | 是 | 默认选中Windows AD,可选OpenLDAP,这里以AD为例 |
服务器地址 | 是 | 外网可访问的LDAP服务器地址 |
Base DN | 是 | 填写用于连接IDaaS项目的用户所在AD服务器OU节点,指定后不可修改 |
连接方式 | 否 | 可选是否开启SSL连接,如勾选,需要提供服务器有效的CA证书 |
管理员DN | 是 | AD服务器拥有上述Base DN的管理员用户名,用于同步用户信息,以及完成用户认证 |
管理员密码 | 是 | AD服务器拥有上述Base DN的管理员密码 |
用户名关联字段 | 是 | AD服务器中用户属性与IDaaS用户名关联的字段,通常为UserPricinpleName或是cn,指定后不可编辑 |
- 点击保存,系统会自动测试AD服务器以及对应管理员账号的有效性,测试通过,则保存成功,认证源默认为禁用状态,需要在认证源列表中切换到启用后,可开启LDAP认证;点击保存并启用,除上述检查外,直接启用该认证源。
配置账号信息同步
上一章节已经创建并启用了AD服务器类型的LDAP认证源,本节将介绍如何配置将企业内AD服务器账号信息自动同步到IDaaS项目中,如下是具体操作步骤:
- 进入IDaaS项目 > 设置 > 认证源,选择配置的testAD认证源,并点击管理;
- 切换到页签集成配置,可进行信息同步的基本配置、属性映射以及同步计划配置。
- 同步配置
点击编辑,可对如下信息进行编辑
字段 | 必填 | 说明 |
---|---|---|
Base DN | 是 | 在创建认证源时指定,不可编辑 |
连接到组织节点 | 是 | 可编辑,为Base DN映射到IDaaS的组织节点 |
同步对象 | - | OU和用户,活动目录模式下默认勾选2种信息的同步,OU对应IDaaS组织架构,AD用户对应IDaaS用户 |
OU关联字段 | - | 默认为ou |
用户名关联字段 | 是 | 可编辑,AD服务器中关联到IDaaS用户的字段 |
- 配置属性映射:
OU或用户属性需填写管理员用户有权限访问字段,否则会保存失败。其中可编辑字段如下
映射到的IDaaS属性 | 目录源属性填写说明 |
---|---|
组织名称 | 必填,默认为ou, 通常情况可不修改,用于AD服务器到IDaaS组织的映射 |
用户名 | 必填,默认为创建认证源是填写的"用户名关联字段", 通常情况可不修改 |
显示名 | 必填,默认为cn, 通常情况可不修改 |
描述 | 选填,默认为description, 通常情况可不修改 |
外部ID | 必填,默认为objectGUID, 用于AD服务器中用户与IDaaS用户的映射关系,通常情况可不修改 |
手机号 | 必填,默认为telephone, 通常情况可不修改 |
邮箱 | 选填,默认为mail,通常情况可不修改 |
- 配置同步计划
即AD服务器到LDAP的用户同步计划,分为数据接收方式、数据拉取模式、定时同步:
a. 数据接收方式:当前仅支持“主动拉取”模式,不可编辑;
b. 数据拉取模式:当前仅支持“活动目录模式”,即“自顶向下全量递归拉取组织架构(OU),增量拉取新增、变更、删除的用户”,不可编辑;
c. 定时同步:下拉列表选择定时同步计划,提示文案:“选择定时从企业目录中导入用户和组织”;
d. 定时同步模式:可选从不、每天、每周
- 从不:下方无其他显示信息;
- 每天:展开可选“周期执行”,或“定时执行”;周期执行可填写“每[ ]小时执行一次”,范围1-23。 定时执行,填写定时执行的具体时间,“每天[ ]执行一次”,时间控件填写具体执行时间;
- 每周:多选选择“周一-周日”,周期/定时执行逻辑同每天。
查看并配置用户绑定关系
认证源绑定关系定义了企业认证源中账号与IDaaS用户的一一映射关系,账号信息的同步、单点登录都是基于用户的绑定关系。
当认证源配置了开启了自动同步计划,系统会根据认证源的“外部ID”与“IDaaS用户名”,自动建立认证源账号与IDaaS用户的绑定,并显示在绑定关系中。您也可以在认证源的绑定关系中,手动添加认证源账号和IDaaS用户的绑定关系。
本节介绍如何手动配置认证源账号到IDaaS用户的绑定关系,如下是详细步骤:
- 进入IDaaS项目 > 设置 > 认证源 > testAD > 绑定关系;
- 点击添加绑定关系,填写认证源用户ID,在这里为AD服务器中用户的“外部ID”字段,用户名选择已有的IDaaS用户,点击确认完成添加。
注意:外部ID与IDaaS用户的关系为一一对应,如果已存在外部ID映射,或是IDaaS用户映射,新的绑定关系无法保存成功。
- 您也可以对已建立的绑定关系进行解绑操作,需要注意的是,解绑后的用户
- 即使配置了系统的自动同步,也不会自动建立新的绑定关系
- 无法进行信息的自动更新和同步
- 无法进行单点登录
除非再次手动进行绑定关系的添加。
使用AD服务器用户登录IDaaS工作台
完成以上配置后,您可以切换到AD服务器的普通用户,进行登录验证:
- 进入IDaaS概览页,在登录信息中获取登录地址,并复制;
- 新开浏览器窗口,打开IDaaS项目的登录地址,点击“LDAP”图标,进入LDAP登录页;
- 使用AD服务器的用户名密码登录。