Active Directory 加 LDAP 用戶同步

本節將介紹如何將 Active Directory 與 LDAP 用戶同步整合的步驟。 根據以下步驟，用戶可以:

• 通過LDAP同步用戶
• 通過LDAP/ADFS驗證用戶身份

網絡連接

網絡連接圖

1. 由 用戶APP, Outlook插件, 管理頁面 去到 Offision伺服器

   • 打開 Offision 的 WebApps。
   • 通訊埠: TCP 443

2. 由 Offision伺服器 去到 Offision播放器

   • 給房間播放器、樓層播放器等，連接伺服器接收信號，Offision伺服器可以通過https和wss協議實時更新數據。
   • 通訊埠: TCP 443

3. 由 Offision伺服器 去到 SMTP伺服器

   • 用於通過 SMTP 伺服器發送電子郵件，將電子郵件發送到接收方。
   • 通訊埠: TCP 25, 465, or 587 (depend on the SMTP伺服器 setting)

4. 由 Offision伺服器 去到 LDAP:

   • For synchronize users data from active directory.
   • 通訊埠: TCP 389 or 636 (depend on the LDAP Server setting)

5. 由 用戶APP, Outlook插件, 管理頁面 to the ADFS
   • Active Directory Federation Services(ADFS) 的單點登錄
   • 通訊埠: TCP 443

步驟

前提條件

• 微軟 Active Directory
• 開啟LDAP
• 訪問 LDAP 的服務帳戶

外部整合設定

1. 打開 Offision 管理頁面填寫

2. 選擇 Settings > External Integration

3. 點擊 New external integration + button, select Active Directory (with LDAP user synchronization)

4. 填寫 the host server address and port

   ⚠️ 默認情況下它將在 LDAPS 中運行，如果您不想要使用 SSL，請取消選中Run in LDAPS (Secure connection)複選框

   ⚠️ 如果您的 LDAP 服務器有任何證書問題，您可以選擇 Ignore server certificate error to skip the error (shown when checked Run in LDAPS (Secure connection))

5. 填寫 service account 用戶名稱 (normally with format: admin.super@company.hk or CompanyName\admin.super) and Service account 用戶密碼

6. 填寫 distinguished name (Require) and LDAP filter (Optional)

   💡 Distinguished name 應該是這樣的格式"OU=Users,DC=ones,DC=software", 請指向包含您要同步的用戶的組織單位。

   💡 LDAP 過濾器是一種進階過濾功能，用於過濾指定用戶，例如按安全組或指定名稱，格式如下 "memberOf=CN=Development Teams,DC=ones,DC=software"

7. 系統默認不會同步無效的用戶。 如果要同步無效用戶，請啟用“同步無效用戶”

8. 如果要將指定的Active Directory項目同步到用戶卡號，請從列表中選擇您需要的選項。 默認為“不同步”。

9. 對於 single sign on by，您可以選擇 ADFS 或 LDAP

• 對於 ADFS
  1. 設定 ADFS / Azure active directory. 請按照 ADFS 設定指南 和 AzureAD 設定指南
  2. 填寫Metadata address和WtRealM
     • 對於 Exchange Server
       • 在 metadata address, 填寫 https://{您的active directory地址}/FederationMetadata/2007-06/FederationMetadata.xml
       • 在 Wt RealM, 填寫 the for WS-Federation Passive protocol app's URL configured in active directory
     • 對於 Microsoft 365
       • 在 metadata address, 填寫 WS-Federation middleware's MetadataAddress
       • 在 Wt RealM, 填寫 the Application ID URI
• 對於 LDAP, 無需額外設定

10. （可選）填寫登錄點擊鈕名稱，如果留空則顯示Login via Active directory
11. 點擊保存點擊鈕.
12. 現在用戶可以在登錄頁面單點登錄

您還可以設置"預設用戶群組"。此設置將在系統同步用戶時自動將用戶分配到用戶組。

Login via Active directory

❓ ADFS 單點登錄和 LDAP 有什麼區別？

對於 ADFS，如果用戶已經在瀏覽器中登錄了 Active Directory 帳戶，則無需輸入用戶名和密碼即可再次登錄。 對於 LDAP，用戶登出後需要重新輸入用戶名和密碼才能登錄系統。

如何隱藏登錄頁面中的默認登錄字段和點擊鈕

默認登錄字段和點擊鈕供用戶通過系統本地帳戶登錄。 如果您使用的系統沒有任何本地用戶帳戶，或者您不希望用戶通過本地帳戶登錄，您可以點擊照管理頁面中的步驟隱藏這些字段:

1. 導航到設定> 一般設定
2. Select 隱藏用戶App基本登入
3. 點擊更新點擊鈕