docs-web-logo
使用指南

配置OpenLDAP认证源

​OpenLDAP 是提供目录服务的信息服务,这是一种特殊的数据库系统,优化了数据的读取、浏览和搜索操作。它基于轻型目录访问协议(LDAP)实现用户集中管理账号和统一的身份认证服务。在 One ID 中配置并开启 OpenLDAP 认证源,即可实现通过 OpenLDAP 进行快速用户登录认证。

本文档将指导您如何配置​OpenLDAP认证源,完成配置之后,您可以在One ID的SSO登录功能中使用​OpenLDAP进行用户的登录认证。

以下步骤介绍了如何通过配置​OpenLDAP认证源实现通过登录​OpenLDAP快速登录到本系统。

第一步:创建OpenLDAP认证源

在此之前,您需要提前拥有​OpenLDAP服务管理员账号、密码、BaseDN等信息

登录One ID管理后台,在导航栏登录模块点击「认证源」,在「认证源」模块中,点击「添加认证源」按钮。

img

选择「​OpenLDAP」认证源。

img

第二步:配置​OpenLDAP凭证

1. 手动填写​OpenLDAP凭证信息

进入​OpenLDAP应用凭证配置页面,填写相关配置信息。在配置项中依次填写选择agent、协议类型、​OpenLDAP服务器地址、​OpenLDAP服务器端口号、管理员账户、管理员密码、BaseDN等信息。如您需要指定认证的用户及用户标识信息,您也可以修改「人员过滤器(filter)」和「用户登录标识」,请参考本文最后一章:过滤器配置

请注意:因大多数​OpenLDAP服务器无法直接与外网进行链接,所以需要通过agent进行代理链接,具体可参考:Agent配置 。配置agent成功后,通过选择运行中agent完成对​OpenLDAP的通信连接。 img

2. 一键获取凭证信息

当认证源已经完成​OpenLDAP认证源配置,并且​OpenLDAP数据源和​OpenLDAP认证源使用的是同一台​OpenLDAP服务器时,系统会自动获取您在认证源配置的​OpenLDAP信息,你可以点击选择​OpenLDAP认证源选项,自动拉取​OpenLDAP配置信息。 img

第三步:配置​OpenLDAP关联规则

在腾讯统一身份后台,点击下一步进入「关联规则」配置。「关联规则」主要分两部分:「匹配逻辑」和「未匹配逻辑」。

  • 匹配逻辑 用户在使用 ​OpenLDAP认证源登录时,我们首先会根据 ​OpenLDAP侧登录人员信息来与腾讯统一身份中的人员信息进行匹配。 如,​OpenLDAP默认匹配逻辑的条件组是:当 ​OpenLDAP人员的username和腾讯统一身份中人员的username字段一致时,我们将认为是同一人从而建立匹配关系,此时将登录至腾讯统一身份该人员。

img

您也可以根据业务需求自行设定其他字段映射对应关系、添加条件、添加条件组等。这里我们最多创建3个条件组,每个条件组最多创建3个条件,条件组与条件组之间为或的关系(登录时按照条件组顺序由上至下执行),每个条件组下的条件与条件为且的关系。

  • 未匹配逻辑 若用户登录时通过「匹配逻辑」在腾讯统一身份侧未找到与之匹配的人员,则按照执行「未匹配逻辑」。这里我们支持两种选择: 1、拒绝登录 此时,通过「匹配逻辑」在腾讯统一身份侧未找到与之匹配的人员会直接被拒绝登录; img

2、新建用户

通过「匹配逻辑」在腾讯统一身份侧未找到与之匹配的人员我们会根据新建用户属性设置来在腾讯统一身份侧新建用户,继续完成登录。 需要填写的内容:

  • 新建用户的映射关系(注意:腾讯统一身份创建用户时,手机号、邮箱、登录用户名三选一必填,请确保这些字段至少有一个且在​OpenLDAP侧有值;另外,新建用户属性必须包含上述的匹配条件,否则会影响您第二次登录) ​OpenLDAP具体属性配置,可以参考文档字段映射

  • 新建用户的部门 ​OpenLDAP的默认新建用户属性映射逻辑如下图,您也可以根据业务需要自行修改。 img

第四步:启用​OpenLDAP认证源

配置完成以上内容后,点击「保存并启用」并验证​OpenLDAP连接成功后,启动认证源。 img

您也可以只保存,返回到认证源页面进行启动。 img

第五步:验证使用​OpenLDAP进行登录

1)回到One ID登录页,点击「SSO」,进入企业域名输入页。 img

2)输入企业域名,进入SSO登录页。

img

3)在企业SSO登录页面新增显示OpenLDAP的用户名密码输入窗口,使用​OpenLDAP用户的用户名密码进行登录。(注意:是​OpenLDAP用户的用户名密码,不是管理员用户名密码) img

4)登录成功。即​OpenLDAP配置完成。 img

过滤器配置

定义和作用:

过滤器是一种查询工具,用于在 ​OpenLDAP 查询中指定条件,以筛选和限制结果集。过滤器可以基于对象的属性进行复杂的条件筛选。它们可以包括多个条件组合来精确定位所需的对象。

使用场景:

过滤器用于在查询中定义和应用特定条件。例如,你可以创建一个 ​OpenLDAP 过滤器来查找所有邮箱地址以 example.com结尾的用户,或者找到所有在某个特定 OU 下的用户对象。

示例:

默认的过滤器配置为:(objectClass=inetOrgPerson),这代表​OpenLDAP中所有 objectClass 为 inetOrgPerson 的用户对象可以使用​OpenLDAP认证源进行认证。 img

用户登录标识配置

定义和作用:

用户登录标识是用于在 ​OpenLDAP 认证时指定用户登录输入的标识字段。

示例:

默认的用户登录标识配置为:uid(用户名),这代表​OpenLDAP登录时登录名需输入OpenLDAP中的uid作为登录名进行认证。如果用户想输入其他作为登录名,比如mail(邮箱)、cn(常用其他登录名)则需要勾选其他。OneID也支持管理员手动新增其他标识作为登录名。 img