docs-web-logo
使用指南

配置OpenLDAP数据源

​OpenLDAP 是提供目录服务的信息服务,这是一种特殊的数据库系统,优化了数据的读取、浏览和搜索操作。它基于轻型目录访问协议(LDAP)实现用户集中管理账号和统一的身份认证服务。在 OneID 中配置并开启 OpenLDAP 数据源,即可实现通过 OneID 快速获取 OpenLDAP 基本开放的用户和部门信息功能。

本文档将指导您如何配置OpenLDAP数据源,完成配置之后,通过自动同步与手动同步您可以将OpenLDAP组织架构数据同步至本系统的组织架构中。

第一步:创建OpenLDAP数据源

在此之前,您需要提前拥有OpenLDAP服务管理员账号、密码、BaseDN等信息

登录OneID管理后台,在导航栏通讯录模块点击「数据源」,在数据源选择页面中,选择「OpenLDAP」数据源。

img

第二步:配置OpenLDAP凭证

1. 手动填写OpenLDAP凭证信息

进入OpenLDAP应用凭证配置页面,填写相关配置信息。在配置项中依次填写选择agent、协议类型、OpenLDAP服务器地址、OpenLDAP服务器端口号、管理员账户、管理员密码、BaseDN等信息。如您需要指定同步用户及部门范围,您也可以修改「部门过滤器(filter)」和「人员过滤器(filter)」,如不需要则无需改动。如需改动同步用户部门范围,请参考本文最后一章:过滤器配置

请注意:因大多数OpenLDAP服务器无法直接与外网进行链接,所以需要通过agent进行代理链接,具体可参考:Agent配置 。配置agent成功后,通过选择运行中agent完成对OpenLDAP的通信连接。

img

2. 一键获取凭证信息

当认证源已经完成OpenLDAP认证源配置,并且OpenLDAP数据源和OpenLDAP认证源使用的是同一台OpenLDAP服务器时,系统会自动获取您在认证源配置的OpenLDAP信息,你可以点击选择OpenLDAP认证源选项,自动拉取OpenLDAP配置信息。

img

第三步:OpenLDAP详情配置

根据您的实际需求,您可以选择以下步骤选其一进行配置,逐一配置完成后,点击「保存配置」即可生效。

1.数据范围配置

需注意,此处One ID暂不支持设置部门或人员范围,若同步过程有指定数据范围要求,可在第一步配置OpenLDAP凭证时,按照您的需求配置BaseDN、部门过滤器(filter)」和「人员过滤器(filter)。 img

2.配置字段映射

字段映射可以将OpenLDAP中人员的字段信息和腾讯统一身份中人员的字段信息对应起来,在同步时会按照这种对应关系进行数据写入,对该配置项的具体说明可以参考文档字段映射

系统预置了常见的OpenLDAP的字段映射,如有调整,可以根据具体使用情况进行字段映射调整。

img

3.配置自动同步

自动同步可以让同步任务定时触发,以保证OpenLDAP中的组织架构的变更能周期性地同步到腾讯统一身份中,对该配置项的具体说明可以参考文档同步方式

OpenLDAP的自动同步支持全量同步和增量同步。自动同步可以通过设置触发时间和触发间隔来制定自动同步规则。 注意:增量同步仅对上游数据源新增、变更数据进行触发修改,对删除数据不会进行触发删除动作。全量同步在较大数据量时会同步周期时间较长。所以建议管理员根据业务需求组合设计同步规则。如同时设置了自动增量同步和自动全量同步,同步触发时间尽量错开,如果触发时间冲突,则会自动忽略后一次触发任务。

自动增量同步 img

自动全量同步 img

4.配置删除保护

此处为了防止您误删除操作,我们设置了删除保护条件,系统执行同步任务之前将识别本次操作是否会触发保护条件,若满足保护条件,则本次同步任务将不会进行,我们会给您留下的联系方式发送通知,删除保护条件可支持修改(为了避免误删除操作带来的影响,若非频繁触发导致日常同步难以进行,不建议修改保护条件)。 注意:触发删除保护时,仅会自动停止您的删除操作请求,如果同一次同步中同时发起了新建、修改请求,新增、修改等请求会继续执行,不会受到影响。

img

第四步:启动同步

1. 手动同步

为您提供了两种导入/同步的执行方式方式:手动同步、定时同步。

当您配置好OpenLDAP作为数据源后,您会在「数据源」页面下,看到「手动同步」按钮。手动同步也分为手动全量同步和手动增量同步。

首次同步时,仅支持手动全量同步,当进行过首次过同步任务后,管理员可自由选择手动全量同步和手动增量同步。通过点击「手动同步」按钮,系统会立即执行一次导入/同步任务,手动同步的特点是即点即执行。 注意:上游数据源大数据量时,全量同步同步时间会较长,建议谨慎点击。

手动增量同步 img

手动全量同步 img

2. 查看同步日志

在同步运行完毕后,可进入账号同步的页面查看同步日志,展示了在什么时间,以手动或者自动的方式进行了同步,并且可以查看同步的成功数据和失败数据。

img

点击具体某条同步日志详情,可以查看具体同步详情。

img

进入日志详情页面,查看具体同步数据详细信息。

img

过滤器配置

定义和作用:

过滤器是一种查询工具,用于在 OpenLDAP 查询中指定条件,以筛选和限制结果集。过滤器可以基于对象的属性进行复杂的条件筛选。它们可以包括多个条件组合来精确定位所需的对象。

使用场景:

过滤器用于在查询中定义和应用特定条件。例如,你可以创建一个 OpenLDAP 过滤器来查找所有邮箱地址以 example.com结尾的用户,或者找到所有在某个特定 OU 下的用户对象。

示例:

默认的人员过滤器配置为:(objectClass=inetOrgPerson),这代表OpenLDAP中所有 objectClass 为 inetOrgPerson 的对象会同步到One ID中。 默认的部门过滤器配置为:(objectClass=organizationalUnit),这代表OpenLDAP中所有 objectCategory 为 organizationalUnit 的对象会同步到One ID中。 img