docs-web-logo
使用指南

配置Windows Active Directory数据源

Windows Active Directory(以下简称:AD)是 Microsoft 提供的本地化用户目录管理服务,主要用于集中管理企业网络中的用户、设备、资源和安全策略。它通过域控制器(Domain Controller, DC)实现用户身份验证和资源访问控制,确保网络的安全和高效管理。在 OneID 中配置并开启 Windows Active Directory 数据源,即可实现通过 OneID 快速获取 AD 基本开放的用户和部门信息功能。

本文档将指导您如何配置AD数据源,完成配置之后,通过自动同步与手动同步您可以将AD组织架构数据同步至本系统的组织架构中。

第一步:创建Windows Active Directory数据源

在此之前,您需要提前拥有AD服务管理员账号、密码、BaseDN等信息

登录OneID管理后台,在导航栏通讯录模块点击「数据源」,在数据源选择页面中,选择「Windows Active Directory(AD)」数据源。

img

第二步:配置AD凭证

1. 手动填写AD凭证信息

进入AD应用凭证配置页面,填写相关配置信息。在配置项中依次填写选择agent、协议类型、AD服务器地址、AD服务器端口号、管理员账户、管理员密码、BaseDN等信息。如您需要指定同步用户及部门范围,您也可以修改「部门过滤器(filter)」和「人员过滤器(filter)」,如不需要则无需改动。如需改动同步用户部门范围,请参考本文最后一章:过滤器配置

请注意:因大多数AD服务器无法直接与外网进行链接,所以需要通过agent进行代理链接,具体可参考:Agent配置 。配置agent成功后,通过选择运行中agent完成对AD的通信连接。

img

2. 一键获取凭证信息

当认证源已经完成AD认证源配置,并且AD数据源和AD认证源使用的是同一台AD服务器时,系统会自动获取您在认证源配置的AD信息,你可以点击选择AD认证源选项,自动拉取AD配置信息。

img

第三步:AD详情配置

根据您的实际需求,您可以选择以下步骤选其一进行配置,逐一配置完成后,点击「保存配置」即可生效。

1.数据范围配置

需注意,此处OneID暂不支持设置部门或人员范围,若同步过程有指定数据范围要求,可在第一步配置AD凭证时,按照您的需求配置BaseDN、部门过滤器(filter)」和「人员过滤器(filter)。 img

2.配置字段映射

字段映射可以将AD中人员的字段信息和腾讯统一身份中人员的字段信息对应起来,在同步时会按照这种对应关系进行数据写入,对该配置项的具体说明可以参考文档字段映射

系统预置了常见的AD的字段映射,如有调整,可以根据具体使用情况进行字段映射调整。

img

3.配置定时器

定时器可以让同步任务定时触发,以保证AD中的组织架构的变更能周期性地同步到腾讯统一身份中,对该配置项的具体说明可以参考文档同步方式

定时器可以设置触发时间和触发间隔。

img

4.配置删除保护

此处为了防止您误删除操作,我们设置了删除保护条件,系统执行同步任务之前将识别本次操作是否会触发保护条件,若满足保护条件,则本次同步任务将不会进行,我们会给您留下的联系方式发送通知,删除保护条件可支持修改(为了避免误删除操作带来的影响,若非频繁触发导致日常同步难以进行,不建议修改保护条件)。 注意:触发删除保护时,仅会自动停止您的删除操作请求,如果同一次同步中同时发起了新建、修改请求,新增、修改等请求会继续执行,不会受到影响。

img

第四步:启动同步

为您提供了两种导入/同步的执行方式方式:手动同步、定时同步。

1. 手动同步

当您配置好AD作为数据源后,您会在「数据源」页面下,看到「手动同步」按钮。

通过点击「手动同步」按钮,系统会立即执行一次导入/同步任务,手动同步的特点是即点即执行。

2. 定时同步

当您需要经常维护您的目录数据,但希望避免 “每一次维护后都进入腾讯统一身份后台去手动点击进行同步” 这样的繁琐操作时,您可以设置一个定时器来周期性地自动进行目录数据同步。

在第三步的「定时器」模块,您可以打开定时器开关,在弹出的时间设定选项中,设置定时同步的频率。

例如: 设置每1小时进行一次自动同步,每天的同步从零点开始,可以做如下设置:

img

3. 查看同步日志

在同步运行完毕后,可进入账号同步的页面查看同步日志,展示了在什么时间,以手动或者自动的方式进行了同步,并且可以查看同步的成功数据和失败数据。

img

点击具体某条同步日志,可以查看具体同步详情。

img

过滤器配置

定义和作用:

过滤器是一种查询工具,用于在 AD 查询中指定条件,以筛选和限制结果集。过滤器可以基于对象的属性进行复杂的条件筛选。它们可以包括多个条件组合来精确定位所需的对象。

使用场景:

过滤器用于在查询中定义和应用特定条件。例如,你可以创建一个 AD 过滤器来查找所有邮箱地址以 example.com结尾的用户,或者找到所有在某个特定 OU 下的用户对象。

示例:

默认的人员过滤器配置为:(&(objectClass=user)(objectCategory=person)),这代表AD中所有 objectClass 为 user 并且 objectCategory 为 person 的对象会同步到OneID中。 默认的部门过滤器配置为:(objectCategory=OrganizationalUnit),这代表AD中所有 objectCategory 为 OrganizationalUnit 的对象会同步到OneID中。 img