AD基础介绍简介Active Directory（活动目录）是微软 Windows Server 中负责架构中大型网络环境的集中式目录管理服务，可以管理域内的计算机、用户服务、网络资源、资源权限等。绑定AD在【快速入门】或【身份提供方】中，单击【绑定AD】，即可开始绑定 AD 流程。第一步：连接AD在第一步中，您需要在 IDaaS 中填写以下信息：显示名称：用户在登录、使用 IDaaS 时可能看到。网络端点：如果您希望只有 IDaaS 可以请求该 AD，请在服务器中配置 IP 白名单。共享端点使用共享的、固定的公网出口 IP，专属端点使用专属的、自定义的私网出口 IP 和公网出口 IP。通过专属端点，IDaaS 可以通过私网访问您的阿里云 VPC，从而免开公网端口访问您的 AD，详见：网络端点服务器地址：AD 所在的服务器地址，AD 一般使用 389 端口，如 127.0.0.1:389。开启 ldaps 或 StartTLS 时一般使用 636 端口。ldaps/StartTLS：开启后可以大幅提高连接的安全性，推荐开启。请在 AD安全性配置中了解如何开启。管理员账户：IDaaS 使用该 AD 管理员账户读取 AD 信息来完成数据同步或委托认证，该账户需要至少拥有读取权限，支持使用 UPN 格式（[email protected]）和 DN 格式（cn=admin,ou=技术部,dc=example,dc=com）。管理员密码：该账户的登录密码。第二步：选择场景在第二步中，选择希望和 AD 实现的场景能力。能力说明同步方向：同步来源所选的 AD 的用户/组织数据将会导入到 IDaaS 的这个节点之下。【来源节点】需要填写 AD 节点的 DN，AD 根节点的 DN 一般为 dc=example,dc=com（即您的域）。增量同步：IDaaS 将监听 AD 的用户/组织数据，每 10 分钟左右执行一次同步，将有变动的数据导入到 IDaaS 中。如果单次增量同步的数据量较大，可能会延迟处理。建议定期执行一次全量同步，以确保对齐两边数据。您可以在字段映射中设置映射标识，使用 IDaaS 账户的某个字段（如手机号）与 AD 用户的某个字段（如手机号）进行匹配，如果匹配成功，将绑定并覆盖更新；否则将创建 IDaaS 账户。在首次进行增量同步时，将自动执行一次全量同步。如果单条账户数据无法导入，不影响其他数据导入。失败信息可在【同步日志】中查看。需要开启 AD 回收站才可接收 AD 删除类型的事件的消息。请在 增量同步中了解如何开启。委托认证：用户可以使用 AD 用户/密码登录到 IDaaS，自动更新密码：用户通过 AD 委托认证到 IDaaS 时，如果 IDaaS 账户的密码为空，则更新为 AD 用户的密码。AD 密码需满足 IDaaS 密码策略的要求，否则将无法自动更新。高级配置用户/组织ObjectClass：通过 ObjectClass 可以定义哪种类型的对象是用户/组织，例如将查询结果中 ObjectClass=user 的对象视作用户。一般无需修改。用户登录标识：用户在使用 AD 委托认证登录 IDaaS 时，IDaaS 将根据这些属性去 AD 中查询用户并匹配密码，密码正确则允许用户登录 IDaaS。可以使用半角逗号对多个属性进行分割，此时为或关系，即可以使用任一属性登录。请确保多个属性对应同一个 AD 用户，否则将无法登录。用户filter过滤：如果您需要筛选分散在不同组织中的部分用户同步到 IDaaS，您可以自定义 filter 语句，只有满足条件的用户才可同步到 IDaaS。Filter 语句默认包含且关系的 ObjectClass 条件，您可以单击【查看详情】查看完整的语句。更多注意事项和常见用法请查看Filter过滤。第三步：字段映射如果您在 IDaaS 中已存在存量数据，需要 AD 用户/组织和 IDaaS 账户/组织绑定，或者希望使用 AD 中用户的某些字段数据作为 IDaaS 账户的数据，例如将 AD 用户的手机号作为 IDaaS 账户的账户名，则需要在第三步配置字段映射。如需使用映射标识能力，需手动单击启用，如下图的手机字段。更多字段映射的说明请查看文档 字段映射。AD安全性配置默认情况下，LDAP 在传输数据时不加密且不受保护，存在明文数据被窃取的风险。使用 ldaps 或 StartTLS 可以有效提高数据传输的安全性。在 AD 中配置证书后，即可在 IDaaS 中使用 ldaps 或 StartTLS，强烈建议您开启。在【服务器管理器】中完成安装角色、升级为域服务器、添加证书（签名算法请使用 SHA256）等流程后，即可完成证书的配置。在配置完证书后，您可以在 IDaaS 中一键获取证书指纹，建立 IDaaS 对 AD 证书的信任关系，降低伪造证书的风险。AD个性化配置ObjectClassAD 中的 ObjectClass 是 attribute 的集合，每个对象都必须拥有 ObjectClass。可以通过 ObjectClass 定义一个对象是用户、组织或计算机等，例如针对下图的用户，通过过滤语句（objectclass=person）、（objectclass=user）都可以找到该用户。在 AD 对象的【属性】中可以查看 ObjectClass。登录标识用户在使用 AD 委托认证登录 IDaaS 时，IDaaS 将根据这些属性去 AD 中查询用户并匹配密码，密码正确则允许用户登录 IDaaS。一般可以使用 userPrincipalName、sAMAccountName、手机号、邮箱、工号等属性用于登录，如有需要可在创建时或【委托认证】中定义。如果使用多个属性，请确保属性的唯一并对应同一个 AD 用户，否则用户将无法使用委托认证。Filter过滤基础介绍如果您需要筛选分散在不同组织中的部分用户同步到 IDaaS，您可以自定义 filter 语句，只有满足条件的用户才可同步到 IDaaS。Filter 语句默认包含且关系的 ObjectClass 条件，您可以单击【查看详情】查看完整的语句。以下是 AD Filter 常用的语法和语句。常用语法运算符含义示例=相等(cn=Alice)>=大于等于(pwdLastSet>=1319563845000000000)<=小于等于(sAMAccountName<=a)&且关系，必须满足全部条件(&(cn=CN*)(memberOf=cn=Test,ou=HQ,dc=Domain,dc=com))|或关系，必须满足任一条件(|(cn=Test*)(cn=Admin*))!非关系，必须不满足全部条件(!(memberOf=cn=Test,ou=HQ,dc=Domain,dc=com))常用语句场景示例用户名以“CN”开头(cn=CN*)指定邮箱的用户(|(proxyAddresses=*:[email protected])([email protected]))指定组的用户(memberOf=cn=Test,ou=HQ,dc=Domain,dc=com)AD同步配置获取 Base DNBase DN 是 AD 中某个节点的路径标识，IDaaS 只会在该节点下执行查询和数据同步等操作。您可以在【同步方向】中设置来源节点的 Base DN。DN 的格式为：ou=某组织,dc=example,dc=com，根节点的 DN 一般为 dc=example,dc=com（即您的域）。您也可以在 AD 管理中心中直接查看节点的 DN，如下图所示：另外，当节点的路径有变化时，节点的 Base DN 也会有变化，为避免节点路径调整导致 AD 数据同步出错，您在 IDaaS 中配置同步来源节点的 Base DN 时，IDaaS 也会将该节点的 ObjectGuid 作为节点指纹，当节点的 Base DN 有变动导致和节点指纹不匹配时，将阻断数据同步行为。重新配置来源节点后即可正常同步。增量同步IDaaS 将监听 AD 的用户/组织数据，每 10 分钟左右执行一次同步，将有变动的数据导入到 IDaaS 中。如果单次增量同步的数据量较大，可能会延迟处理。建议定期执行一次全量同步，以确保对齐两边数据。由于 AD 增量同步的限制，IDaaS 需要通过 AD 回收站才可获取删除类型的事件的消息，您需要在【AD 管理中心】中开启回收站功能（Windows Server 2012 以上版本支持）。