LDAP 身份验证模块
LDAP 身份验证模块允许用户使用存储在目录服务中的凭据登录 Hub 及任何已连接的服务。 此身份验证模块为 LDAP 预配置。 您可以将模块配置为使用标准 LDAP 协议或基于 SSL 的 LDAPS。
LDAP 身份验证模块不会从目录服务导入所有用户帐户。 仅当未注册用户首次登录 Hub 或已连接服务时,Hub 才会创建用户帐户。
启用 LDAP 身份验证后,Hub 会在每次登录尝试时检查目录服务。 已从目录服务移除的用户无法登录 Hub。
先决条件
如果要通过 SSL 连接到目录服务,请在启用身份验证模块前导入 LDAPS 服务器的受信任 SSL 证书。 如果 SSL 证书与根 CA 证书之间有中间证书,您需要上传包含完整证书链的文件。
LDAP 身份验证模块设置中不支持导入受信任的 SSL 证书。 请转到 Trusted SSL Certificates (信任的 SSL 证书) 页面并在该处导入。 有关详细信息,请参见 受信任的 SSL 证书。
启用 LDAP 身份验证
如需允许目录服务中存储的用户登录 Hub,请启用 LDAP 身份验证模块。
启用 LDAP 身份验证:
在 Access Management (权限管理) 部分的 Administration (行政) 菜单中,选择 。
点击 New module (新模块) 按钮。
Select an identity provider (请选择身份提供商) 对话框将打开。
在 Select an identity provider (请选择身份提供商) 对话框中,选择 LDAP。
New LDAP Auth Module (新 LDAP 身份验证模块) 对话框将打开。
在 New LDAP Auth Module (新 LDAP 身份验证模块) 对话框中,输入以下设置的值:
设置
描述
名称
输入身份验证模块的名称。
服务器
输入目录服务的服务器地址。 如需通过 SSL 连接,请将地址的协议部分更改为
ldaps。端口
输入用于与目录服务通信的端口号。
标准 LDAP 的默认端口为
389。LDAPS 的默认端口为
636。
SSL
启用此选项以通过 SSL 连接到目录服务。 在建立安全连接之前,需为您的 LDAPS 服务器导入受信任的 SSL 证书。 有关说明,请参见 受信任的 SSL 证书。
搜索基准
输入定义用户帐户存储的顶级 LDAP DN 的域组件。 例如,如果您的公司域为
mycompany.com,请输入顶级 LDAP DNdc=mycompany,dc=com。此字段中存储的值会添加到 LDAP URL 中,不能包含不安全字符。
如果您使用组织单元管理用户,请为每个组织创建单独的身份验证模块。 请在搜索基准中包含组织单元,以为每个模块创建唯一的 LDAP URL。 LDAP 身份验证模块不支持对 LDAP 树进行递归搜索。
点击 Create (创建) 按钮。
LDAP 身份验证模块已创建。 模块当前状态显示在标题中模块名称旁。
Auth Modules (身份验证模块) 页面显示 LDAP 身份验证模块的设置。 模块已根据您在 Add Module (添加模块) 对话框中提供的信息预配置为标准设置。 关于本页设置的更多信息,请参见 设置 部分。
完成设置:
配置身份验证模块的可选设置。 如需详细信息,请参阅 其他设置。
点击 Save (保存) 按钮以应用设置。
点击 Enable (启用) 按钮。
LDAP 身份验证模块已启用。
存储在 Button image (按钮图像) 设置中的图标已添加到登录对话窗口。 用户可以点击此图标,使用 LDAP 凭据登录 Hub。
测试与您的目录服务的连接
如需验证 LDAP 身份验证模块是否已连接到您的目录服务,请测试连接。
测试连接:
点击 Test login (测试登录) 按钮。
在 Test Authentication (测试身份验证) 对话框中,输入存储在您的目录服务中的用户的凭据:
在 用户名 字段中,输入
domainusername。在 密码 字段中,输入
password。
点击 Test login (测试登录) 按钮。
Hub 会在目录服务中搜索指定的用户帐户。 如果找到用户,则会显示成功通知。 如出现错误,请检查您的用户凭据和服务器 URL。
设置
使用以下设置可优化与您的目录服务的连接。
字段 | 描述 | ||||||
|---|---|---|---|---|---|---|---|
类型 | 显示已启用第三方身份验证的目录服务类型。 | ||||||
名称 | 存储身份验证模块的名称。 使用此设置可将本模块与 Auth Modules (身份验证模块) 列表中的其他身份验证模块区分开来。 该名称也会显示在登录表单支持的身份验证提供商列表中。 | ||||||
服务器 URL | 存储用于在 Hub 中身份验证登录请求的目录服务的 LDAP URL。 LDAP URL 使用格式 | ||||||
SSL 密钥 | 选择可用于向 LDAP 服务验证 Hub 实例身份的 SSL 密钥。 仅当您的 LDAP 服务要求客户端 SSL 身份验证时才需使用此设置。 该列表仅显示已导入到 Hub 的密钥库。 有关详细信息,请参见 SSL 密钥。 | ||||||
绑定账号 | 确定用于 LDAP 绑定请求的帐户。 如需详细信息,请参阅 绑定帐户选项。 | ||||||
绑定 DN | 存储用于绑定到目录服务的值。 如需详细信息,请参阅 绑定帐户选项。 | ||||||
筛选 | 存储用于在 LDAP 服务中定位特定用户记录的表达式。 表达式中的替换变量会被登录页输入的用户名或邮件地址替换。 | ||||||
LDAP 转介 | 确定在 LDAP 验证模块中忽略还是处理来自服务的请求,以在 LDAP 目录中查找其他信息。
| ||||||
LDAP 账户状态 | 确定在连接的目录服务中删除具有相应凭据的帐户时,Hub 是否会更新用户帐户状态。
此设置有以下可用选项:
仅当身份验证模块的 Bind account (绑定账号) 设置为 Fixed (已修正) 时,此设置才可用。 如果 Synchronization (同步) 设置为 On (开) ,帐户状态会按预定义时间间隔更新。 否则,仅当用户试图通过 Hub 使用其 LDAP 帐户登录应用时,才同步帐户状态。 | ||||||
同步 | 确定用户帐户凭据及组成员身份与目录服务同步的频率。 您可选择三种预定义间隔之一:
您还可以随时点击 Synchronize now (立即同步) 按钮,手动同步 Hub 数据库与目录服务的数据。 Hub 配置文件中存储的 Full Name (完整名称)、 Username (用户名) 和 Email (电子邮箱) 的值会在用户帐户首次创建时填充,通常是新用户通过其 Okta 帐户首次登录 Hub 时。 后续 Okta 配置文件中这些属性的更改不会同步到 Hub 配置文件。 这些更改会同步到与其 Okta 凭据关联的属性。 这些信息显示在 Hub 配置文件的 Credentials (凭据) 部分的 Account Security (账户安全) 选项卡中。 此同步适用于 Attribute Mapping (属性映射) 设置中配置的属性和 Group Mappings (群组映射) 选项卡中配置的组成员身份。 详情请参见 属性映射 和 群组映射。 当同步为 Off (禁用) 时,在登录期间,组成员身份和帐户状态仍将按用户同步。 了解有关此功能的更多信息,请参见 群组映射。 仅当 Bind account (绑定账号) 设置为 Fixed (已修正) 时,才可用 Synchronization (同步) 选项。 这允许 Hub 以绑定帐户所有者身份在目录服务中进行搜索。 仅当身份验证模块为 Enabled (启用) 时,同步功能才处于激活状态。 |
绑定帐户选项
您可以通过两种方式之一配置模块与 LDAP 服务的绑定请求。 所用方法取决于为 Bind account (绑定账号) 设置选择的选项。
为 Bind DN (绑定 DN) 设置所用的值取决于为 Bind account (绑定账号) 设置所选的选项。 请使用以下指南为 Bind DN (绑定 DN) 设置值:
选项 | 描述 | 绑定 DN 设置指南 |
|---|---|---|
已修正 | 使用指定账户绑定至 LDAP 服务,并代表绑定用户搜索需进行身份验证的用户。 使用此选项,您可以设置 LDAP 身份验证模块,并仍能使用不属于专有名 (DN) 的登录名(如电子邮件地址或令牌)。 此方法通常称为 搜索 + 绑定 或 两步身份验证。 要使用此方法,您需要一个具有查找目录服务中其他用户帐户权限的特殊账号。 | 输入您要用于 LDAP 绑定请求的用户帐户的完整 DN。 此账号必须具有查找目录服务中其他用户帐户的权限。 使用 Change password (修改密码) 控件将该帐户的密码存储到 Hub。 绑定用户的密码会以明文值的加盐哈希形式存储。 |
动态 | 根据登录信息派生用户DN,并尝试以该用户身份直接绑定到LDAP服务。 此方法通常也称为 直接绑定。 | 使用查询与目录服务绑定。 该查询会查找要进行身份验证的用户的识别名。 用表达式引用用户名。 该表达式将替换变量映射到目录服务中存储用户名的属性。 您选择的属性决定了在筛选字符串中使用哪个查询。 在登录页面输入作为用户名的值会在替换变量前进行修剪。 如果用户指定了域名,则会被丢弃。 例如,用户名为 |
属性映射
当 Hub 在 LDAP 服务中找到与筛选器匹配的记录时,会从为每个字段指定的 LDAP 属性中提取值,并将这些值复制到 Hub 的用户资料中。 请使用以下设置来定义筛选条件,并将您目录服务中存储的属性映射到 Hub 用户账户中。
字段 | 描述 |
|---|---|
用户名 | 必填。 映射到LDAP属性,该属性存储要复制到Hub资料中 Username (用户名) 字段的值。 对于LDAP,默认值为 |
全名 | 映射到LDAP属性,该属性存储要复制到Hub资料中 Full name (全名) 字段的值。 |
电子邮箱 | 映射到LDAP属性,该属性存储要复制到Hub资料中 Email (电子邮件) 字段的值。 |
VCS 用户名 | 映射到LDAP属性,该属性存储要复制到Hub资料中 VCS username (VCS 用户名) 字段的值。 |
分组 | 映射到已连接目录服务中存储组成员分配的 LDAP 属性。 指定该值后,可以将目录服务中的组成员关系与 Hub 中的相应组进行映射和同步。 有关详细信息,请参阅 群组映射。 |
帐户已过期 | 映射到连接目录服务中存储帐户到期日期的 LDAP 属性。 |
帐户已禁用 | 映射到连接目录服务中存储用户帐户被禁用日期的 LDAP 属性。 |
锁定阈值 | 映射到存储用户在帐户被锁定前允许登录失败次数的 LDAP 属性。 |
锁定时间 | 映射到当帐户因超过最大锁定阈值被阻止时,存储日期和时间的 LDAP 属性。 |
锁定持续时间 | 映射到用户超过锁定阈值后,被阻止登录帐户的时长的 LDAP 属性。 |
其他设置
以下选项位于页面底部。 使用这些设置管理 Hub 帐户创建、组成员关系和连接选项。
选项 | 描述 |
|---|---|
用户创建 | 允许用在已连接目录服务中存储的账户登录的未注册用户创建 Hub 帐户。 Hub 通过电子邮件地址判断用户是否已有现有帐户。 所有 LDAP 身份验证模块都必须允许用户创建。 如果禁止用户创建,未注册用户将看到一个错误。 |
自动加入组 | 当用户使用已连接目录服务中的账号登录时,将其添加到某一组。 您可以选择一个或多个组。 自动加入组的新用户会继承分配给该组的所有权限。 建议您至少将用户添加到一个组中。 否则,新用户只会获得当前分配给 All Users (所有用户) 组的权限。 |
连接超时 | 设置建立与授权服务连接时的超时时长。 默认设置为 5000 毫秒(5 秒)。 |
读取超时 | 设置从授权服务读取和检索用户资料数据的等待时间。 默认设置为 5000 毫秒(5 秒)。 |
审核 | 链接到Hub中的 Audit Events (审核事件) 页面。 在此,您可以查看应用于此身份验证模块的更改记录列表。 |
群组映射
在 Group Mappings (群组映射) 选项卡中,您可以将LDAP服务中现有的组映射到Hub中的组。
如果您想将LDAP组映射到Hub组,需要在本认证模块的设置的 Attribute Mapping (属性映射) 部分指定存储LDAP组成员信息的 Groups (分组) 属性。
配置组映射后,用户使用目录服务管理的账号登录时,Hub 会检查 LDAP 组成员关系。 对于每个映射到 Hub 组的 LDAP 组,Hub 会执行以下操作:
属于已映射 LDAP 组但还不是已映射 Hub 组成员的用户将被添加到 Hub 的该组中。
不是已映射 LDAP 组成员但属于已映射 Hub 组的用户将从 Hub 的该组中移除。
此行为基于 Synchronization (同步) 设置的当前值。
当 Synchronization (同步) 设置为 On (开) 时,这些操作将按计划执行。
当 Off (禁用) 更改时,目录服务中的组成员变更仅在用户使用LDAP认证模块登录Hub时应用。
只有当 Bind account (绑定账号) 选项为 Fixed (已修正) 时,才支持定时同步。 如果 Bind account (绑定账号) 选项为 Dynamic (动态) ,则组成员仅在用户登录时同步。
您可以将多个 LDAP 组映射到 Hub 的一个目标组。 LDAP 组不能映射到多个 Hub 组。
将 LDAP 组映射到 Hub 组:
打开您的 LDAP 身份验证模块。
选择 Group Mappings (群组映射) 选项卡。
点击 Add mapping (添加映射) 按钮。
Add Mapping (添加映射) 对话框将打开。
在 LDAP group name (LDAP 组名) 字段中输入LDAP组的名称。
如果 Bind account (绑定账号) 选项设置为 Fixed (已修正) ,认证模块将使用绑定账户查找目录服务中的组。 可用组显示在 LDAP group name (LDAP 组名) 列表中。
如果 Bind account (绑定账号) 选项设置为 Dynamic (动态) ,绑定账户无法获取目录服务中的组列表。 要成功映射组,需要准确输入目录服务中显示的该组完整 DN。
从 Target group (目标组) 列表中选择一个组。
点击 Add (添加) 按钮。
映射已添加到列表中。
操作
标题中可用的操作如下:
操作 | 描述 |
|---|---|
设为默认 | 将身份验证模块指定为当前安装的默认模块。每次只能有一个身份验证模块设为默认。如果其他模块当前被设为默认,则该状态会被清除。 每次只能有一个身份验证模块设为默认。 如果其它模块当前为默认,该状态将被清除。 仅当当前身份验证模块未被指定为默认时显示此选项。 |
清除默认 | 将身份验证模块从当前安装的默认模块中移除。 如果没有任何可用的身份验证模块被指定为默认,则未认证的用户总会被重定向到 Hub 登录页面。 仅当当前身份验证模块被指定为默认时显示此选项。 |
禁用模块 | 禁用身份验证模块。 仅当身份验证模块当前启用时显示此选项。 |
启用模块 | 启用身份验证模块。 仅当身份验证模块当前被禁用时显示此选项。 |
测试登录 | 允许您输入用户名和密码来测试与身份验证服务的连接。 |
删除模块 | 将身份验证模块从 Hub 中移除。 仅在已配置其他身份验证模块允许用户登录您的 Hub 安装时使用。 |
示例配置
请使用以下模式通过 LDAP 协议配置 LDAP 身份验证模块:
设置 | 值 |
|---|---|
服务器 URL |
|
绑定 DN |
|
筛选 |
|
请使用以下模式通过 SSL 安全连接配置 LDAP 身份验证模块:
设置 | 值 |
|---|---|
服务器 URL |
|
绑定 DN |
|
筛选 |
|
疑难解答
如果您遇到此身份验证模块的问题,请查看是否符合以下情况。
条件 — 组成员与目录服务未正确同步,或同步应用不一致。
原因 | 解决方案 |
|---|---|
Hub 用户帐户存储了多个由目录服务管理的账户的凭据。 连接目录服务中的帐户属于不同的组集合。 如果 Hub 用户拥有由连接目录服务管理的多个账号,组成员关系同步可能会表现得不可预测。 同步任务会先应用找到的第一个账号的成员分配,如果后续遇到不同的组分配,会更新这些成员分配。 | 您可以通过以下任意一种方法解决该问题:
|