第三方整合中 LDAP、Windows AD 整合,支援將組織內基於 LDAP 或 Windows AD 協議的使用者管理的使用者資訊同步到靈碼的使用者管理,同時支援其通過 LDAP 或 Windows AD 帳號和密碼登入。
適用版本 | 專屬版 |
建立範圍外使用者
企業管理員可以在中配置和管理 LDAP、Windows AD 整合。如果需要建立不在同步範圍內的使用者,可以勾選支援內建使用者,可以建立同步範圍外的使用者。
配置 LDAP 整合
前置依賴:
LDAP服務已經部署完成。
已在 LDAP 伺服器上做好使用者帳號資訊。
擁有 LDAP 伺服器的 Bind DN 和 Bind Password。
步驟一 配置 LDAP 服務串連
首先需要配置 LDAP 伺服器的串連資訊,包括:
伺服器位址:LDAP 伺服器位址和連接埠。
Base DN:LDAP 伺服器的 Base DN,一般為 LDAP 伺服器的根目錄,如果需要限定使用者同步的範圍,可以配置為 LDAP 伺服器的子目錄。
說明請認真確認使用者同步的範圍,避免實際同步範圍超出預期。
Bind DN:LDAP 伺服器的 Bind DN,一般為 LDAP 伺服器的管理員帳號。
Bind DN 密碼:LDAP 伺服器的 Bind DN 密碼。
使用者查詢條件:LDAP 伺服器使用者資訊同步的過濾器,一般為“(objectClass=person)”。
部門查詢條件:LDAP 伺服器部門資訊同步的過濾器,一般為“(objectClass=GroupOfUniqueNames)”。
填寫完成後,單擊下一步。
步驟二 配置帳號綁定與屬性對應
目前提供種 4 種帳號識別和綁定方式:
自動綁定郵箱相同的帳號:按照同步策略,自動將靈碼、LDAP 中郵箱帳號相同的使用者綁定在一起。
自動綁定登入帳號相同的帳號:按照同步策略,自動將靈碼、LDAP 中登入帳號相同的使用者綁定在一起。
自動綁定手機號相同的帳號:按照同步策略,自動將靈碼、LDAP 中手機號相同的使用者綁定在一起。
自動綁定工號相同的帳號:按照同步策略,自動將靈碼、LDAP 中工號相同的使用者綁定在一起。
無論選擇哪一種帳號識別和綁定方式,均需要保證其對應的屬性欄位的唯一性和存在性,因為靈碼將按照選擇的方式進行帳號的一一匹配,選擇自動綁定郵箱相同的帳號的綁定過程:
接下來需配置使用者屬性對應的欄位,按照下圖中設定的使用者屬性欄位映射關係進行資訊映射。
步驟三 開啟服務
LDAP 整合的服務在配置的過程中預設不開啟,使用者可在此處開啟服務:
使用者和組織同步:開啟後,可保持使用者管理中的使用者目錄和 LDAP 同步範圍內的使用者同步。
單點登入:開啟後,可支援通過 LDAP 帳號和密碼登入。
如果選擇開啟對應功能的情況下,需要進行相關配置(以下內容適配於修改對應功能配置)。
使用者和組織同步
資料同步時機:預設為手動同步,並支援手動同步、定時同步的切換。
手動同步:需要企業管理員在有資料變更後,手動在 LDAP 整合詳情頁面單擊執行手動同步按鈕完成使用者和組織同步。
說明每次手動同步操作盡量間隔 1 個小時。
定時同步:配置同步的時機和規則按每天(某刻)、每周(某天某刻)、每月(某天某刻)、每隔一定時間進行同步,如果設定為定時同步,建議儲存配置後完成一次手動同步,以保證資料可以及時同步至靈碼。
使用者差異處理:預設忽略靈碼上多餘的帳號,且為在同步範圍內的 LDAP 帳號建立靈碼帳號並綁定,可根據訴求修改。
已有靈碼帳號未匹配到 LDAP 帳號-忽略:當已有靈碼帳號未匹配到 LDAP 帳號時,不刪除靈碼上的多餘帳號。
已有靈碼帳號未匹配到 LDAP 帳號-刪除靈碼帳號:當已有靈碼帳號未匹配到 LDAP 帳號時,刪除靈碼上的帳號。
已有 LDAP 帳號未匹配到靈碼帳號-忽略:當已有 LDAP 帳號未匹配到靈碼帳號時,不在靈碼上建立新帳號。
已有 LDAP 帳號未匹配到靈碼帳號-建立靈碼帳號並綁定:當已有 LDAP 帳號未匹配到靈碼帳號時,會按照帳號綁定和屬性對應規則在靈碼上建立新帳號,並與 LDAP 帳號綁定;
組織差異處理:預設忽略靈碼上多餘的部門節點,且為在同步範圍內的 LDAP 部門節點建立靈碼部門並綁定,可根據訴求修改。
已有靈碼部門未匹配到 LDAP 部門-忽略:當已有靈碼部門未匹配到 LDAP 部門時,不刪除靈碼上的部門節點。
已有靈碼部門未匹配到 LDAP 部門-刪除靈碼部門:當已有靈碼部門未匹配到 LDAP 部門時,刪除靈碼上的部門節點。
已有 LDAP 部門未匹配到靈碼部門-忽略:當已有 LDAP 部門未匹配到靈碼部門時,不在靈碼上建立部門節點。
已有 LDAP 部門未匹配到靈碼部門-建立靈碼部門並綁定:當已有 LDAP 部門未匹配到靈碼部門時,會在靈碼上建立部門節點,並將兩方部門節點進行綁定。
開啟單點登入
開啟單點登入的開關後,可以:
查看 LDAP 的登入地址,已經綁定 LDAP 帳號的靈碼使用者,可以在該頁面使用 LDAP 的帳號和密碼登入靈碼。
自訂配置可修改:LDAP 登入入口的顯示名稱和顯示表徵圖,修改後靈碼系統將按照修改的內容顯示。
允許開啟首次登入時建立靈碼帳號:
預設不勾選:登入時僅允許 LDAP 帳號與靈碼帳號進行綁定,匹配不到靈碼帳號時,靈碼不會根據 LDAP 帳號建立靈碼帳號。
勾選後:允許在 LDAP 帳號登入靈碼且 LDAP 帳號無法匹配到靈碼帳號時,靈碼建立新的靈碼帳號與之綁定。
如果選擇不開啟服務,也可儲存配置,後續可以在 LDAP 整合詳情頁面中開啟所需服務。 當完成所有配置後,單擊儲存配置按鈕即可完成 LDAP 整合的配置。
通過 LDAP 登入靈碼
開啟單點登入後,靈碼登入頁面將顯示 LDAP 登入入口,點擊後可進入 LDAP 登入頁面,已綁定 LDAP 帳號的使用者可以通過 LDAP 帳號和密碼登入。
查看使用者和組織同步結果
在開啟使用者和組織同步的情況下,開啟 LDAP 整合詳情頁面,可以查看最新同步結果:未執行同步、同步成功、同步失敗、部分同步成功。
修改 LDAP 整合的功能服務
在 LDAP 整合詳情頁面,如果開啟了某個功能服務,可以看到修改服務配置的按鈕,點擊後即可進行相關功能服務配置的修改或者關閉該功能:
關閉使用者和組織同步:
不解除靈碼帳號與 LDAP 帳號的綁定關係。
不再執行 LDAP 的使用者和組織同步。
關閉單點登入
不會解除靈碼帳號與 LDAP 帳號的綁定關係。
不支援通過 LDAP 帳號登入靈碼,使用者若需要登入靈碼,可使用靈碼的登入帳號和密碼進行登入。
移除 LDAP 整合
在 LDAP 整合詳情頁面,可單擊移除整合按鈕,二次確認後即可移除 LDAP 整合,移除整合後:
解除靈碼帳號與 LDAP 帳號的綁定關係,不會影響已同步的使用者和組織架構資訊。
不再執行 LDAP 的使用者和組織同步。
不再支援通過 LDAP 帳號登入靈碼,使用者若需要登入靈碼,可使用靈碼的登入帳號和密碼進行登入。
