全部產品
Search

搜尋本產品

    Secure Access Service Edge:對接LDAP身份源

    文件中心

    Secure Access Service Edge:對接LDAP身份源

    更新時間:Aug 09, 2025

    SASE以身份驅動下發安全性原則,如果企業已使用LDAP身份源管理組織架構,可以通過SASE對接企業的LDAP身份源,無需您再次為企業員工建立身份資訊。對接企業LDAP身份源後,企業員工可使用與企業身份一致的帳號體系登入SASE App辦公。本文介紹如何對接LDAP身份源。

    使用限制

    身份源功能在同一時段最多開啟5個身份源(自訂身份源僅支援同時開啟一個)。如果當前已啟用的身份源額度已滿,您需要先禁用已啟用的身份源,然後再啟用您需要的身份源。

    配置並開啟Windows AD/OpenLDAP身份源

    1. 登入辦公安全平台控制台

    2. 在左側導覽列,選擇身份認證管理 > 身份接入

    3. 身份同步頁簽單擊新增身份源

    4. 新增身份源面板中,選擇LDAP,然後單擊开始配置,根據設定精靈完成相關配置。

    5. 基礎配置嚮導中,參考下表內容進行配置,然後單擊下一步

      配置項

      說明

      身份源名稱

      配置身份源的名稱資訊。

      長度為2~100個字元,中文字元、英文字母、阿拉伯數字、短劃線(-)和底線(_)。

      描述

      該配置的描述資訊。

      該描述會作為登入標題顯示在SASE用戶端,方便您登入時知曉身份源資訊。

      身份源状态

      根據需要配置身份源狀態。取值:

      • 已開啟:建立成功後開啟身份源開關。

      • 已關閉:建立成功後關閉身份源開關。

        重要

        關閉身份源開關,會導致終端使用者使用SASE App無法訪問內網應用。請謹慎操作。

      类型选择

      支援的目錄類型。取值:

      • Windows AD:Windows的目錄服務。

      • OpenLDAP:輕量型目錄存取通訊協定。

      伺服器位址

      AD或者LDAP伺服器位址。最多支援配置5個。

      服務器連接埠號碼

      AD或者LDAP伺服器的連接埠號碼。

      使用连接器访问认证服务器

      當LDAP認證服務部署內網環境時,可通過連接器實現認證服務打通。您需要選擇已成功串連的連接器執行個體,如何配置連接器打通網路請參見使用SASE連接器

      使用SSL连接方式

      AD或者LDAP伺服器是否開啟SSL串連。取值:

      • :開啟SSL串連後,您在AD或者LDAP伺服器上的資料會進行加密傳輸,保證您的資料安全。

      • :表示不開啟SSL串連。

      Base DN

      要認證使用者的Base DN。當您設定該值後,SASE會認證該節點下所有賬戶的資訊。被認證的賬戶資訊可以登入SASE用戶端。該欄位的長度為2~100個字元。

      說明

      如果要認證使用者與組不在LDAP的同一節點下,您需要設定高級配置中的用戶 Base DN組 Base DN

      部門結構同步

      輸入管理員DN和管理員密碼,用於從身份源中擷取企業目錄結構列表。

      說明

      配置後您可以按照企業目錄結構列表批量下發安全性原則。在下發安全性原則時,系統不會讀取您的員工資訊。

      登入使用者名稱屬性

      設定登入使用者名稱屬性欄位,用於統一同一企業使用者登入時使用者名稱的形式,您需要在企業內部定義該欄位。

      您可以選擇LDAP預設的表示使用者名稱屬性的欄位(包含cnnamegivenNamedisplayNameuserPrincipalNamesAMAccountName),也可以輸入LDAP定義的其他欄位,用來表示登入使用者名稱屬性

      說明

      userPrincipalName是有域尾碼,當您選擇userPrincipalName作為登入使用者名稱屬性時,登入時一定要填寫對應的域尾碼。例如:user***@aliyundoc.com。

      組名稱屬性

      設定組名稱屬性欄位,用於統一同一企業中組名稱的形式,您需要在企業內部統一定義該欄位。

      您可以選擇LDAP預設的表示使用者名稱屬性的欄位(包含cnnamesAMAccountName),也可以輸入LDAP定義的其他欄位,用來表示組名稱屬性

      組映射屬性

      設定組映射屬性欄位,用於定義企業使用者所歸屬的組關係。預設值:memberOf

      說明

      該欄位非必選,如需填寫,需與您在LDAP中設定的組映射屬性一致。

      組過濾器

      添加組過濾運算式,用於過濾不同分組的企業使用者,以便您後續管控不同分組下企業使用者的存取權限。

      LDAP常見的過濾器表示方式舉例:

      • (&(objectClass=organizationalUnit)(objectClass=organization)):表示搜尋objectClass等於organizationalUnit和objectClass等於organization,即兩個屬性都滿足的所有組。

      • (|(objectClass=organizationalUnit)(objectClass=organization)):表示搜尋objectClass等於organizationalUnit或object等於organization,即兩個屬性滿足其中一個的組。

      • (!(objectClass=organizationalUnit)):表示搜尋objectClass不等於organizationalUnit的組。

      關於LDAP的具體匹配規則,請參見LDAP官方文檔LDAP Filters

      使用者過濾器

      您可以添加過濾運算式,用於過濾某一個或者某一類使用者。

      LDAP常見的過濾器表示方式舉例:

      • (&(objectClass=person)(objectClass=user)) :表示搜尋objectClass等於person和objectClass等於user,即兩個屬性都滿足的所有企業使用者。

      • (|(objectClass=person)(objectClass=user)) :表示搜尋objectClass等於person或objectClass等於user,即兩個屬性滿足其中一個的所有企業使用者。

      • (!(objectClass=person)):表示搜尋objectClass不等於person的所有企業使用者。

      關於LDAP的具體匹配規則,請參見LDAP官方文檔LDAP Filters

      自动同步

      開啟自动同步開關後,系統將自動根據同步模式從LDAP同步相關資訊。

      如果您未開啟自动同步,需要手動同步群組織架構,具體操作,請參見查看同步記錄

      同步员工信息

      開啟同步员工信息開關後,系統將根據自动同步周期,自動從LDAP同步員工資訊。

      說明

      若未開啟自动同步功能,則不執行同步员工信息功能。

      自动同步周期

      設定自动同步周期,支援設定每1小時-每24小時自動同步一次。

    6. 同步配置嚮導中,對組織架構的同步範圍及欄位對應進行配置,然後單擊下一步

      配置項

      說明

      組織架構同步

      配置同步群組織架構的範圍。

      • 全部同步:將LDAP的組織架構全部同步到SASE系統中。

      • 部分同步:選擇需要同步的組織架構。

      字段同步映射

      配置LDAP組織架構欄位與SASE同步欄位的映射關係。

      說明

      如果SASE系統內建的映射后本地字段無法滿足您的業務需求,您可以單擊列表右上方的查看扩展字段,在查看扩展字段面板中對擴充欄位進行新增、編輯、刪除等操作。

    7. 登录配置嚮導中,根據下表內容設定裝置登入方式。

      配置項

      說明

      電腦裝置登入方式

      支援帳號密碼登入無密碼登入

      • 使用帳號密碼登入方式時,您可以開啟雙因素認證,取值:

        • OTP認證:開啟後,您需要選擇OTP令牌模式,目前支援如下三種模式:

          • 允許SASE移動端展示令牌:即SASE內建OTP,需要員工安裝SASE移動端App。

          • 允許第三方App令牌:需確保OTP用戶端時鐘同步正常,目前支援標準及常見的OTP認證軟體,例如阿里雲App等。

          • 允許企業自有令牌:若需相容企業自研OTP,請在技術人員支援下進行配置。

        • 驗證碼認證:支援簡訊驗證碼和郵箱驗證碼。確保配置的身份源中每個使用者都已錄入手機號或者郵箱號。

      • 使用無密碼登入方式時,需要先下載並登入SASE移動端App,然後進行掃碼認證。

      行動裝置登入方式

      支援帳號密碼登入指紋或Face Service認證

      • 使用帳號密碼登入方式時,您可以開啟雙因素認證,取值:

        • OTP認證:開啟OTP認證前,需開啟PC端OTP認證並選擇允許第三方APP綁定令牌或者允許企業自有令牌,移動端令牌配置與電腦裝置配置一致。

        • 驗證碼認證:開啟驗證碼認證前,需確保配置的身份源中每個使用者都已錄入手機號或郵箱。

      • 使用指紋或Face Service認證方式時,首次登入SASE App時仍需要輸入帳號名與密碼。

    8. 配置完成後您可以單擊面板下方的登录测试,確保登入測試成功後,單擊確認完成配置。

      image

      說明

      如果您配置的資料有誤,SASE會提示您對應的問題。當測試連接後,提示串連LDAP伺服器失敗,請聯絡管理員,您需要排查伺服器位址、連接埠號碼是否填寫正確,以及伺服器網路是否正常。

    查看同步記錄

    1. 身份同步頁簽,定位到已添加的身份源,單擊操作同步记录

    2. 同步记录頁面,查看該身份源的資訊同步記錄。

    3. 在頁面左側同步任务地區單擊具體的同步任務,可以在頁面右側列表中查看該同步任務的同步資訊。

      image

    4. 單擊目標操作詳情,查看本次同步的三方数据源SASE数据源的欄位資訊。

    手動同步

    如果您在配置身份源時未開啟自动同步或您的身份源架構調整,需要手動同步架構資訊。您可以單擊新增同步任务,並單擊確定。等待同步任務執行成功後,再查看同步記錄。

    說明

    同步成功後,您可以在身份認證管理 > 身份接入 > 员工中心頁簽中查看同步的企業組織架構及員工資訊等。具體操作,請參見員工中心

    關閉自動同步

    • 身份同步頁面,定位到已添加的身份源,在自动同步列關閉身份源的自動同步開關。

    • 编辑身份源面板中,關閉自動同步開關。

    編輯LDAP身份源

    身份同步頁面,定位到已添加的LDAP身份源,單擊操作編輯即可修改該LDAP資訊。

    關閉LADP身份源

    身份同步頁簽,定位到已添加的LDAP身份源,在身份源开关列關閉身份源的狀態開關。

    刪除LDAP身份源

    身份同步頁面,定位到已添加的LDAP身份源,單擊操作刪除即可刪除該身份源資訊。

    相關文檔

    配置SASE身份源

    如果企業未使用任何身份源,可以使用SASE提供的自訂身份源上建立組織架構。具體資訊,請參見配置SASE身份源

    對接第三方身份源

    如果企業已使用LDAP、DingTalk、企業微信、飛書、IDaaS身份源的某一種身份源管理企業組織架構,可以通過SASE接入身份源資訊。

    配置使用者組

    如果您需要在企業組織架構以外建立使用者組,請參見使用者組管理