配置Active Directory认证源
AD(Active Directory)是微软Windows Server中,负责架构中大型网路环境的集中式目录管理服务(Directory Services)。它处理了在组织中的网路物件,物件可以是计算机,用户,群组,组织单元(OU)等等。只要是在Active Directory结构定义档(schema)中定义的物件,就可以储存在Active Directory资料档中,并利用Active Directory Service Interface来存取。AD的数据结构为树形、层次结构。域(Domin)--->组织单位(Organization Unit)--->群组(Group)--->用户(User)从左至右依次嵌套,形成树状型结构,类似文件夹的存储方式。
以下步骤介绍了如何通过配置Active Directory认证源实现通过登录AD快速登录到本系统。
第一步:登录至管理后台,在菜单栏选择“认证源”
在「认证源」模块中,点击「添加认证源」按钮。
选择Active Directory认证源。
第二步:配置凭证
根据您的Active Directory服务是否允许外网访问,以下步骤选其一进行配置。
1. 当您的Active Directory服务只允许内网访问
选择内网模式
点击「下载客户端」按钮,将下载的Agent客户端安装包文件在AD服务主机中进行解压,解压的目录可以自定义。本地安装部署的Agent客户端用于在内网中建立AD和本系统间的安全通讯连接,实现单点登录或数据同步。
Agent安装环境依赖:
- 系统:Windows,当前用户需具有系统Root权限。Mac\Linux系统即将支持。
- 资源配置:通常推荐4核、4G配置。
- 网络配置:需要开通对云上服务的访问,与AD同域并可被SSH远程访问。如果内网限制,需要对以下地址开通出站访问:
| 域名 | **协议 | 端口 |
|---|---|---|
在Active Directory服务主机下,使用“命令提示符(管理员权限)”,进入到Agent客户端解压的文件夹中,运行下图的命令(如下二图)。
在Active Directory服务主机下,用浏览器打开图中所展示的地址。
在配置页中输入Active Directory服务相关参数:host、端口、管理员账号和管理员密码。并且将下二图中所展示的“代理凭证”输入到配置页中,进行保存。
在配置项中输入AD服务相关参数:AD服务器地址、端口、Base DN、管理员DN和管理员密码、User Object Filter、用户名格式、User Unique ID Attribute。填写完毕后,点击「保存」按钮,等待校验成功即可。
若弹出保存失败提示,请检查您填写参数的正确性,重新点击「保存」按钮进行校验。
在顶部tab中可以切换到「关联规则」模块配置认证源关联规则,该模块下腾讯统一身份提供了常用的建议配置,您也可以根据自己的业务需求,按需进行配置,配置完成后,点击保存。
2. 当您的Active Directory服务允许外网访问
选择公网模式
在配置项中输入AD服务相关参数:AD服务器地址、端口、Base DN、管理员DN和管理员密码、User Object Filter、用户名格式、User Unique ID Attribute。填写完毕后,点击「保存」按钮,等待校验成功即可。
若弹出保存失败提示,请检查您填写参数的正确性,重新点击「保存」按钮进行校验。
在顶部tab中可以切换到「关联规则」模块配置认证源关联规则,该模块下系统提供了常用的建议配置,您也可以根据自己的业务需求,按需进行配置,配置完成后,点击保存。
第三步:Active Directory认证源登录测试
当您完成了Active Directory认证源的配置之后,您可以点击「测试」按钮,来进行一次登录测试。
如果测试窗口成功打开了认证源的登录页,并且您能够通过正常的登录流程获取到登录结果信息,即证明您的认证源配置是正确的。
如果测试窗口未能成功打开,或您无法正常体验登录流程,则需要您重新检查您的配置信息是否正确。
第四步:企业登录方式中启用Active Directory
点击左侧导航菜单栏的「通用配置」,在企业登录方式配置中对Active Directory点击开启。
(图)
配置成功后的企业登录场景
第一步:在企业SSO登录页面新增显示Active Directory的用户名密码输入窗口
(图)
(图)
第二步:在验证正确之后会成功登录进入本系统。