Link Search Menu Expand Document

IdP: Active Directory

  1. 场景
  2. 添加 Active Directory
  3. 配置 AD
    1. Agent
    2. 用户匹配规则
    3. 扫描配置
    4. 认证与登录
    5. 继承源
  4. 导入AD账号

在OneAuth中可以将 Active Directory (AD)配置为IdP,将您现有的AD 与 OneAuth 集成,以简化和集中管理用户。 要将 AD 与 OneAuth 集成,您需要安装 OneAuth AD Agent,然后将 AD 用户导入 OneAuth。

场景

企业已经有AD ,且在钉钉/企业微信、HR系统中都存储了员工的身份和组织架构,面对多元的化的身份管理,如何建立一个权威的身份中心,且无需改变网络结构。OneAuth 通过AD Agent的集成方案,无需改变原有的网络结构,完全支持AD部署在企业内部网络,通过AD Agent 与云进行连接。

1

添加 Active Directory

建议将OneAuth AD Agent 安装在AD域控主机或与域控主机同一网络内的windows服务器。

  1. 在将到安装OneAuth AD Agent的服务器上打开浏览器使用管理员账号登录OneAuth管理后台;
  2. 在管理后台中,打开认证源 → IDP 页面
    • 点击添加IDP 按钮,然后选择Active Directory 1
    • 查看安装须知,然后点击下一步
    • 点击下载 AD Agent,然后页面将等待您安装AD Agent 2
  3. 在服务器中双击下载好的AD Agent 安装程序并完成安装:
    1. 输入需要通过该AD Agent连接的AD域的域名,然后点击下一步
    2. 选择OneAuth Agent以何身份连接AD域:
      • 创建或者使用OneAuth Service账号,并设置密码;
      • 或者,OneAuth使用AD 已有的账号
    3. 填写注册OneAuth AD Agent所需要连接的租户域名,如example.oneauth.cn 。点击下一步
    4. 在OneAuth的登录页面中输入管理员账号和密码,然后点击登录。
    5. OneAuth AD Agent需要多个权限,点按“允许访问”即可。
    6. 点击完成。
  4. OneAuth AD Agent安装完成后,返回浏览器并点击下一步。
  5. 页面中展示了AD域的OU,勾选需要同步管理的OU,然后点击下一步
  6. 点击完成

配置 AD

Agent

添加Active Directory完成后,在详情页中可以查看连接AD的Agent 运行状态。当Agent为不可用的状态时OneAuth将无法连接到AD。

用户匹配规则

用户匹配规则用于指定一个规则,当OneAuth扫描到AD账号时(该AD账号未关联OneAuth用户),根据该规则进行AD账号与OneAuth账号的匹配。

匹配的规则包括:

  • 账号与UPN匹配:使用AD用户的UPN与OneAuth用户账号进行匹配判定
  • 账号与SAMAcount Name匹配:使用AD用户的SAMAcountName与OneAuth用户账号进行匹配判定
  • 邮箱匹配:使用AD用户和OneAuth用户的邮箱进行匹配判定
  • 手机号匹配:使用AD用户和OneAuth用户的手机号进行匹配判定

判断结果包括:

  • 已匹配 :根据规则在OneAuth匹配到了用户(账号未关联过其它AD账号);
  • 未匹配 :根据规则在OneAuth未匹配到用户

匹配到用户时,将可以对AD账号和OneAuth账号进行关联的操作。 未匹配到用户时,将可以根据该AD账号在OneAuth创建新的账号。

扫描配置

  • 自动扫描,设定由 OneAuth 定时扫描 AD 。
  • (扫描用户时)自动关联完全匹配的用户
    • 若开启,则OneAuth将自动关联(已匹配的)OneAuth和AD账号
    • 若未开启,则将扫描到的(已匹配到OneAuth账号的)AD账号及处理建议将在账号导入列表中展示,由管理员斟酌处理。
  • (扫描用户时)自动创建未匹配的用户
    • 若开启,则OneAuth将根据AD账号自动创建(未匹配的)OneAuth账号
    • 若未开启,则将扫描到的(未匹配到OneAuth账号的)AD账号及处理建议将在账号导入列表中展示,由管理员斟酌处理。

认证与登录

委托AD代理认证开启时:

  • 如果用户已有OneAuth账号并且已经关联了AD账号,则用户可以在OneAuth的登录页面中使用OneAuth账号、AD的密码进行登录;
  • 否则,用户使用AD的UPN和密码登录OneAuth,身份认证成功后,OneAuth取得用户的AD账号信息。
    • 如果根据规则在OneAuth匹配到了账号(账号未关联过其它AD账号),并且开启了自动关联OneAuth用户,则会自动地将该AD账号与OneAuth账号进行关联;
    • 如果根据规则在OneAuth未匹配到用户,并且开启了自动创建用户,则会自动在OneAuth中创建新账号并与该AD账号关联。

在使用委托AD代理认证功能时,请务必启用AD服务器中的AD CS服务(AD的数字证书服务),否则用户无法通过OneAuth修改密码。

继承源

继承源 是OneAuth中提供管理账号属性的重要方式, 当IdP被设置成为继承源后,与该IdP相关联的账号属性将始终以IdP为准。

在AD类型的IdP中,若开启了以Active Directory 为继承源,OneAuth将使关联了AD的账号属性始终与AD同步。

在开启以Active Directory 为继承源后,还可以通过配置使OneAuth账号状态和与之相关联的AD账号状态进行联动更新,配置页面如下图所示。

导入AD账号

将AD的账号导入到OneAuth:

  • 打开AD详情页的账号导入tab,点击扫描 扫描到的AD账号数据将以列表的形式展示。

  • 选择要导入的账号,然后点击导入账号

  • 点击确认导入在OneAuth中创建和关联账号,完成导入操作。