LDAP 作为身份源
IDaaS 支持多种三方系统作为身份源。同时也支持企业内部 LDAP 目录作为 IDaaS 的身份源,与 LDAP 中的组织机构和用户信息保持同步,做到数据的统一管理和数据的一致性。
前提条件
- IDaaS 公云服务可以访问到 LDAP 目录服务,如果 LDAP 服务器存在网络策略,可以添加 IDaaS 公云服务 ip ( 47.92.171.137 )到网络白名单中。
- 拥有 IDaaS 企业中心平台的管理员权限。
操作步骤
登录 IDaaS 企业中心平台,在上方导航栏选择 “用户 > 身份源管理“ ,单击 ”添加身份源“ 选择 “LDAP” 身份源。

自定义设置身份源名称,参考界面提示填写主机、 TCP 端口等参数,设置完成后单击 ”确定“ 保存。
进入新增身份源的详情页,可查看、更新 LDAP 身份源的 “基础配置” ,包括连接参数及同步机制。

切换至 ”可选配置“ 页签,建议保持默认或根据实际需求参考界面填写。

配置完成后切换至 ”高级配置“ 页签,建议保持默认或根据实际需求参考界面填写。

参数 说明 选择根组织 同步到 IDaaS 中的机构节点位置 组织匹配策略 可根据 IDaaS 中的属性名和 LDAP 身份源中的属性名进行映射来进行组织机构的匹配,支持添加多个匹配规则,如 LDAP 目录组织机构编码和 IDaaS 组织机构编码匹配 创建组织 默认是 更新组织 默认是 删除组织 设置在 LDAP 中删除组织机构后, IDaaS 对该组织机构的处理情况,支持禁用、保留、删除组织 用户匹配策略 可根据 IDaaS 中的属性名和 LDAP 身份源中的属性名进行映射来进行用户信息的匹配,支持添加多个匹配规则,如 LDAP 目录用户唯一属性与 IDaaS 用户唯一属性匹配 创建用户 默认是 更新用户 默认是 删除用户 默认禁用用户即可(即 LDAP 中删除用户, IDaaS 中禁用用户),还支持保留、删除用户 安全阈值调节 设置当上游身份源出现删除用户/删除组织/组织层级变动等情况时,在身份源中以上变动的最大阈值比例
阈值 =(平台已回收数据和本次回收数据的差异值 / 已回收数据) * 100%,当上游身份源应用禁用/删除超过设定的阈值数据,平台接到指定后,将不进行禁用/删除操作。配置完成后切换至 ”对象模型“ 页签选择 “映射定义” ,根据实际需求完成属性定义及映射定义,关键参数说明如下。
对象模型支持把 LDAP 身份源中的用户、组织上的属性,与 IDaaS 中的用户、组织的属性进行映射匹配。设置之后,实现从 LDAP 回收用户、组织属性至 IDaaS 的用户、组织属性。

- 执行方式:设置属性在哪种情形下需要映射。
- 不映射:不会同步该属性至 IDaaS 。
- 创建:只有在创建的时候会同步该属性。
- 更新:只有在更新的时候会同步该属性。
- 创建和更新:创建和更新时同步该属性。
- 转换方式:设置属性映射的方式。
- 自动转换:身份源中什么值,就同步什么值。
- 脚本转换:身份源中的值不满足需要的格式可通过此方式来转换,可参考脚本映射方法。
- 执行方式:设置属性在哪种情形下需要映射。
对象模型设置完成后单击 “执行同步” 立即执行同步操作。
TIP
如果基础配置中的同步机制设置为定时同步,则此处无需通过手动执行同步任务。
执行完成后切换至 ”同步事件" 页面,可查看该身份源的所有同步任务,单击 “操作” 列下的 “详情” 查看导入结果,或者在 “用户 > 用户与组织” 页面查看导入的数据。