本文介绍将OpenLDAP配置为身份提供方的操作步骤,配置完成后,您将获取以下能力:
1.将OpenLDAP的组织架构和用户同步到IDaaS。
2.使用OpenLDAP的账密登录到IDaaS。
IDaaS有2种方式连接到OpenLDAP,分别是直接连接和代理连接。
直接连接:需要提供公网IP,让IDaaS连接到OpenLDAP。
代理连接:将agent代理部署在企业内网,IDaaS通过Https协议调用agent代理完成与OpenLDAP的通讯。
操作步骤
1.点击 身份管理 > 身份提供方 > 添加身份提供方,在选择身份提供方的界面中点击OpenLDAP,在弹出框中输入应用名称后点击确定后完成创建。
2. IDaaS直接连接OpenLDAP。
2.1 显示名称:用户在登录页面、身份提供方数据源等地方显示。
2.2 连接方式:选直接连接。
2.3 服务器地址1:OpenLDAP 的服务器地址,ldap协议通常使用389端口,ldaps通常使用636端口。
2.4 服务器地址2:可选配置,用于填写第2台 OpenLDAP 服务器的地址,以提供高可靠性服务。
2.5 管理员账号:IDaaS使用此账号读取AD信息来完成数据同步或委托认证,该账户需要至少拥有读取权限,请使用UPN格式(cn=admin,dc=example,dc=com)。
2.6 管理员密码:该账户登录 OpenLDAP 的密码。
2.7 search base:填写根节点的 DN,通常为企业所在的域,比如 dc=example,dc=com。
2.8 用户过滤:用于筛选用户,只有满足条件的用户才会同步到IDaaS。
2.9 定时同步:若开启,会定时将 OpenLDAP 中的组织和用户更新到IDaaS。
2.10 身份认证:若开启,用户可以使用 OpenLDAP 的账密认证登录到IDaaS。
3. IDaaS代理连接OpenLDAP。
3.1 连接方式:选代理连接。
3.2 在企业内网部署agent代理,并将代理程序的接口配置到nginx上。
3.3 在IDaaS上点击 系统管理 > 系统设置 > 通用设置,填写IDaaS的代理地址。
