Topik ini menjelaskan cara menghubungkan Active Directory (AD) enterprise inbound sebagai penyedia identitas. Koneksi ini memungkinkan Anda menyinkronkan organisasi dan akun AD ke IDaaS serta menggunakan identitas AD untuk login ke IDaaS atau aplikasi.
Tentang AD
Active Directory adalah layanan direktori inti dalam sistem operasi Microsoft Windows Server yang menyediakan autentikasi identitas terpusat, otorisasi, dan manajemen direktori untuk lingkungan jaringan enterprise. Dengan menggunakan fitur network endpoint, Anda dapat mencapai sinkronisasi data AD dan autentikasi delegasi tanpa membuka port ke internet publik.
Hubungkan ke AD
Langkah 1: Hubungkan ke AD
Login ke IDaaS console. Pilih instans target, lalu klik Manage di kolom Actions.
Klik , temukan AD dalam daftar, lalu klik Add.
Pada panel Connect To AD, konfigurasikan parameter berikut.
Display Name: Nama yang ditampilkan kepada pengguna saat mereka login dan menggunakan IDaaS.
Network Access Endpoint: Untuk memungkinkan IDaaS mengakses server AD, Anda harus menambahkan alamat IP outbound instans IDaaS ke daftar putih IP server AD. Instans IDaaS yang menggunakan endpoint bersama diberikan alamat IP outbound publik tetap yang dibagikan. Instans IDaaS yang menggunakan endpoint khusus diberikan alamat IP outbound pribadi khusus yang dapat dikustomisasi dan alamat IP outbound publik. Instans IDaaS yang dikonfigurasi dengan endpoint khusus dapat mengakses VPC Alibaba Cloud Anda melalui jaringan pribadi, sehingga memungkinkan Anda memberikan akses ke AD tanpa membuka port publik. Untuk informasi selengkapnya, lihat Network Endpoints.
Server address: Alamat server tempat AD berada. AD biasanya menggunakan port 389, misalnya 127.0.0.1:389. Port 636 biasanya digunakan ketika LDAPS atau StartTLS diaktifkan.
Enable StartTLS: Kami merekomendasikan Anda mengaktifkan opsi ini untuk meningkatkan keamanan koneksi. Untuk informasi selengkapnya, lihat bagian AD security configuration pada topik ini.
Administrator Account: IDaaS menggunakan akun administrator AD ini untuk membaca informasi AD guna sinkronisasi data atau autentikasi delegasi. Akun tersebut harus memiliki setidaknya izin baca. Format User Principal Name (UPN), seperti example@example.com, dan format Distinguished Name (DN), seperti cn=admin,ou=Technical Department,dc=example,dc=com, didukung.
Administrator Password: Kata sandi logon untuk akun administrator.
Langkah 2: Pilih skenario
Pilih fitur yang ingin Anda aktifkan untuk AD.
Deskripsi fitur
Arah sinkronisasi: Mengimpor data pengguna atau organisasi dari sumber AD yang dipilih ke node ini di IDaaS. Untuk Source Node, Anda harus memasukkan DN node AD. DN node root AD biasanya dalam format dc=example,dc=com, dengan example.com sebagai domain Anda.
Sinkronisasi inkremental: IDaaS mendeteksi perubahan pada data pengguna atau organisasi AD dan menjalankan tugas sinkronisasi sekitar setiap 10 menit untuk mengimpor data yang berubah ke IDaaS. Jika volume data yang berubah besar dalam satu siklus sinkronisasi inkremental, pemrosesan mungkin tertunda. Kami merekomendasikan Anda menjalankan sinkronisasi penuh secara berkala untuk memastikan konsistensi data.
Anda dapat menetapkan identifier pemetaan pada langkah pemetaan bidang. Identifier ini mencocokkan bidang dalam akun IDaaS, seperti nomor telepon, dengan bidang dalam akun pengguna AD. Jika ditemukan kecocokan, akun tersebut disambungkan, dan akun IDaaS ditimpa dengan pembaruan. Jika tidak, akun IDaaS baru dibuat.
Saat pertama kali menjalankan sinkronisasi inkremental, sinkronisasi penuh akan dilakukan secara otomatis.
Jika satu catatan akun gagal diimpor, hal tersebut tidak memengaruhi impor data lainnya.
Anda dapat melihat informasi kegagalan di Synchronization Logs.
Anda harus mengaktifkan AD Recycle Bin untuk menerima pesan tentang peristiwa penghapusan di AD. Untuk informasi lebih lanjut tentang cara mengaktifkan fitur ini, lihat bagian Sinkronisasi Inkremental dari topik ini.
Autentikasi delegasi: Pengguna dapat menggunakan username dan password AD mereka untuk login ke IDaaS.
Pembaruan kata sandi otomatis: Saat pengguna login ke IDaaS menggunakan autentikasi delegasi AD, jika akun IDaaS tidak memiliki kata sandi, akun tersebut akan diperbarui dengan kata sandi pengguna AD. Kata sandi AD harus memenuhi persyaratan kebijakan kata sandi IDaaS. Jika tidak, kata sandi tidak dapat diperbarui secara otomatis.
Konfigurasi lanjutan
ObjectClasspengguna atau organisasi: Anda dapat menggunakanObjectClassuntuk menentukan apakah suatu objek merupakan pengguna atau organisasi. Misalnya, objek denganObjectClass=userdalam hasil kueri dianggap sebagai pengguna. Anda biasanya tidak perlu mengubah pengaturan ini.Identitas logon pengguna: Saat pengguna login ke IDaaS menggunakan autentikasi delegasi AD, IDaaS menggunakan properti-properti ini untuk mengkueri pengguna di AD dan mencocokkan kata sandi. Jika kata sandi benar, pengguna diizinkan login ke IDaaS. Anda dapat menggunakan koma (,) untuk memisahkan beberapa properti. Hal ini menciptakan hubungan OR, artinya pengguna dapat login dengan salah satu properti yang ditentukan. Pastikan beberapa properti tersebut merujuk pada pengguna AD yang sama. Jika tidak, pengguna tidak dapat login.
Filter pengguna: Anda dapat menyesuaikan pernyataan
filteruntuk menyinkronkan pengguna tertentu dari berbagai organisasi ke IDaaS. Hanya pengguna yang memenuhi kondisi filter yang disinkronkan ke IDaaS. Secara default, pernyataanfilterberisi kondisiObjectClassdalam hubungan AND. Anda dapat mengklik View Details untuk melihat pernyataan lengkapnya. Untuk informasi selengkapnya, lihat Filtering.
Langkah 3: Pemetaan bidang
Jika Anda memiliki data yang sudah ada di IDaaS dan perlu menyambungkan pengguna atau organisasi AD ke akun atau organisasi IDaaS yang sudah ada, Anda dapat mengonfigurasi pemetaan bidang. Anda juga dapat menggunakan langkah ini untuk menggunakan data dari bidang tertentu di AD sebagai data akun IDaaS. Misalnya, Anda dapat menggunakan nomor telepon pengguna AD sebagai username akun IDaaS. Untuk menggunakan fitur identifier pemetaan, Anda harus mengaktifkannya secara manual, misalnya untuk bidang phone seperti yang ditunjukkan pada gambar berikut.
Untuk informasi lebih lanjut, lihat Pemetaan Bidang.
Konfigurasi keamanan AD
Secara default, data LDAP tidak dienkripsi atau dilindungi selama transmisi, sehingga berisiko dicegat dalam bentuk teks biasa. Penggunaan LDAPS atau StartTLS dapat secara signifikan meningkatkan keamanan transmisi data. Setelah Anda mengonfigurasi sertifikat di AD, Anda dapat menggunakan LDAPS atau StartTLS di IDaaS. Kami sangat merekomendasikan Anda mengaktifkan fitur ini.
Di Server Manager, instal role, upgrade server menjadi domain controller, lalu tambahkan sertifikat. Gunakan SHA256 sebagai algoritma signature. Setelah langkah-langkah ini selesai, konfigurasi sertifikat telah lengkap.
Setelah mengonfigurasi sertifikat, Anda dapat memperoleh sidik jari sertifikat di IDaaS hanya dengan satu klik. Hal ini membangun hubungan kepercayaan antara IDaaS dan sertifikat AD serta mengurangi risiko sertifikat palsu.
Untuk memverifikasi dengan cepat bahwa sidik jari sertifikat yang ditampilkan di antarmuka AD sama dengan yang diperoleh dari IDaaS, jalankan skrip berikut:
openssl s_client -connect server_host:port | openssl x509 -noout -pubkey | openssl pkey -pubin -outform DER | openssl dgst -sha256Konfigurasi kustom AD
ObjectClass
Di AD, ObjectClass adalah kumpulan atribut. Setiap objek harus memiliki ObjectClass. Anda dapat menggunakan ObjectClass untuk menentukan apakah suatu objek adalah pengguna, organisasi, atau komputer. Misalnya, Anda dapat menemukan pengguna yang ditunjukkan pada gambar berikut dengan pernyataan filter objectclass=person atau objectclass=user. Anda dapat melihat ObjectClass di Properties objek AD.
Identitas logon
Saat pengguna login ke IDaaS menggunakan autentikasi delegasi AD, IDaaS menggunakan properti-properti ini untuk mengkueri pengguna di AD dan mencocokkan kata sandi. Jika kata sandi benar, pengguna diizinkan login ke IDaaS.
Anda biasanya dapat menggunakan properti seperti userPrincipalName, sAMAccountName, nomor telepon, mailbox, atau ID karyawan untuk logon. Jika diperlukan, Anda dapat menentukan properti ini saat membuat penyedia identitas atau di pengaturan Delegated authentication. Jika Anda menggunakan beberapa properti, pastikan properti tersebut unik dan merujuk pada pengguna AD yang sama. Jika tidak, pengguna tidak dapat menggunakan autentikasi delegasi.
Filter
Perubahan pada ObjectClass dan filter memengaruhi kondisi filter AD. Selama sinkronisasi penuh, akun dan organisasi IDaaS yang tidak memenuhi kondisi filter akan dihapus. Sebelum melakukan perubahan, sesuaikan batas perlindungan sinkronisasi dan uji secara menyeluruh bahwa hasil filter sesuai harapan. Misalnya, Anda dapat menggunakan instans IDaaS lain untuk pengujian.
Pengantar
Untuk menyinkronkan hanya pengguna tertentu dari berbagai organisasi ke IDaaS, Anda dapat menentukan pernyataan filter kustom. Hanya pengguna yang memenuhi kondisi yang disinkronkan ke IDaaS. Secara default, pernyataan filter mencakup kondisi ObjectClass yang digabungkan dengan kondisi lain menggunakan operator AND. Anda dapat mengklik View Details untuk melihat pernyataan lengkapnya.
Bagian berikut menjelaskan sintaks dan pernyataan umum untuk filter AD.
Sintaks umum
Operator | Makna | Contoh |
= | Sama dengan | (cn=Alice) |
>= | Lebih besar dari atau sama dengan | (pwdLastSet>=1319563845000000000) |
<= | Lebih kecil dari atau sama dengan | (sAMAccountName<=a) |
& | Hubungan AND. Semua kondisi harus dipenuhi. | (&(cn=CN*)(memberOf=cn=Test,ou=HQ,dc=Domain,dc=com)) |
| | Hubungan OR. Salah satu kondisi harus dipenuhi. | (|(cn=Test*)(cn=Admin*)) |
! | Hubungan NOT. Tidak ada kondisi yang boleh dipenuhi. | (!(memberOf=cn=Test,ou=HQ,dc=Domain,dc=com)) |
Pernyataan umum
Skenario | Contoh |
Username diawali dengan "CN" | (cn=CN*) |
Pengguna dengan mailbox tertentu | (|(proxyAddresses=*:alice@example.com)(mail=alice@example.com)) |
Pengguna dalam kelompok tertentu | (memberOf=cn=Test,ou=HQ,dc=Domain,dc=com) |
Konfigurasi sinkronisasi AD
Memperoleh Base DN
Base DN adalah identifier path untuk sebuah node di AD. IDaaS hanya melakukan operasi, seperti kueri dan sinkronisasi data, di bawah node ini. Anda dapat menetapkan Base DN node sumber di pengaturan Synchronization direction.
Format DN adalah ou=Some Organization,dc=example,dc=com. DN node root biasanya dalam format dc=example,dc=com, dengan example.com sebagai domain Anda. Anda juga dapat melihat DN sebuah node langsung di AD Administrative Center, seperti yang ditunjukkan pada gambar berikut:
Saat path sebuah node berubah, Base DN-nya juga berubah. Untuk mencegah error sinkronisasi data AD akibat perubahan path node, IDaaS menggunakan ObjectGuid node sebagai sidik jari node saat Anda mengonfigurasi Base DN node sumber. Jika Base DN berubah dan tidak lagi sesuai dengan sidik jari node, sinkronisasi data akan diblokir. Setelah Anda mengonfigurasi ulang node sumber, sinkronisasi dapat dilanjutkan.
Sinkronisasi Inkremental
Saat data pengguna atau organisasi di IDaaS berubah, IDaaS mendorong data yang berubah ke AD jika data tersebut berada dalam cakupan node sumber yang dikonfigurasi.