Membuat koneksi SSL-VPN menggunakan otentikasi AD - VPN Gateway

Setelah mengaktifkan otentikasi dua faktor, sistem akan memverifikasi klien berdasarkan dua faktor saat membuat koneksi SSL-VPN. Selain otentikasi sertifikat klien SSL, klien juga harus melewati otentikasi nama pengguna dan kata sandi dari Identity as a Service (IDaaS). Koneksi SSL-VPN hanya dibuat setelah otentikasi dua faktor berhasil dilalui, yang secara efektif meningkatkan keamanan koneksi. Anda dapat menghubungkan Server AD ke IDaaS untuk menerapkan otentikasi AD. Topik ini menjelaskan cara menggunakan fitur otentikasi dua faktor untuk membuat koneksi SSL-VPN bagi klien mengakses sumber daya dalam Virtual Private Cloud (VPC) setelah diautentikasi oleh AD.

Skenario

Gambar di atas menunjukkan skenario contoh yang digunakan dalam topik ini. Sebuah perusahaan telah membuat VPC di wilayah China (Hangzhou). Aplikasi diterapkan pada Instance ECS dalam VPC tersebut. Untuk memenuhi kebutuhan bisnis, karyawan yang sedang dinas luar perlu mengakses sumber daya di VPC dari klien secara jarak jauh. Perusahaan juga telah menerapkan Server AD. Untuk memastikan keamanan, perusahaan mengharuskan karyawan melewati otentikasi Server AD sebelum mereka dapat mengakses sumber daya di VPC.

Dalam kasus ini, perusahaan dapat membuat Gateway VPN, mengaktifkan fitur SSL-VPN dan otentikasi dua faktor, serta membuat instance IDaaS Employee Identity and Access Management (EIAM) untuk menerapkan otentikasi AD. Sebelum klien seorang karyawan dapat membuat koneksi SSL-VPN, klien tersebut harus melewati otentikasi sertifikat klien SSL dan otentikasi nama pengguna dan kata sandi dari instance IDaaS EIAM. Instance IDaaS EIAM melaksanakan otentikasi nama pengguna dan kata sandi dengan mengirimkan nama pengguna dan kata sandi karyawan ke Server AD dan mendapatkan hasil otentikasi dari Server AD. Hanya setelah otentikasi dua faktor berhasil dilewati, klien dapat membuat koneksi SSL-VPN untuk mengakses sumber daya di VPC.

Prasyarat

VPC dibuat di wilayah China (Hangzhou), dan aplikasi terkait diterapkan pada Instance ECS dalam VPC. Untuk informasi lebih lanjut, lihat Buat VPC dengan blok CIDR IPv4.
Pastikan aturan grup keamanan dikonfigurasi untuk Instance ECS dalam VPC untuk mengizinkan klien mengakses sumber daya cloud yang diterapkan pada Instance ECS. Untuk informasi lebih lanjut, lihat Lihat Aturan Grup Keamanan dan Tambahkan Aturan Grup Keamanan.
Klien Anda dapat mengakses Internet. Blok CIDR pribadi klien tidak tumpang tindih dengan blok CIDR VPC.
Instance IDaaS EIAM Edisi Enterprise dibuat. Untuk informasi lebih lanjut, lihat Kelola Instance.
Penting
- Instance IDaaS EIAM 1.0 tidak dapat dibeli lagi. Kami merekomendasikan Anda menggunakan instance IDaaS EIAM 2.0. Dalam contoh ini, instance IDaaS EIAM 2.0 digunakan. Untuk informasi lebih lanjut, lihat [Pemberitahuan Perubahan] SSL-VPN Mendukung Instance IDaaS EIAM 2.0 untuk Otentikasi Dua Faktor.
- Untuk informasi lebih lanjut tentang cara menggunakan instance IDaaS EIAM 1.0, lihat bagian Konfigurasi Instance IDaaS EIAM 1.0 dari topik ini.
Alamat IP publik dan port layanan Server AD diperoleh.
Dalam contoh ini, Server AD yang menjalankan Windows Server 2022 digunakan. Alamat IP publik server adalah 47.XX.XX.62, dan port layanan adalah 389.
Nama Distinguished Name (DN) Dasar Server AD diperoleh.
Dalam contoh ini, Base DN Server AD adalah dc=zxtest,dc=com.
DN, nama pengguna, dan kata sandi administrator Server AD diperoleh.
Dalam contoh ini, nama pengguna administrator adalah Administrator dan kata sandinya adalah 1****2. DN administrator adalah cn=Administrator,cn=Users,dc=zxtest,dc=com, seperti yang ditunjukkan pada gambar berikut.

Prosedur

Langkah 1: Menghubungkan Server AD

Hubungkan Server AD ke instance IDaaS EIAM untuk menyinkronkan informasi akun dari Server AD ke instance IDaaS EIAM. Untuk informasi lebih lanjut, lihat Hubungkan IDaaS ke AD.

Dalam contoh ini, nilai default digunakan untuk semua parameter opsional. Gambar berikut menunjukkan informasi akun yang disinkronkan dari Server AD ke instance IDaaS EIAM.

2024-05-10_17-09-24

Langkah 2: Menambahkan aplikasi SSL-VPN

Masuk ke Konsol IDaaS.
Di bilah navigasi sisi kiri, klik EIAM. Pada tab IDaaS halaman EIAM, temukan instance IDaaS EIAM yang Anda buat di Prasyarat dan klik Manage di kolom Actions.
Di bilah navigasi sisi kiri halaman yang muncul, klik Applications. Pada halaman Applications, klik Add Application.
Pada halaman Add Application, temukan template Alibaba SSL VPN dan klik Add Application.
Di kotak dialog Tambah Aplikasi - Alibaba SSL VPN, masukkan nama untuk aplikasi dan klik Add.
Pada tab Sign-In halaman detail aplikasi, konfigurasikan parameter berikut dan klik Save di bagian bawah halaman.
SSO: menentukan apakah akan mengaktifkan Single Sign-On (SSO). Secara default, saklar ini dihidupkan.
Grant Types: metode yang digunakan oleh aplikasi untuk otentikasi. Dalam contoh ini, nilai default Password Grant digunakan. Pilih Server AD yang dihubungkan ke instance dari daftar drop-down IdPs. Dengan cara ini, sistem menggunakan Server AD untuk memverifikasi identitas karyawan.
Authorize: pengguna yang dapat mengakses aplikasi. Dalam contoh ini, nilai default Manually digunakan. Dalam hal ini, Anda perlu memberikan izin secara manual kepada pengguna tertentu untuk mengakses aplikasi. Untuk informasi lebih lanjut, lihat bagian Cakupan Otorisasi dari topik "Konfigurasi SSO".
Pada tab Sign-In, klik sub-tab Authorize.
Berikan izin kepada akun yang digunakan untuk mengakses aplikasi melalui koneksi SSL-VPN. Untuk informasi lebih lanjut, lihat Otorisasi.

Langkah 3: Buat Gateway VPN

Masuk ke Konsol Gateway VPN.
Pada halaman VPN Gateways, klik Create VPN Gateway.

Pada halaman Gateway VPN, konfigurasikan parameter yang dijelaskan dalam tabel berikut, klik Buy Now, dan kemudian selesaikan pembayaran.

Tabel berikut hanya menjelaskan parameter utama yang harus Anda konfigurasikan. Untuk parameter lainnya, gunakan nilai default atau biarkan kosong. Untuk informasi lebih lanjut, lihat Buat dan Kelola Gateway VPN.

Parameter	Deskripsi
Wilayah	Wilayah tempat Anda ingin membuat Gateway VPN. China (Hangzhou) dipilih dalam contoh ini. Catatan Pastikan bahwa VPC dan Gateway VPN berada di wilayah yang sama.
Gateway Type	Tipe Gateway VPN. Dalam contoh ini, Standard dipilih.
Network Type	Pilih tipe jaringan Gateway VPN. Dalam contoh ini, Public dipilih.
Tunnels	Mode terowongan Gateway VPN. Sistem menampilkan mode terowongan yang didukung di wilayah ini.
VPC	VPC yang akan dikaitkan dengan Gateway VPN.
vSwitch 1	vSwitch pertama yang akan dikaitkan dengan Gateway VPN di VPC yang dipilih. Jika Anda memilih Single-tunnel, Anda hanya perlu menentukan satu vSwitch. Jika Anda memilih Dual-tunnel, Anda perlu menentukan dua vSwitch. Setelah fitur IPsec-VPN diaktifkan, sistem akan membuat antarmuka jaringan elastis (ENI) untuk masing-masing dari dua vSwitch sebagai antarmuka untuk berkomunikasi dengan VPC melalui koneksi IPsec-VPN. Setiap ENI menempati satu alamat IP di vSwitch. Catatan Sistem memilih vSwitch secara default. Anda dapat mengubah atau menggunakan vSwitch default. Setelah Gateway VPN dibuat, Anda tidak dapat memodifikasi vSwitch yang dikaitkan dengan Gateway VPN. Anda dapat melihat vSwitch yang dikaitkan dengan Gateway VPN, zona tempat vSwitch berada, dan ENI di vSwitch pada halaman detail Gateway VPN.
vSwitch 2	vSwitch kedua yang akan dikaitkan dengan Gateway VPN di VPC yang dipilih. Tentukan dua vSwitch di zona berbeda di VPC terkait untuk menerapkan pemulihan bencana lintas zona untuk koneksi IPsec-VPN. Untuk wilayah yang hanya mendukung satu zona, pemulihan bencana lintas zona tidak didukung. Kami merekomendasikan Anda menentukan dua vSwitch di zona tersebut untuk menerapkan ketersediaan tinggi koneksi IPsec-VPN. Anda juga dapat memilih vSwitch yang sama dengan yang pertama. Catatan Jika hanya satu vSwitch yang diterapkan di VPC, buat yang lainnya. Untuk informasi lebih lanjut, lihat Buat dan kelola vSwitch.
IPsec-VPN	Menentukan apakah akan mengaktifkan fitur IPsec-VPN untuk Gateway VPN. Dalam contoh ini, Disable dipilih.
SSL-VPN	Menentukan apakah akan mengaktifkan fitur SSL-VPN untuk Gateway VPN. Dalam contoh ini, Enable dipilih.
SSL connections	Jumlah maksimum klien yang dapat terhubung ke Gateway VPN. Catatan Parameter SSL Connections hanya tersedia setelah Anda mengaktifkan fitur SSL-VPN.

Kembali ke halaman VPN Gateways untuk melihat Gateway VPN yang Anda buat.
Gateway VPN yang Anda buat pada langkah sebelumnya berada dalam status Preparing. Setelah sekitar 1 hingga 5 menit, Gateway VPN masuk ke status Normal. Status Normal menunjukkan bahwa Gateway VPN telah diinisialisasi dan siap digunakan.

Langkah 4: Buat Server SSL

Di bilah navigasi sisi kiri, pilih Cross-network Interconnection > VPN > SSL Servers.
Di bilah navigasi atas, pilih wilayah tempat Anda ingin membuat server SSL.
Catatan
Pastikan bahwa server SSL dan Gateway VPN yang Anda buat berada di wilayah yang sama.
Pada halaman SSL Server, klik Create SSL Server.

Di panel Create SSL Server, konfigurasikan parameter yang dijelaskan dalam tabel berikut, dan klik OK.

Parameter	Deskripsi
VPN Gateway	Gateway VPN yang Anda buat.
Local Network	Blok CIDR VPC yang ingin Anda hubungkan. Dalam contoh ini, 192.168.0.0/16 digunakan.
Client CIDR Block	Blok CIDR yang digunakan klien Anda untuk terhubung ke server SSL. Dalam contoh ini, 10.0.0.0/24 digunakan. Penting Subnet mask blok CIDR klien harus memiliki panjang 16 hingga 29 bit. Pastikan bahwa blok CIDR klien tidak tumpang tindih dengan local CIDR block, blok CIDR VPC, atau blok CIDR rute yang terkait dengan klien. Kami merekomendasikan Anda menggunakan 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, atau salah satu subnet mereka sebagai blok CIDR klien. Jika Anda ingin menentukan blok CIDR publik sebagai blok CIDR klien, Anda harus menentukan blok CIDR publik sebagai blok CIDR pengguna VPC. Dengan cara ini, VPC dapat mengakses blok CIDR publik. Untuk informasi lebih lanjut, lihat bagian Apa itu blok CIDR pengguna? dan Bagaimana cara mengonfigurasi blok CIDR pengguna? dari topik "FAQ". Setelah Anda membuat server SSL, sistem secara otomatis menambahkan rute yang menunjuk ke blok CIDR klien ke tabel rute VPC. Jangan tambahkan rute yang menunjuk ke blok CIDR klien ke tabel rute VPC lagi. Jika tidak, koneksi SSL-VPN tidak akan berfungsi seperti yang diharapkan.
Advanced Configuration	Konfigurasi lanjutan. Anda perlu mengaktifkan otentikasi dua faktor untuk Gateway VPN. Dalam contoh ini, EIAM 2.0 (direkomendasikan) dipilih untuk parameter Versi Instance IDaaS. Gunakan nilai default untuk parameter lainnya. IDaaS Instance Region: wilayah tempat instance IDaaS EIAM 2.0 berada. Dalam contoh ini, China (Hangzhou) dipilih. IDaaS Instance: instance yang ingin Anda asosiasikan dengan server SSL. Pilih instance IDaaS EIAM 2.0 yang Anda buat di Prasyarat. IDaaS Application: aplikasi SSL-VPN yang ditambahkan ke instance IDaaS. Catatan Saat Anda membuat server SSL di wilayah UAE (Dubai), kami merekomendasikan Anda mengasosiasikan server SSL dengan instance IDaaS EIAM 2.0 di Singapura untuk mengurangi latensi.

Langkah 5: Buat Klien SSL

Di bilah navigasi sisi kiri, pilih Cross-network Interconnection > VPN > SSL Clients.
Pada halaman SSL Client, klik Create SSL Client.
Di panel Create SSL Client, masukkan nama untuk klien SSL, pilih SSL Server yang ingin Anda hubungkan, dan kemudian klik OK.
Pada halaman SSL Client, temukan klien SSL yang Anda buat dan klik Download Certificate di kolom Actions.
Simpan paket sertifikat klien SSL yang diunduh ke direktori lokal untuk konfigurasi klien lebih lanjut.

Langkah 6: Konfigurasikan Klien

Konfigurasikan Klien Linux

Buka CLI.
Instal OpenVPN.
Ekstrak paket sertifikat klien SSL yang Anda unduh dan salin sertifikat klien SSL ke direktori /etc/openvpn/conf.
Pergi ke direktori /etc/openvpn/conf, jalankan perintah berikut, dan kemudian masukkan nama pengguna dan kata sandi. Setelah klien melewati otentikasi AD, koneksi SSL-VPN dibuat.
```
openvpn --config /etc/openvpn/conf/config.ovpn --daemon
```

Konfigurasikan Klien Windows

Unduh dan instal Klien OpenVPN untuk Windows.
Ekstrak paket sertifikat klien SSL yang Anda unduh dan salin sertifikat klien SSL ke direktori OpenVPN\config.
Dalam contoh ini, sertifikat disalin ke direktori C:\Program Files\OpenVPN\config. Anda harus menyalin sertifikat ke direktori tempat klien OpenVPN diinstal.
Jalankan klien OpenVPN, klik Connect, dan kemudian masukkan nama pengguna dan kata sandi. Setelah klien melewati otentikasi AD, koneksi SSL-VPN dibuat.

Konfigurasikan Klien macOS

Buka CLI.

Jika Homebrew belum diinstal di macOS, jalankan perintah berikut untuk menginstal Homebrew:

/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"

Jalankan perintah berikut untuk menginstal OpenVPN:
```
brew install openvpn
```
Salin paket sertifikat klien SSL yang Anda unduh ke direktori konfigurasi klien OpenVPN.
1. Cadangkan semua file konfigurasi di direktori /usr/local/etc/openvpn.
  Penting
  Path instalasi default OpenVPN mungkin bervariasi berdasarkan versi macOS. Ganti path terkait dengan path instalasi sebenarnya saat Anda melakukan operasi ini dan operasi selanjutnya.
2. Jalankan perintah berikut untuk menghapus file konfigurasi OpenVPN:
```
rm /usr/local/etc/openvpn/*
```
3. Jalankan perintah berikut untuk menyalin paket sertifikat klien SSL yang diunduh ke direktori konfigurasi OpenVPN:
```
cp cert_location /usr/local/etc/openvpn/
```
  cert_location menunjukkan path paket sertifikat klien SSL yang Anda unduh. Contoh: /Users/example/Downloads/certs6.zip.

Jalankan perintah berikut untuk mengekstrak sertifikat:

cd  /usr/local/etc/openvpn/
unzip /usr/local/etc/openvpn/certs6.zip

Pergi ke direktori /usr/local/etc/openvpn, jalankan perintah berikut, dan kemudian masukkan nama pengguna dan kata sandi untuk membuat koneksi SSL-VPN:
```
sudo /usr/local/opt/openvpn/sbin/openvpn --config /usr/local/etc/openvpn/config.ovpn
```

Langkah 7: Uji Konektivitas

Setelah menyelesaikan langkah-langkah sebelumnya, klien terhubung ke VPC dan dapat mengakses sumber daya di dalamnya. Lakukan langkah-langkah berikut untuk menguji konektivitas antara klien Linux dan VPC:

Buka CLI pada klien.
Jalankan perintah ping untuk mengakses instance ECS di VPC guna menguji konektivitas.
```
ping <Alamat IP ECS 1>
```
Jika pesan berikut dikembalikan, klien dapat mengakses sumber daya di VPC.

Konfigurasi Instance IDaaS EIAM 1.0

Jika Anda menggunakan instance IDaaS EIAM 1.0, lakukan operasi yang ditunjukkan dalam prosedur berikut. Anda harus mengaktifkan otentikasi Lightweight Directory Access Protocol (LDAP) untuk instance IDaaS EIAM 1.0 dan mengasosiasikan instance dengan server SSL saat membuat server SSL. Prosedur sisanya sama dengan menggunakan instance IDaaS EIAM 2.0.

Prosedur

Aktifkan Otentikasi LDAP

Sebelum membuat koneksi SSL-VPN, Anda harus mengaktifkan otentikasi LDAP untuk instance IDaaS EIAM 1.0 dan menyinkronkan informasi akun untuk otentikasi lebih lanjut.

Tambahkan sumber otentikasi LDAP.
1. Masuk ke Konsol IDaaS.
2. Pada halaman EIAM, klik tab Legacy Version, temukan instance yang ingin Anda kelola, dan kemudian klik ID-nya.
3. Di bilah navigasi sisi kiri, pilih Otentikasi > Authentication Sources.
4. Di sudut kanan atas halaman Authentication Sources, klik Add Authentication Source.
5. Pada halaman Add Authentication Source, temukan ikon dan klik Add Authentication Source di kolom Actions.
6. Di panel Add Authentication Source (LDAP), konfigurasikan parameter berikut untuk server LDAP dan klik Submit. Dalam contoh ini, server AD yang digunakan untuk menerapkan otentikasi AD untuk instance IDaaS EIAM 2.0 digunakan.
  - ID: ID sumber otentikasi LDAP, yang secara otomatis dibuat oleh sistem.
  - Name: nama kustom sumber otentikasi LDAP.
  - LDAP URL: URL server LDAP. Server LDAP adalah server tempat sistem AD diterapkan. Format: ldap://127.0.0.1:389/. Dalam contoh ini, ldap://47.XX.XX.62:389/ digunakan.
    Jika server menggunakan alamat IPv6, atur parameter ini ke format berikut: ldap://[0000:0000:0000:0000:0000:0000:0001]:389/.
    Catatan
    IDaaS hanya dapat mengakses server LDAP melalui Internet. Server LDAP harus menyediakan alamat IP publik dan membuka port 389. Anda dapat mengonfigurasi aturan grup keamanan untuk server LDAP untuk hanya mengizinkan alamat IP publik IDaaS mengakses server LDAP. Untuk mendapatkan alamat IP publik IDaaS, ajukan tiket.
  - LDAP Base: Base DN server LDAP. Dalam contoh ini, dc=zxtest,dc=com digunakan.
  - LDAP Account: DN administrator server LDAP. Dalam contoh ini, cn=Administrator,cn=Users,dc=zxtest,dc=com digunakan.
  - LDAP account password: kata sandi administrator server LDAP.
  - Filter Condition: kondisi filter yang digunakan untuk meminta nama pengguna. Dalam contoh ini, (sAMAccountName=$username$) digunakan.
    Untuk informasi lebih lanjut tentang kondisi filter, lihat Filter LDAP. $username$ menentukan nama pengguna IDaaS dan merupakan nilai tetap.
7. Pada halaman Authentication Sources, temukan sumber otentikasi LDAP dan klik ikon di kolom Status. Di pesan yang muncul, klik OK untuk mengaktifkan sumber otentikasi LDAP.
Sinkronkan informasi akun dari server LDAP ke IDaaS.
1. Di bilah navigasi sisi kiri, pilih Pengguna > Organizations and Groups.
2. Di sudut kanan atas halaman Organizations and Groups, klik Configure LDAP. Di panel Configure LDAP, klik Create.
3. Pada tab AD/LDAP Name panel Configure LDAP, konfigurasikan parameter berikut dan klik Save.
  - AD/LDAP Name: nama akun LDAP kustom.
  - Server Address: alamat IP publik server LDAP. Dalam contoh ini, 47.XX.XX.62 digunakan.
  - Port Number: port layanan server LDAP. Dalam contoh ini, 389 digunakan.
  - Base DN: node DN akun yang ingin Anda sinkronkan. Dalam contoh ini, dc=zxtest,dc=com digunakan.
    Catatan
    Jika Base DN diubah saat IDaaS sedang menyinkronkan data dari server LDAP atau AD, sinkronisasi mungkin gagal karena direktori organisasi tidak sesuai. Oleh karena itu, jangan modifikasi Base DN setelah ditentukan. Jika Anda ingin menyinkronkan data dari lebih dari satu direktori, kami merekomendasikan Anda mengonfigurasi LDAP beberapa kali.
  - Administrator DN: DN administrator. Dalam contoh ini, cn=Administrator,cn=Users,dc=zxtest,dc=com digunakan.
  - Password: kata sandi administrator.
  - Select Type: tipe server LDAP Anda. Dalam contoh ini, Windows AD dipilih.
  - Owned OU node: node organisasi IDaaS ke mana informasi akun diimpor. Jika Anda tidak mengonfigurasi parameter ini, data diimpor ke unit organisasi (OU) root. Dalam contoh ini, nilai default digunakan.
  - From LDAP to IDaaS: menentukan apakah akan mengaktifkan sinkronisasi data dari server LDAP ke IDaaS. Jika Anda memilih Aktifkan, data dapat disinkronkan secara otomatis atau manual dari server LDAP ke IDaaS. Dalam contoh ini, Enable dipilih.
  - Provision from IDaaS to LDAP: menentukan apakah akan mengaktifkan sinkronisasi data dari IDaaS ke server LDAP. Jika Anda memilih Aktifkan, data dapat disinkronkan secara otomatis dari IDaaS ke server LDAP. Dalam contoh ini, Enable dipilih.
  Setelah mengonfigurasi parameter di atas, klik Test Connection untuk menguji konektivitas. Jika tes gagal, periksa konektivitas jaringan dan validitas pengaturan parameter.
4. Pada tab Field Matching Rules panel Configure LDAP, konfigurasikan parameter berikut dan klik Save.
  Aturan pencocokan bidang digunakan untuk mencocokkan bidang IDaaS dengan bidang server LDAP. Misalnya, bidang cn server LDAP cocok dengan bidang nama pengguna IDaaS.
  - Username: bidang yang cocok dengan bidang nama pengguna IDaaS. Dalam contoh ini, cn digunakan.
    Catatan
    Jika nilai bidang cn dalam bahasa Cina di sistem AD, nilai tersebut tidak dapat disinkronkan ke IDaaS. Dalam kasus ini, kami merekomendasikan Anda menggunakan bidang sAMAccountName.
  - External ID: bidang yang cocok dengan bidang ID IDaaS. Jika tipe server LDAP adalah Windows AD, masukkan objectGUID. Jika tipe server LDAP adalah OpenLdap, masukkan uid. Dalam contoh ini, objectGUID digunakan.
  - Password Attribute: bidang yang cocok dengan bidang kata sandi IDaaS. Jika tipe server LDAP adalah Windows AD, masukkan unicodePwd. Jika tipe server LDAP adalah OpenLdap, masukkan userPassword. Dalam contoh ini, unicodePwd digunakan.
  - User Unique Identifier: bidang yang cocok dengan bidang ID pengguna unik IDaaS. Jika tipe server LDAP adalah Windows AD, masukkan DistinguishedName. Jika tipe server LDAP adalah OpenLdap, masukkan EntryDN. Dalam contoh ini, DistinguishedName digunakan.
  - Email: bidang yang cocok dengan bidang email IDaaS. Dalam contoh ini, mail digunakan.
5. Pada halaman OUs and Groups, pilih Import > LDAP > OU.
6. Di panel LDAP List, temukan server LDAP dan klik Import. Pada pesan yang muncul, klik OK. Di panel OU Temporary Data, verifikasi informasi organisasi dan klik Confirm Import.
7. Pada bagian OUs, pilih organisasi. Di bagian detail organisasi, pilih Import > LDAP > Account.
8. Di panel LDAP List, temukan server LDAP dan klik Import. Pada pesan yang muncul, klik OK. Di panel Account Temporary Data LDAP List, konfirmasikan informasi akun, klik Confirm Import, lalu konfigurasikan kata sandi default untuk akun yang akan disinkronkan.
  Penting
  Klien harus memberikan kata sandi yang dikonfigurasikan di server AD untuk login selanjutnya. Kata sandi yang Anda tentukan pada langkah ini adalah kata sandi default akun di instance IDaaS.
Aktifkan otentikasi LDAP untuk layanan cloud.
1. Di bilah navigasi sisi kiri, pilih Settings > Security Settings.
2. Pada halaman Security Settings, klik tab Cloud Product AD Authentication.
3. Pilih sumber otentikasi LDAP yang Anda buat, hidupkan saklar, dan kemudian klik Save.