Menyiapkan koneksi SSL-VPN menggunakan autentikasi AD - VPN Gateway

SSL-VPN dengan otentikasi dua faktor meningkatkan keamanan dengan mewajibkan klien melakukan autentikasi terlebih dahulu menggunakan sertifikat klien SSL, lalu menggunakan username dan password yang diverifikasi oleh Identity as a Service (IDaaS). Saat menggunakan autentikasi IDaaS, Anda dapat mengikat server Active Directory (AD) untuk mengaktifkan login berbasis AD. Topik ini menjelaskan cara menggunakan otentikasi dua faktor SSL-VPN untuk menghubungkan klien ke Virtual Private Cloud (VPC) melalui server AD. Setelah terhubung, klien dapat mengakses sumber daya di dalam VPC.

Skenario

Dalam skenario ini, sebuah perusahaan memiliki VPC di wilayah China (Hangzhou) tempat aplikasi dideploy pada instance ECS. Untuk keperluan bisnis, karyawan yang sedang melakukan perjalanan dinas perlu mengakses sumber daya tersebut secara remote. Demi keamanan, perusahaan mewajibkan semua karyawan melakukan autentikasi melalui server Active Directory (AD) on-premises sebelum mengakses sumber daya di VPC.

Perusahaan dapat menggunakan fitur SSL-VPN dari gateway VPN dan mengaktifkan otentikasi dua faktor untuk koneksi SSL-VPN. Perusahaan juga dapat mengonfigurasi aplikasi IDaaS untuk melakukan autentikasi AD. Saat seorang karyawan mencoba membuat koneksi SSL-VPN ke Alibaba Cloud, karyawan tersebut harus terlebih dahulu lolos autentikasi menggunakan sertifikat klien SSL, lalu autentikasi AD yang ditangani oleh instans IDaaS EIAM. Instans IDaaS EIAM mengirimkan kredensial karyawan ke server AD perusahaan untuk verifikasi dan mengembalikan hasilnya. Setelah verifikasi berhasil, karyawan dapat membuat koneksi SSL-VPN ke Alibaba Cloud dan mengakses sumber daya di VPC.

Prasyarat

Anda telah membuat VPC di wilayah China (Hangzhou) dan mendeploy aplikasi pada instance ECS di dalam VPC. Untuk informasi selengkapnya, lihat Menyiapkan VPC IPv4.

Pastikan aturan grup keamanan untuk instance ECS mengizinkan klien mengakses sumber daya cloud yang diperlukan. Untuk informasi selengkapnya, lihat Kueri aturan grup keamanan dan Menambahkan aturan grup keamanan.
Pastikan klien dapat mengakses internet, dan blok CIDR pribadinya tidak tumpang tindih dengan blok CIDR pribadi VPC.
Anda telah membuat instans IDaaS EIAM Edisi Perusahaan. Untuk informasi selengkapnya, lihat Mengelola instans.
Penting
- Instans IDaaS EIAM 1.0 tidak lagi tersedia untuk pembelian. Kami menyarankan Anda menggunakan instans IDaaS EIAM 2.0. Topik ini menggunakan instans IDaaS EIAM 2.0 sebagai contoh. Untuk informasi selengkapnya, lihat [Pengumuman Perubahan] Otentikasi dua faktor SSL-VPN mendukung IDaaS EIAM 2.0.
- Untuk informasi tentang cara menggunakan instans IDaaS EIAM 1.0, lihat Konfigurasi IDaaS EIAM 1.0.
Anda memiliki alamat IP publik dan port layanan server AD.

Dalam contoh ini, sistem AD dideploy pada sistem Windows Server 2022. Alamat IP publiknya adalah 47.XX.XX.62 dan port layanannya adalah 389.
Anda memiliki Base DN server AD.

Dalam contoh ini, Base DN server AD adalah dc=zxtest,dc=com.
Anda memiliki DN, username, dan password administrator di server AD.

Dalam contoh ini, nama akun administrator adalah Administrator dan password-nya adalah 1****2. DN-nya adalah cn=Administrator,cn=Users,dc=zxtest,dc=com. Misalnya, di Active Directory Users and Computers, perluas node domain (misalnya, zxtest.com) dan kontainer Users untuk menemukan pengguna Administrator. DN-nya adalah CN=Administrator,CN=Users,DC=zxtest,DC=com.

Prosedur

Langkah 1: Mengikat server AD

Ikat server AD ke instans IDaaS EIAM untuk menyinkronkan informasi akun dari server AD. Untuk informasi selengkapnya, lihat Bind AD - Inbound.

Dalam contoh ini, gunakan nilai default untuk semua parameter kecuali parameter yang wajib saat mengikat server AD. Berikut ini menunjukkan informasi akun yang disinkronkan ke instans IDaaS EIAM dari server AD.

Setelah sinkronisasi selesai, buka tab Accounts. Di daftar akun, Source akun wangwu ditampilkan sebagai AD Import, dan statusnya normal. Source akun lainnya, seperti zhangsan dan Lisi, adalah Self-created. Hal ini mengonfirmasi bahwa akun AD berhasil disinkronkan ke instans IDaaS EIAM.

Langkah 2: Menambahkan aplikasi SSL-VPN

Login ke Konsol IDaaS.
Di halaman EIAM, temukan instans EIAM yang Anda buat di Prasyarat, lalu di kolom Actions, klik Console.
Di panel navigasi kiri instans EIAM, klik Application. Di halaman Application, klik Add Application.
Di halaman Add Application, temukan templat Alibaba Cloud - SSL VPN dan klik Add Application.
Di kotak dialog Add Application, masukkan nama untuk aplikasi dan klik Add.
Di tab Sign-In halaman detail aplikasi, konfigurasikan parameter berikut dan klik Save di bagian bawah tab.

SSO: Biarkan fitur ini tetap diaktifkan.

Grant Types: Nilai default adalah Password Grant. Untuk IdP, pilih server AD yang telah diikat. Sistem menggunakan server AD untuk mengotentikasi karyawan.

Authorize: Gunakan nilai default Manually. Pengaturan ini mengharuskan Anda memberikan otorisasi secara manual kepada akun tertentu untuk mengakses aplikasi ini. Untuk informasi lebih lanjut tentang cakupan otorisasi, lihat Cakupan otorisasi.
Tetap di tab Sign-In dan klik tab Application Authorization.

Berikan izin kepada akun karyawan yang perlu membuat koneksi SSL-VPN. Untuk informasi selengkapnya, lihat Otorisasi aplikasi.

Langkah 3: Membuat gateway VPN

Login ke Konsol gateway VPN.
Di halaman VPN Gateways, klik Create VPN Gateway.

Di halaman VPN Gateway, konfigurasikan gateway VPN seperti dijelaskan di bawah ini, klik Buy Now, dan selesaikan pembayaran.

Tabel berikut hanya menjelaskan parameter yang relevan dengan topik ini. Gunakan nilai default untuk parameter lainnya. Untuk informasi selengkapnya, lihat Membuat dan mengelola instans VPN Gateway.

Parameter	Deskripsi
Region	Pilih wilayah tempat Anda ingin membuat instans VPN Gateway. Dalam contoh ini, China (Hangzhou) dipilih. Catatan Pastikan VPC dan instans VPN Gateway berada di wilayah yang sama.
gateway type	Pilih jenis gateway VPN yang ingin Anda buat. Dalam contoh ini, Standard dipilih.
Network Type	Pilih jenis jaringan instans VPN Gateway. Dalam contoh ini, Public dipilih.
tunnel	Sistem menampilkan mode tunnel untuk koneksi IPsec-VPN yang didukung di wilayah saat ini.
VPC	Pilih VPC yang ingin Anda hubungkan.
vSwitch 1	Pilih vSwitch dari VPC. Jika Anda memilih Single-tunnel, Anda hanya perlu menentukan satu vSwitch. Jika Anda memilih Dual-tunnel, Anda perlu menentukan dua vSwitch. Setelah fitur IPsec-VPN diaktifkan, sistem membuat antarmuka jaringan elastis (ENI) untuk masing-masing dua vSwitch sebagai antarmuka untuk berkomunikasi dengan VPC melalui koneksi IPsec-VPN. Setiap ENI menggunakan satu alamat IP di vSwitch. Catatan Sistem memilih vSwitch secara default. Anda dapat mengubah atau menggunakan vSwitch default. Setelah gateway VPN dibuat, Anda tidak dapat mengubah vSwitch yang terkait dengan gateway VPN. Anda dapat melihat vSwitch yang terkait dengan gateway VPN, zona tempat vSwitch tersebut berada, dan ENI di vSwitch di halaman detail gateway VPN.
vSwitch 2	Pilih vSwitch kedua dari VPC. Tentukan dua vSwitch di zona berbeda dalam VPC terkait untuk menerapkan pemulihan bencana lintas zona untuk koneksi IPsec-VPN. Untuk wilayah yang hanya mendukung satu zona, pemulihan bencana lintas zona tidak didukung. Kami menyarankan Anda menentukan dua vSwitch di zona tersebut untuk menerapkan ketersediaan tinggi koneksi IPsec-VPN. Anda juga dapat memilih vSwitch yang sama dengan yang pertama. Catatan Jika VPC tidak memiliki vSwitch kedua, Anda dapat membuatnya. Untuk informasi selengkapnya, lihat Membuat dan mengelola vSwitch.
IPsec-VPN	Menentukan apakah akan mengaktifkan fitur IPsec-VPN. Dalam contoh ini, pilih Disable.
SSL-VPN	Menentukan apakah akan mengaktifkan fitur SSL-VPN. Dalam contoh ini, pilih Enable.
SSL connections	Pilih jumlah maksimum klien yang dapat terhubung secara bersamaan. Catatan Anda dapat mengonfigurasi SSL Connections hanya setelah Anda mengaktifkan fitur SSL-VPN.

Kembali ke halaman VPN Gateways untuk melihat instans VPN Gateway.

Instans VPN Gateway baru berada dalam status Preparing. Setelah 1 hingga 5 menit, status berubah menjadi Normal. Status Normal menunjukkan bahwa instans VPN Gateway telah diinisialisasi.

Langkah 4: Membuat server SSL

Di panel navigasi kiri, pilih Interconnections > VPN > SSL Servers.
Di top navigation bar, pilih wilayah untuk Server SSL.

Catatan
Pastikan server SSL dan instans VPN Gateway berada di wilayah yang sama.
Di halaman SSL Server, klik Create SSL Server.

Di panel Create SSL Server, konfigurasikan server SSL seperti dijelaskan dalam tabel berikut, lalu klik OK.

Tabel berikut hanya menjelaskan parameter yang relevan dengan topik ini. Gunakan nilai default untuk parameter lainnya. Untuk informasi selengkapnya, lihat Membuat dan mengelola server SSL.

Parameter	Deskripsi
VPN Gateways	Pilih instans VPN Gateway yang telah Anda buat.
Local Network	Masukkan blok CIDR VPC yang ingin Anda akses. Dalam contoh ini, digunakan 192.168.0.0/16.
Client CIDR Block	Masukkan blok CIDR yang digunakan klien untuk mengakses VPC. Dalam contoh ini, digunakan 10.0.0.0/24. Penting Panjang masker subnet blok CIDR klien harus antara 16 hingga 29 bit. Blok CIDR klien tidak boleh tumpang tindih dengan Local Network, blok CIDR VPC, atau blok CIDR apa pun yang dirutekan di klien. Gunakan blok CIDR pribadi seperti 10.0.0.0/8, 172.16.0.0/12, dan 192.168.0.0/16, atau subnet-nya. Untuk menggunakan rentang IP publik, konfigurasikan sebagai blok CIDR yang ditentukan pengguna di VPC agar rute berfungsi dengan benar. FAQ VPC dan FAQ VPC. Setelah Anda membuat server SSL, sistem menambahkan rute untuk blok CIDR klien ke tabel rute VPC. Jangan menambahkan rute ini secara manual karena dapat mengganggu traffic SSL-VPN.
Advanced Settings	Aktifkan otentikasi dua faktor. Topik ini menggunakan EIAM 2.0. Gunakan nilai default untuk pengaturan lainnya. IDaaS Instance Region: Pilih China (Hangzhou). IDaaS Instance: Pilih instans EIAM yang Anda buat di prasyarat. IDaaS Application: Pilih aplikasi SSL-VPN Alibaba Cloud yang telah Anda tambahkan. Catatan Saat membuat server SSL di wilayah UAE (Dubai), ikat instans IDaaS EIAM 2.0 di wilayah Singapura untuk mengurangi latensi lintas wilayah.

Langkah 5: Membuat sertifikat klien SSL

Di panel navigasi kiri, pilih Interconnections > VPN > SSL Clients.
Di halaman SSL Client, klik Create SSL Client.
Di panel Create SSL Client, masukkan nama untuk sertifikat klien SSL, pilih SSL Server yang sesuai, lalu klik OK.
Di halaman SSL Client, temukan sertifikat klien SSL yang telah Anda buat dan klik Download Certificate di kolom Actions.

Simpan sertifikat klien SSL yang telah diunduh. Anda akan membutuhkannya untuk mengonfigurasi klien.

Langkah 6: Mengonfigurasi klien

Klien Linux

Buka antarmuka baris perintah (CLI).

Jalankan perintah berikut untuk menginstal klien OpenVPN.

CentOS

yum install -y openvpn
mkdir -p /etc/openvpn/conf

Ubuntu

apt-get update
apt-get install -y openvpn
mkdir -p /etc/openvpn/conf

Ekstrak paket sertifikat klien SSL yang diunduh dan salin file-file tersebut ke direktori /etc/openvpn/conf/.

Masuk ke direktori /etc/openvpn/conf/, jalankan perintah berikut, lalu masukkan username dan password. Setelah klien diautentikasi oleh server AD, koneksi SSL-VPN akan terbentuk.

openvpn --config /etc/openvpn/conf/config.ovpn --daemon

[root@iZufxxxmcZ ~]# cd /etc/openvpn/conf
[root@iZufxxxmcZ conf]# openvpn --config /etc/openvpn/conf/config.ovpn --daemon
Enter Auth Username: wangwu
Enter Auth Password: *********
[root@iZufxxx conf]# ps aux | grep openvpn
ogt   21148  0.0  0.1  14664  5712 ?        Ss   May10   0:00 openvpn --config /etc/openvpn/conf/config.ovpn --daemon
root  23249  0.0  0.0  21528   916 pts/0    S+   10:46   0:00 grep --color=auto openvpn

Klien Windows

Unduh dan instal klien OpenVPN untuk versi Windows Anda:
- Windows 64-bit (Intel/AMD): Klien OpenVPN (Windows 64-bit).
- Windows ARM64: Klien OpenVPN (Windows ARM64).
Jika Anda tidak dapat membuka tautan unduhan, hubungi manajer akun atau insinyur Alibaba Cloud Anda.
Ekstrak paket sertifikat klien SSL yang diunduh dan salin semua file yang diekstrak ke direktori konfigurasi OpenVPN.
- Jalur default: C:\Program Files\OpenVPN\config
- Catatan: Jika Anda mengubah jalur instalasi, salin file ke folder config di direktori instalasi.
Buka file config.ovpn dengan editor teks dan tambahkan baris berikut di akhir file: disable-dco.

Fitur Data Channel Offload (DCO) yang diperkenalkan di OpenVPN 2.6 tidak kompatibel dengan beberapa sistem Windows, seperti versi tertentu Windows 10 dan Windows 11. Menonaktifkan DCO mengatasi potensi masalah koneksi pada perangkat ini.
```
client
dev tun
proto tcp
remote 121.41.xxx
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert vsc-bp1xxx.crt
key vsc-bp1xxx.key
cipher AES-128-CBC
;comp-lzo
verb 4
disable-dco
```
Jalankan klien OpenVPN, klik Connect, lalu masukkan username dan password Anda. Setelah klien diautentikasi oleh server AD, koneksi SSL-VPN akan terbentuk.

Klien macOS (OpenVPN)

Buka jendela baris perintah.

Jika Homebrew belum diinstal, jalankan perintah berikut untuk menginstalnya.

/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"

Jalankan perintah berikut untuk menginstal klien OpenVPN.
```
brew install openvpn
```
Ekstrak sertifikat klien SSL yang diunduh dan salin file-file tersebut ke direktori konfigurasi.
1. Cadangkan semua file konfigurasi di folder /usr/local/etc/openvpn.
  
  Penting
  Jalur instalasi default OpenVPN dapat berbeda tergantung versi macOS. Pastikan menggunakan jalur instalasi aktual pada langkah-langkah berikutnya.
2. Jalankan perintah berikut untuk menghapus file konfigurasi OpenVPN.
```
rm /usr/local/etc/openvpn/*
```
3. Jalankan perintah berikut untuk menyalin sertifikat klien SSL yang diunduh ke direktori konfigurasi.
```
cp cert_location /usr/local/etc/openvpn/
```
  cert_location adalah jalur ke sertifikat klien SSL yang diunduh. Contoh: /Users/example/Downloads/certs6.zip.

Jalankan perintah berikut untuk mengekstrak sertifikat.

cd  /usr/local/etc/openvpn/
unzip /usr/local/etc/openvpn/certs6.zip

Masuk ke direktori /usr/local/etc/openvpn/, jalankan perintah berikut, lalu masukkan username dan password untuk membuat koneksi SSL-VPN.
```
sudo /usr/local/opt/openvpn/sbin/openvpn --config /usr/local/etc/openvpn/config.ovpn
```

Langkah 7: Menguji konektivitas

Setelah menyelesaikan langkah-langkah sebelumnya, klien dapat mengakses sumber daya di VPC secara remote. Bagian berikut menjelaskan cara menguji konektivitas antara klien Linux dan VPC.

Buka jendela baris perintah di klien.

Jalankan perintah ping untuk mengakses instance ECS1 di VPC dan memverifikasi konektivitas.

ping <alamat IP instance ECS1>

Jika Anda menerima paket balasan seperti yang ditunjukkan di bawah ini, klien berhasil terhubung ke VPC.

[root@iZuf6         ihcZ conf]# ping 192.168.10.154
PING 192.168.10.154 (192.168.10.154) 56(84) bytes of data.
64 bytes from 192.168.10.154: icmp_seq=1 ttl=63 time=11.9 ms
64 bytes from 192.168.10.154: icmp_seq=2 ttl=63 time=11.7 ms
64 bytes from 192.168.10.154: icmp_seq=3 ttl=63 time=11.7 ms
64 bytes from 192.168.10.154: icmp_seq=4 ttl=63 time=11.8 ms
64 bytes from 192.168.10.154: icmp_seq=5 ttl=63 time=11.5 ms
^Z
[8]+  Stopped                 ping 192.168.10.154
[root@iZuf6hgotc     :Z conf]#

Konfigurasi IDaaS EIAM 1.0

Untuk menggunakan instans IDaaS EIAM 1.0, lakukan langkah-langkah berikut. Anda perlu mengaktifkan autentikasi LDAP dan mengikat instans EIAM 1.0 saat membuat server SSL. Langkah-langkah lainnya sama seperti untuk EIAM 2.0.

Prosedur

Autentikasi LDAP

Sebelum membuat koneksi SSL-VPN, Anda harus mengaktifkan autentikasi LDAP dan menyinkronkan data akun di instans IDaaS EIAM 1.0 untuk verifikasi identitas selanjutnya.

Tambahkan sumber autentikasi LDAP.
1. Login ke Konsol IDaaS.
2. Di halaman EIAM, klik tab Legacy Version dan temukan ID instans target.
3. Di panel navigasi kiri, klik Authentication Source.
4. Di pojok kanan atas halaman Authentication Source, klik Add Authentication Source.
5. Di halaman Add Authentication Source, temukan ikon LDAP dan klik Add Authentication Source di kolom Actions.
6. Di panel Add Authentication Source (LDAP), konfigurasikan server LDAP (server AD dalam topik ini) dan klik Submit.
  - ID: ID dihasilkan secara otomatis oleh sistem.
  - Name: Masukkan nama kustom.
  - LDAP URL: URL koneksi server LDAP. Server LDAP adalah server tempat Anda mendeploy sistem AD. URL harus dalam format ldap://127.0.0.1:389/. Dalam contoh ini, masukkan ldap://47.XX.XX.62:389/.
    
    Jika alamat IP host adalah alamat IPv6, sertakan alamat tersebut dalam tanda kurung siku ([]). Contoh: ldap://[0000:0000:0000:0000:0000:0000:0001]:389/.
    
    Catatan
    IDaaS hanya dapat diakses melalui jaringan publik. Server LDAP harus memiliki alamat IP publik, dan port 389 harus terbuka. Anda dapat mengonfigurasi aturan grup keamanan untuk server LDAP agar hanya mengizinkan akses dari alamat IP publik IDaaS. Untuk mendapatkan alamat IP publik IDaaS, buat tiket ke tim IDaaS Alibaba Cloud.
  - LDAP Base: Base DN server LDAP. Dalam contoh ini, masukkan dc=zxtest,dc=com.
  - LDAP Account: DN akun administrator di server LDAP. Dalam contoh ini, masukkan cn=Administrator,cn=Users,dc=zxtest,dc=com.
  - LDAP account password: Password akun administrator di server LDAP.
  - Filter Condition: Filter untuk mengkueri username. Dalam contoh ini, masukkan (sAMAccountName=$username$).
    
    Untuk informasi lebih lanjut tentang aturan pencocokan, lihat dokumentasi resmi LDAP LDAP Filters. Parameter $username$ menentukan username di sistem IDaaS dan merupakan nilai tetap.
7. Di halaman Authentication Source, temukan sumber autentikasi target, klik ikon di kolom status, lalu klik Submit di kotak dialog yang muncul untuk mengaktifkan sumber autentikasi LDAP.
Konfigurasikan sinkronisasi akun LDAP untuk mengimpor data akun dari server LDAP ke sistem IDaaS.
1. Di panel navigasi kiri, klik OUs and Groups.
2. Di pojok kanan atas halaman OUs and Groups, klik Configure LDAP. Di panel Configure LDAP, klik Create.
3. Di tab Server Connection panel Configure LDAP, konfigurasikan parameter berikut dan klik Save.
  - AD/LDAP Name: Masukkan nama kustom.
  - Server Address: Masukkan alamat IP publik server LDAP Anda. Dalam contoh ini, masukkan 47.XX.XX.62.
  - Port Number: Masukkan nomor port layanan server LDAP Anda. Dalam contoh ini, masukkan 389.
  - Base DN: Masukkan DN node yang akunnya ingin Anda sinkronkan. Dalam contoh ini, masukkan dc=zxtest,dc=com.
    
    Catatan
    Parameter ini tidak dapat diubah setelah dikonfigurasi. Jika Anda mengubah Base DN, struktur direktori organisasi di sistem IDaaS tidak akan sesuai dengan struktur direktori organisasi di server LDAP (atau AD), dan sinkronisasi data akan gagal. Untuk menyinkronkan data dari direktori berbeda, tambahkan beberapa konfigurasi LDAP.
  - Administrator DN: Masukkan DN akun administrator. Dalam contoh ini, masukkan cn=Administrator,cn=Users,dc=zxtest,dc=com.
  - Password: Masukkan password akun administrator.
  - Select Type: Pilih jenis server LDAP Anda. Dalam contoh ini, pilih Windows AD.
  - Owned OU node: Node dalam struktur organisasi IDaaS tempat data akun diimpor. Jika Anda tidak memilih node, data diimpor ke OU root. Dalam contoh ini, digunakan nilai default.
  - From LDAP to IDaaS: Jika Anda mengaktifkan fitur ini, Anda dapat menyinkronkan data secara manual dari server LDAP ke sistem IDaaS. Dalam contoh ini, pilih Enable.
  - Provision from IDaaS to LDAP: Jika Anda mengaktifkan fitur ini, Anda dapat menyinkronkan data dari sistem IDaaS ke server LDAP. Dalam contoh ini, pilih Enable.
  Setelah menyelesaikan konfigurasi di atas, Anda dapat mengklik Test Connection untuk menguji konektivitas server. Jika pengujian gagal, periksa konektivitas jaringan dan apakah parameter koneksi telah dikonfigurasi dengan benar.
4. Di tab Field Matching Rules panel Configure LDAP, konfigurasikan parameter berikut dan klik Save.
  Aturan pemetaan bidang menentukan bagaimana bidang di sistem IDaaS dipetakan ke atribut di server LDAP. Misalnya, bidang cn di server LDAP dipetakan ke username di sistem IDaaS.
  - UserName: Dalam contoh ini, masukkan cn.
    
    Catatan
    Jika nilai bidang cn untuk akun di sistem AD Anda berisi karakter Tionghoa, sistem IDaaS tidak dapat mengimpor akun tersebut. Kami menyarankan Anda menggunakan bidang sAMAccountName.
  - External ID: Untuk Windows AD, gunakan objectGUID. Untuk OpenLDAP, gunakan uid. Dalam contoh ini, masukkan objectGUID.
  - Password Attribute: Untuk Windows AD, gunakan unicodePwd. Untuk OpenLDAP, gunakan userPassword. Dalam contoh ini, masukkan unicodePwd.
  - User Unique Identifier: Untuk Windows AD, gunakan DistinguishedName. Untuk OpenLDAP, gunakan EntryDN. Dalam contoh ini, masukkan DistinguishedName.
  - Email: Dalam contoh ini, masukkan mail.
5. Di halaman OUs and Groups, pilih Import > Organization Structure.
6. Di panel LDAP List, temukan LDAP target, klik Import, lalu klik Submit di kotak dialog yang muncul. Di panel OU Temporary Data, konfirmasi informasi organisasi dan klik Submit.
7. Di bagian OUs halaman saat ini, pilih organisasi target. Di bagian detail organisasi, pilih Import > Account.
8. Di panel LDAP List, temukan konfigurasi LDAP target dan klik Import. Di kotak dialog yang muncul, klik Submit. Di panel Account Temporary Data from LDAP, konfirmasi informasi akun, klik Submit, lalu atur password default untuk akun yang diimpor untuk menyinkronkan informasi akun dari server LDAP ke sistem IDaaS.
  
  Penting
  Klien harus menggunakan password dari server AD untuk login selanjutnya. Password yang dikonfigurasi di sini hanya berlaku untuk instans IDaaS.
Aktifkan autentikasi LDAP untuk produk cloud.
1. Di panel navigasi kiri, pilih Settings > Security Settings.
2. Di halaman Security Settings, klik tab AD Authentication for Cloud Service.
3. Pilih sumber autentikasi LDAP yang baru saja Anda buat, aktifkan fitur tersebut, dan klik Save.