Active Directory 加 LDAP 用戶同步
本節將介紹如何將 Active Directory 與 LDAP 用戶同步整合的步驟。 根據以下步驟,用戶可以:
- 通過LDAP同步用戶
- 通過LDAP/ADFS驗證用戶身份
網絡連接
由 用戶APP, Outlook插件, 管理頁面 去到 Offision伺服器
- 打開 Offision 的 WebApps。
- 通訊埠:
TCP 443
由 Offision伺服器 去到 Offision播放器
- 給房間播放器、樓層播放器等,連接伺服器接收信號,Offision伺服器可以通過
https
和wss
協議實時更新數據。 - 通訊埠:
TCP 443
- 給房間播放器、樓層播放器等,連接伺服器接收信號,Offision伺服器可以通過
由 Offision伺服器 去到 SMTP伺服器
- 用於通過 SMTP 伺服器發送電子郵件,將電子郵件發送到接收方。
- 通訊埠:
TCP 25, 465, or 587
(depend on the SMTP伺服器 setting)
由 Offision伺服器 去到 LDAP:
- For synchronize users data from active directory.
- 通訊埠:
TCP 389 or 636
(depend on the LDAP Server setting)
- 由 用戶APP, Outlook插件, 管理頁面 to the ADFS
- Active Directory Federation Services(ADFS) 的單點登錄
- 通訊埠:
TCP 443
步驟
- 微軟 Active Directory
- 開啟LDAP
- 訪問 LDAP 的服務帳戶
打開
Offision 管理頁面
填寫選擇
Settings > External Integration
點擊
New external integration +
button, selectActive Directory (with LDAP user synchronization)
填寫 the host server address and port
⚠️ 默認情況下它將在 LDAPS 中運行,如果您不想要使用 SSL,請取消選中
Run in LDAPS (Secure connection)
複選框⚠️ 如果您的 LDAP 服務器有任何證書問題,您可以選擇
Ignore server certificate error to skip the error
(shown when checkedRun in LDAPS (Secure connection)
)填寫 service account 用戶名稱 (normally with format: admin.super@company.hk or CompanyName\admin.super) and Service account 用戶密碼
填寫 distinguished name (Require) and LDAP filter (Optional)
💡 Distinguished name 應該是這樣的格式"OU=Users,DC=ones,DC=software", 請指向包含您要同步的用戶的組織單位。
💡 LDAP 過濾器是一種進階過濾功能,用於過濾指定用戶,例如按安全組或指定名稱,格式如下 "memberOf=CN=Development Teams,DC=ones,DC=software"
系統默認不會同步無效的用戶。 如果要同步無效用戶,請啟用“同步無效用戶”
如果要將指定的Active Directory項目同步到用戶卡號,請從列表中選擇您需要的選項。 默認為“不同步”。
對於
single sign on by
,您可以選擇ADFS
或LDAP
- 對於 ADFS
- 設定 ADFS / Azure active directory. 請按照 ADFS 設定指南 和 AzureAD 設定指南
- 填寫Metadata address和WtRealM
- 對於 Exchange Server
- 在 metadata address, 填寫
https://{您的active directory地址}/FederationMetadata/2007-06/FederationMetadata.xml
- 在 Wt RealM, 填寫 the for WS-Federation Passive protocol app's URL configured in active directory
- 在 metadata address, 填寫
- 對於 Microsoft 365
- 在 metadata address, 填寫 WS-Federation middleware's MetadataAddress
- 在 Wt RealM, 填寫 the Application ID URI
- 對於 Exchange Server
- 對於 LDAP, 無需額外設定
- (可選)填寫登錄點擊鈕名稱,如果留空則顯示
Login via Active directory
- 點擊
保存
點擊鈕. - 現在用戶可以在登錄頁面單點登錄
❓ ADFS 單點登錄和 LDAP 有什麼區別?
對於 ADFS,如果用戶已經在瀏覽器中登錄了 Active Directory 帳戶,則無需輸入用戶名和密碼即可再次登錄。 對於 LDAP,用戶登出後需要重新輸入用戶名和密碼才能登錄系統。
默認登錄字段和點擊鈕供用戶通過系統本地帳戶登錄。 如果您使用的系統沒有任何本地用戶帳戶,或者您不希望用戶通過本地帳戶登錄,您可以點擊照管理頁面中的步驟隱藏這些字段:
- 導航到
設定> 一般設定
- Select
隱藏用戶App基本登入
- 點擊
更新
點擊鈕