活动目录验证模块
活动目录身份验证模块允许用户使用存储在目录服务中的凭据登录 Hub 及其任何连接的服务。 此身份验证模块已为 Microsoft 活动目录预配置。 您可以配置模块使用标准 LDAP 协议或基于 SSL 的 LDAPS。
活动目录身份验证模块不会从目录服务导入所有用户帐户。 Hub 只会在未注册用户首次登录 Hub 或已连接服务时创建用户帐户。
启用活动目录身份验证后,Hub 会在每次登录尝试时检查目录服务。 已从目录服务中移除的用户无法登录 Hub。
先决条件
如果您希望通过 SSL 连接到目录服务,请在启用身份验证模块之前导入活动目录服务的受信任 SSL 证书。 如果 SSL 证书和根 CA 证书之间存在任何中间证书,您需要上传包含完整证书链的文件。
在活动目录身份验证模块设置中,不支持导入受信任 SSL 证书的选项。 相反,您需要访问 Trusted SSL Certificates (信任的 SSL 证书) 页面并在那里导入。 有关详细信息,请参阅 受信任 SSL 证书 主题。
启用活动目录身份验证
如需让 Microsoft 活动目录中存储的用户可以登录 Hub,请启用活动目录身份验证模块。
启用活动目录身份验证:
在 Access Management (权限管理) 部分的 Administration (行政) 菜单中,选择 。
点击 New module (新模块) 按钮。
Select an identity provider (选择身份提供商) 对话框打开。
在 Select an identity provider (选择身份提供商) 对话框中,选择 Active Directory。
New Active Directory Module (新的活动目录模块) 对话框将打开。
在 New Active Directory Module (新的活动目录模块) 对话框中,输入以下设置的值:
设置
描述
名称
输入身份验证模块的名称。
服务器
请输入目录服务的服务器地址。 若要通过 SSL 连接,请将地址中的协议部分更改为
ldaps。端口
输入用于与目录服务通信的端口号。
标准 LDAP 的默认端口为
389。LDAPS 的默认端口为
636。
SSL
选择此选项以通过 SSL 连接到目录服务。 在建立安全连接之前,您需要为 LDAPS 服务器导入受信任的 SSL 证书。 有关说明,请参阅 受信任 SSL 证书 主题。
搜索基础
输入定义存储用户帐户的顶层 LDAP DN 的域组件。 例如,如果您的公司使用的域为
mycompany.com,请输入顶层 LDAP DNdc=mycompany,dc=com。在此字段中输入的值会添加到 LDAP URL,并且不能包含不安全的字符。
如果您使用组织单元管理用户,请为每个组织创建单独的身份验证模块。 在搜索基础中包含组织单元,为每个模块创建唯一的 LDAP URL。 LDAP 身份验证模块不支持在 LDAP 树中的递归搜索。
点击 Create (创建) 按钮。
活动目录身份验证模块已创建。 模块的当前状态显示在标题中模块名称旁。
Auth Modules (身份验证模块) 页面显示活动目录身份验证模块的设置。 模块已根据您在 Add Module (添加模块) 对话框中提供的信息预配置了标准设置。 有关该页面设置的更多信息,请参阅 设置 部分。
完成设置:
配置身份验证模块的可选设置。 如需详细信息,请参阅 其他设置。
点击 Save (保存) 按钮以应用设置。
点击 Enable (启用) 按钮。
活动目录身份验证模块已启用。
活动目录图标已添加到登录对话窗口。 用户可点击该图标,使用其活动目录凭据登录 IDE Services Cloud。
测试与您的活动目录服务的连接
要验证活动目录身份验证模块是否已连接到您的活动目录服务,请测试连接。
测试连接:
点击 Test login (测试登录) 按钮。
在 Test Authentication (测试身份验证) 对话框中,输入存储在您的活动目录服务中的用户的凭据:
在 用户名 字段中,输入
domainusername。在 密码 字段中,输入
password。
点击 Test login (测试登录) 按钮。
Hub 在活动目录服务中搜索指定的用户帐户。 如果找到用户,会显示成功通知。 如遇错误,请检查您的用户凭据和服务器 URL。
设置
使用以下设置可以微调与目录服务的连接。
字段 | 描述 | ||||||
|---|---|---|---|---|---|---|---|
类型 | 显示在 Hub 中启用第三方身份验证的目录服务类型。 | ||||||
名称 | 存储身份验证模块的名称。 通过此设置可将该模块与 Auth Modules (验证模块) 列表中的其他身份验证模块区分开。 该名称还会显示在登录表单支持的身份验证提供商列表中。 | ||||||
服务器 URL | 存储用于在 Hub 中验证登录请求的目录服务 LDAP URL。 LDAP URL 使用格式 | ||||||
SSL 密钥 | 选择可用于向目录服务验证您的 Hub 安装身份的 SSL 密钥。 仅当您的目录服务需要客户端 SSL 验证时,才需要使用此设置。 有关在 Hub 中管理 SSL 密钥的更多信息,请参阅 受信任 SSL 证书。 | ||||||
绑定账号 | 决定用于 LDAP 绑定请求的帐户。 如需详细信息,请参阅 绑定帐户选项。 | ||||||
绑定 DN | 存储与目录服务绑定所用的值。 如需详细信息,请参阅 绑定帐户选项。 | ||||||
筛选 | 存储用于在 LDAP 服务中定位特定用户记录的表达式。 表达式中的替换变量会被输入到登录页面的用户名或邮箱值替换。 | ||||||
LDAP 转介 | 确定 LDAP 身份验证模块是否忽略或跟随服务端请求,以在 LDAP 目录中查找额外信息。
| ||||||
LDAP 账户状态 | 决定当具有相应凭据的帐户状态在活动目录服务中更新时,Hub 是否同步更新用户帐户状态。
该设置可用的选项如下:
如果身份验证模块的 Bind account (绑定账号) 设置为 Fixed (已修正) 且 Synchronization (同步) 设置为 On (开) ,则帐户状态会按照预设的时间间隔更新。 否则,帐户状态仅在用户尝试通过 Hub 使用其活动目录帐户登录应用程序时进行同步。 | ||||||
同步 | 决定与目录服务同步用户帐户凭据和组成员关系的频率。 您可以从三个预定义的间隔中选择一个:
您还可以通过点击 Synchronize now (立即同步) 按钮,随时手动将 Hub 数据库与目录服务同步。 Full Name (完整名称)、 Username (用户名) 和 Email (电子邮箱) 在 Hub 配置文件中存储的值会在首次创建用户帐户时填充,通常是在新用户首次使用其 Okta 帐户登录 Hub 时。 对这些属性在 Okta 配置文件的后续更改不会同步到 Hub 配置文件。 这些更改会与其 Okta 凭据关联的相应属性同步。 该信息会显示在 Hub 配置文件的 Credentials (凭据) 部分的 Account Security (帐户安全) 选项卡中。 该同步适用于在 Attribute Mapping (属性映射) 设置和在 Group Mappings (群组映射) 选项卡上配置的组成员关系中配置的属性。 有关详情,请参阅 属性映射 和 群组映射。 当同步为 Off (禁用) 时,组成员关系和帐户状态仍会在登录时按用户同步。 要详细了解此功能,请参阅 群组映射。 Synchronization (同步) 选项仅在 Bind account (绑定账号) 设置为 Fixed (已修正) 时可用。 这使 Hub 能够以绑定帐户所有者身份搜索目录服务。 仅当身份验证模块为 Enabled (启用) 时,同步功能才可用。 |
绑定帐户选项
您可以通过以下两种方式之一将模块配置为与活动目录服务执行绑定请求。 所用的方法取决于选定的 Bind account (绑定账号) 设置选项。
用于 Bind DN (绑定 DN) 设置的值取决于为 Bind account (绑定账号) 设置选择的选项。 请参考下列准则来设置 Bind DN (绑定 DN) 的值:
选项 | 描述 | 绑定 DN 设置准则 |
|---|---|---|
已修正 | 使用固定帐户绑定到 LDAP 服务,并代表绑定用户搜索需要验证的用户。 通过此选项,您可以设置 LDAP 身份验证模块,并仍然使用不属于识别名 (DN) 的登录名称,如邮箱地址或令牌。 该方法通常也称为 搜索 + 绑定或 两步验证。 要使用此方法,您需要一个目录服务器上的特殊帐户,该帐户有权限在目录服务中查找其他用户帐户。 | 输入您要用于 LDAP 绑定请求的用户帐户的完整 DN。 该帐户必须有权限在目录服务中查找其他用户帐户。 使用 Change password (修改密码) 控件在 Hub 中存储此帐户的密码。 绑定用户的密码将以明文形式的加盐哈希值存储。 |
动态 | 根据登录信息推导用户 DN,并以该用户身份直接绑定到 LDAP 服务。 该方法通常也称为 直接绑定。 | 使用查询与目录服务进行绑定。 此查询会查找要认证用户的识别名(DN)。 使用表达式引用用户名。 该表达式将替换变量映射到存储在目录服务中的用户名属性。 您选择的属性决定在筛选字符串中使用哪个查询。 在登录页面输入的用户名会在替换替换变量前进行修剪。 如果用户指定了域名,则会被丢弃。 例如,一个用户名为 |
属性映射
当 Hub 在 LDAP 服务中找到与筛选器匹配的记录时,会从每个字段指定的 LDAP 属性中获取值,并将其复制到 Hub 的用户资料中。 请使用以下设置定义筛选条件,并将存储在目录服务中的属性映射到 Hub 中的用户账户。
字段 | 描述 |
|---|---|
用户名 | 必填。 映射到存储在 LDAP 属性中的值,该值会被复制到 Hub 用户资料中的 Username (用户名) 字段。 对于活动目录,默认值为 |
全名 | 映射到存储在 LDAP 属性中的值,该值会被复制到 Hub 用户资料中的 Full name (全名) 字段。 |
电子邮箱 | 映射到存储在 LDAP 属性中的值,该值会被复制到 Hub 用户资料中的 Email (电子邮箱) 字段。 |
VCS 用户名 | 映射到存储在 LDAP 属性中的值,该值会被复制到 Hub 用户资料中的 VCS username (VCS 用户名) 字段。 |
分组 | 映射到存储在已连接目录服务中的 LDAP 属性,该属性保存组成员分配信息。 指定该值后,可以将目录服务中的组成员关系与 Hub 中的相应组进行映射和同步。 有关详细信息,请参阅 群组映射。 |
帐户已过期 | 映射到已连接目录服务中保存账户过期日期的 LDAP 属性。 |
帐户已禁用 | 映射到已连接目录服务中保存用户账户被禁用日期的 LDAP 属性。 |
锁定阈值 | 映射到保存允许用户连续登录失败次数上限的 LDAP 属性,超过后账号将被锁定。 |
锁定时间 | 映射到保存账号因超过最大锁定阈值被封锁的日期和时间的 LDAP 属性。 |
锁定持续时间 | 映射到保存用户在超过锁定阈值后被阻止登录账户的时长的 LDAP 属性。 |
其他设置
以下选项位于页面底部。 使用这些设置可管理 Hub 账户创建、组成员关系和连接选项。
选项 | 描述 |
|---|---|
用户创建 | 允许未注册的用户使用已连接目录服务中保存的账户登录 Hub 时创建账号。 Hub 会使用电子邮件地址确定用户是否已有账户。 所有 LDAP 身份验证模块必须允许用户创建。 如果拒绝创建用户,则未注册用户会看到错误提示。 |
自动加入组 | 当用户使用已连接目录服务中的账户登录时,将其加入某个组。 您可以选择一个或多个群组。 新用户自动加入群组后,将继承分配给该组的所有权限。 建议您至少为用户分配一个群组。 否则,新用户仅获得当前分配给 All Users (所有用户) 群组的权限。 |
连接超时 | 设置建立到授权服务连接的等待时间。 默认设置为 5000 毫秒(5 秒)。 |
读取超时 | 设置从授权服务读取和获取用户资料数据的等待时间。 默认设置为 5000 毫秒(5 秒)。 |
审核 | 链接到 Hub 中的 Audit Events (审核事件) 页面。 在此,您可以查看对该身份验证模块应用的更改列表。 |
群组映射
在 Group Mappings (群组映射) 选项卡中,您可以将活动目录服务中已有的群组映射到 Hub 的群组。
如果您想将活动目录服务中的群组映射到 Hub 群组,则需要在本认证模块设置的 Attribute Mapping (属性映射) 部分指定保存 LDAP 群组成员关系的 Groups (分组) 属性。
配置群组映射后,当用户使用目录服务中管理的账户登录时,Hub 将检查其活动目录群组成员关系。 针对每个映射的 LDAP 群组,Hub 会执行以下操作:
属于已映射活动目录群组但不属于已映射 Hub 群组的用户将被添加到 Hub 中的该群组。
不属于已映射活动目录群组但属于已映射 Hub 群组的用户将从 Hub 中的该群组移除。
此行为取决于 Synchronization (同步) 设置的当前值。
当 Synchronization (同步) 设置为 On (开) 时,这些操作按预定计划执行。
当 Off (禁用) 时,仅在用户通过活动目录验证模块登录时才会将活动目录服务中的群组成员关系同步到 Hub。
计划同步功能仅在 Bind account (绑定账号) 选项为 Fixed (已修正) 时可用。 如果 Bind account (绑定账号) 选项为 Dynamic (动态) ,则群组成员关系仅在用户登录时同步。
您可以将多个活动目录群组映射到 Hub 的同一个目标群组。 不能将活动目录群组映射到多个 Hub 群组。
将活动目录组映射到 Hub 组:
打开您的活动目录身份验证模块。
选择 Group Mappings (群组映射) 选项卡。
点击 Add mapping (添加映射) 按钮。
Add Mapping (添加映射) 对话框将打开。
在 LDAP group name (LDAP 组名) 字段中输入活动目录群组名称。
如果 Bind account (绑定账号) 选项设置为 Fixed (已修正) ,则认证模块会使用绑定账户查找目录服务中的群组。 可用群组显示在 LDAP group name (LDAP 组名) 列表中。
如果 Bind account (绑定账号) 选项设置为 Dynamic (动态) ,则绑定账户无法获取目录服务中的群组列表。 为了成功映射群组,您需要输入群组在目录服务中出现的完整 DN。
从 Target group (目标组) 列表中选择一个群组。
点击 Add (添加) 按钮。
该映射已加入列表。
操作
页眉中可用的操作如下:
操作 | 描述 |
|---|---|
设为默认 | 将该身份验证模块设为您安装实例的默认模块。 任意时刻只能有一个身份验证模块被设为默认。 如果当前有其它模块被设为默认,则该状态将被清除。 仅当当前身份验证模块不是默认模块时才会显示此选项。 |
清除默认 | 将该身份验证模块从您安装实例的默认模块中移除。 如无可用身份验证模块被设为默认,未认证用户将始终被重定向至 Hub 登录页面。 仅当当前身份验证模块被设为默认时才会显示此选项。 |
禁用模块 | 禁用该身份验证模块。 仅当身份验证模块当前已启用时才会显示此选项。 |
启用模块 | 启用该身份验证模块。 仅当身份验证模块当前被禁用时才会显示此选项。 |
测试登录 | 允许您输入用户名和密码以测试与身份验证服务的连接。 |
删除模块 | 将身份验证模块从 Hub 中移除。 仅在您已配置其他身份验证模块以允许用户登录到 Hub 的情况下使用。 |
示例配置
使用以下模式可通过 LDAP 协议配置活动目录身份验证模块:
设置 | 值 |
|---|---|
服务器 URL |
|
绑定 DN |
|
筛选 |
|
使用以下模式可通过 SSL 安全连接配置活动目录身份验证模块:
设置 | 值 |
|---|---|
服务器 URL |
|
绑定 DN |
|
筛选 |
|
疑难解答
如果您遇到此身份验证模块的问题,请查看是否符合以下条件。
条件 — 群组成员关系未能正确与目录服务同步或同步不一致。
原因 | 解决方案 |
|---|---|
Hub 用户账户存储了由目录服务管理的多个账户凭据。 已链接目录服务中的这些账户属于不同的群组集合。 如果 Hub 用户有多个由已链接目录服务管理的账户,群组成员同步可能会出现不可预期的行为。 同步作业会先应用查找到的第一个账户的群组成员分配,如果后续账户有不同的群组分配,则会更新这些分配。 | 您可以通过执行下列任一步骤解决此问题:
|