docs-web-logo
使用指南

配置Active Directory数据源

AD(Active Directory)是微软Windows Server中,负责架构中大型网路环境的集中式目录管理服务(Directory Services)。它处理了在组织中的网路物件,物件可以是计算机,用户,群组,组织单元(OU)等等。只要是在Active Directory结构定义档(schema)中定义的物件,就可以储存在Active Directory资料档中,并利用Active Directory Service Interface来存取。AD的数据结构为树形、层次结构。域(Domin)--->组织单位(Organization Unit)--->群组(Group)--->用户(User)从左至右依次嵌套,形成树状型结构,类似文件夹的存储方式。

本文档将指导您如何配置AD数据源,完成配置之后,通过自动同步与手动同步您可以将AD组织架构数据同步至本系统的组织架构中。在此之前,您需要拥有AD服务管理员账号和密码

第一步:创建Active Directory数据源

登录至管理后台,在导航栏通讯录模块点击「数据源」,在数据源选择页面中,选择微软Active Directory数据源。

img

第二步:配置凭证

根据您的AD服务是否允许外网访问,以下步骤选其一进行配置。

1. 当您的AD服务只允许内网访问

在网络模式选择下拉中选择「内网模式」。

img

点击「下载客户端」,将下载的文件在AD服务主机中进行解压,解压的目录可以自定义。本地安装部署的Agent客户端用于在内网中建立AD和本系统间的安全通讯连接,实现单点登录或数据同步。

Agent安装环境依赖:

  • 系统:Windows,当前用户需具有系统Root权限。Mac\Linux系统即将支持。
  • 资源配置:通常推荐4核、4G配置。
  • 网络配置:需要开通对云上服务的访问,与AD同域并可被SSH远程访问。如果内网限制,需要对以下地址开通出站访问:
域名**协议端口

img

在AD服务主机下,使用“命令提示符(管理员权限)”,进入到Agent客户端解压的文件夹中,运行下图所示的命令,您可以通过复制粘贴输入该命令。

img

当【命令提示符】窗口中出现两行 “Success to ...” 的返回结果时,代表agent安装完成并启动。 img

在AD服务主机下,用浏览器打开下图中所展示的地址。

img

打开后,会出现与下图格式相同的Agent配置页面。在配置页中输入AD服务相关参数:host、端口、管理员账号和管理员密码。

img

将下图中所展示的 “代理凭证” 输入到上述配置页中,点击「保存」按钮。

img

2. 当您的AD服务允许外网访问

在网络模式选择下拉中选择「公网模式」。

img

在配置项中输入AD服务相关参数:host、端口、管理员账号和管理员密码。

img

点击「验证」按钮,等待校验成功即可。

img

若弹出校验失败提示,请检查您填写参数的正确性,重新点击「验证」按钮进行校验。

第三步:配置数据范围

根据您的实际需求,您可以选择以下步骤选其一进行配置

1. 需要部门架构与人员信息均同步

选择“需要同步OU”

“根部门DN”填写框需输入根部门的DN(DistinguishedName),该字段参数一般在AD中部门的 “属性 – 属性编辑器 ” 下可以查询。

该参数可以划定需要同步的部门、人员的数据范围,系统会将该部门下的所有部门、人员信息会被同步到腾讯统一身份中。如果选择全量同步,可以只填入“DC=公司标识,DC=顶级域名”。

“人员”下的填写框需输入AD人员filter字符串,一般情况下系统给出的默认参数无需修改。

img

参数填写完成后点击「验证」按钮,验证通过即可。

2. 仅同步人员信息

选择“无要同步OU”

第一个填写框需输入根节点的DN(DistinguishedName),该字段参数一般在AD中部门的 “属性 – 属性编辑器 ” 下可以查询。

该参数指定的是需要同步的人员的数据范围,系统会将根节点对应部门下的所有人员信息会被同步到腾讯统一身份中(如下图,系统会将腾讯统一身份部门下所有人员进行同步,但不会同步腾讯统一身份这个部门)。如果选择全量同步,可以只填入“DC=公司标识,DC=顶级域名”。

第二个填写框需输入AD人员filter字符串,一般情况下系统给出的默认参数无需修改。

img

参数填写完成后点击「验证」按钮,验证通过即可。

第四步:配置字段映射

字段映射可以将AD中人员的字段信息和腾讯统一身份中人员的字段信息对应起来,在同步时会按照这种对应关系进行数据写入,对该配置项的具体说明可以参考文档字段映射

系统预置了常见的AD的字段映射,如有调整,可以根据具体使用情况进行字段映射调整。

img

第五步:配置同步方式

定时器可以让同步任务定时触发,以保证AD中的组织架构的变更能周期性地同步到腾讯统一身份中,对该配置项的具体说明可以参考文档同步方式

定时器可以设置触发时间和触发间隔。

img

其他:关于日志

在同步运行完毕后,可进入账号同步的页面查看同步日志,展示了在什么时间,以手动或者自动的方式进行了同步,并且可以查看同步的成功数据和失败数据。

img

点击具体某条同步日志,可以查看具体失败信息与失败原因。

img