LDap用户对接
UIC支持基于标准LDAP协议,从而实现业务系统到UIC的单点登录功能。 本文主要包含以下内容:
- 认证说明 - LDAP协议的简单认证流程时序图说明,以及交互参数
- 操作步骤 - 从新建开始配置一个LDAP用户对接方法
- 参数说明 - 对LDAP用户对接配置中的特殊参数进行说明
- FAQ - 常见问题以及其对策
认证说明
LDAP (Lightweight Directory Access Protocol,轻量级目录访问协议)是一种开放的、跨平台的目录服务认证协议。 LDAP提供了应用程序用于与其他目录服务服务器通信的通信语言。通过树形结构服务存储用户、密码和计算机帐户,并与同一网络下的其他系统共享这些信息,从而实现单点登录。
dn(Distinguished Name)分辨名
dn 分辨名用于唯一标识一个项,以及他在目录信息树中的位置。可以和文件系统中文件路径类比。类似于关系型数据库中的主键。dn 字符串从左向右,各组成部分依次向树根靠近。
rdn(Relative Distinguished Name)相对分辨名
Rdn 就是键值对,dn 由若干个 rdn 组成,以逗号分隔。
dc**(Distinguished Name)(域名组成)**
将 example.comexample.com 这样的域名,拆成 dc=example,dc=com 这样的形式。
o(Organization)组织机构、公司
在 dn 中可能会包含 o=公司 这样的组成部分,这里的 o 指代组织机构。
ou(Organization Unit)组织单元、部门
在 dn 中可能会包含 ou=某某部门 这样的组成部分,这里的 ou 指代组织单元。
操作步骤
- 在 用户对接 中 新增LDAP认证方式
- 配置 基础设置-参数配置 中LDAP对应的认证地址,多个LDAP地址通过 英文半角逗号
,进行隔开
- 配置 映射配置 ,将LDAP认证返回中的参数映射为UIC中的对应参数
- 配置 同步配置 ,对LDAP的个人信息进行同步模式等信息设置
- 配置 租户配置 ,设定LDAP对接默认同步的租户
- 完成 用户对接 配置,确认对应对接方式为 启用 状态
- 在UIC 登录中选择对应的登录方式,即可使用LDAP认证登录
若不想通过「Ldap对接」的方式来绑定ldap和数栈账号,可以在集群配置中配置ranger和ldap组件,将数栈账号映射到ldap中。
认证流程
参数说明
基础设置
| 参数配置 | 参数说明 |
|---|---|
| LDAP认证URL | LDAP 服务器地址与端口,例如: ldap://dc.dataq_eco.com:389若存在多个LDAP服务器地址与端口,可通过英文半角 , 隔开进行书写; |
| 绑定认证类型 | 支持 Simple 和 None两种认证方式,当选择 None时,用户中心(UIC) 将会使用匿名账号去访问LDAP服务进行账号拉取。 |
| Bind DN/Bind DN Secret | 用于uic进行自身认证,当绑定认证类型为 Simple 时,用户中心(UIC) 将会使用该账号去访问LDAP服务并进行账号拉取。 |
| Base DN | LDAP账号体系中树状目录的根目录,用户中心(UIC)将会从该目录下开始拉取账号。 |
| 搜索范围 | 支持One Level、Subtree两种搜索范围;用户中心(UIC)将会根据选择去搜索指定用户DN不同范围下的帐号进行拉取。 |
| 查询条件 | LDAP需要通过用户手动设置查询条件来过滤和精准识别搜索请求的范围和关键元素,比如 (givenName:=John) ,具体写法可参考 官方文档。 输入查询条件时,最外层括号无需添加。例如: (&(givenName=John)(sn=Doe)) 仅需要输入 &(givenName=John)(sn=Doe) 即可。 |
映射设置
在映射设置中,需要将LDAP返回值中对应的具体参数填写到输入框中以映射到具体的UIC参数中。 以如下LDAP中的属性参数内容为例:
若超级管理员需要同步单点登录服务中 cn 字段作为UIC的 账号字段,则在对应输入框内填入 cn 即可。其他参数同理。
windows版一般为cn或sAMAccountName,linux为uid,如果登录的账号没有下面指定的属性,会报错!