跳到主要內容

Active Directory 加 LDAP 用戶同步

本節將介紹如何將 Active Directory 與 LDAP 用戶同步整合的步驟。 根據以下步驟,用戶可以:

  • 通過LDAP同步用戶
  • 通過LDAP/ADFS驗證用戶身份

網絡連接

網絡連接圖

  1. 用戶APP, Outlook插件, 管理頁面 去到 Offision伺服器

    • 打開 Offision 的 WebApps。
    • 通訊埠: TCP 443
  2. Offision伺服器 去到 Offision播放器

    • 給房間播放器、樓層播放器等,連接伺服器接收信號,Offision伺服器可以通過httpswss協議實時更新數據。
    • 通訊埠: TCP 443
  3. Offision伺服器 去到 SMTP伺服器

    • 用於通過 SMTP 伺服器發送電子郵件,將電子郵件發送到接收方。
    • 通訊埠: TCP 25, 465, or 587 (depend on the SMTP伺服器 setting)
  4. Offision伺服器 去到 LDAP:

    • For synchronize users data from active directory.
    • 通訊埠: TCP 389 or 636 (depend on the LDAP Server setting)
  1. 用戶APP, Outlook插件, 管理頁面 to the ADFS
    • Active Directory Federation Services(ADFS) 的單點登錄
    • 通訊埠: TCP 443

步驟

前提條件
  • 微軟 Active Directory
  • 開啟LDAP
  • 訪問 LDAP 的服務帳戶

外部整合設定

  1. 打開 Offision 管理頁面填寫

  2. 選擇 Settings > External Integration

  3. 點擊 New external integration + button, select Active Directory (with LDAP user synchronization)

  4. 填寫 the host server address and port

    ⚠️ 默認情況下它將在 LDAPS 中運行,如果您想要使用 SSL,請取消選中Run in LDAPS (Secure connection)複選框

    ⚠️ 如果您的 LDAP 服務器有任何證書問題,您可以選擇 Ignore server certificate error to skip the error (shown when checked Run in LDAPS (Secure connection))

  5. 填寫 service account 用戶名稱 (normally with format: admin.super@company.hk or CompanyName\admin.super) and Service account 用戶密碼

  6. 填寫 distinguished name (Require) and LDAP filter (Optional)

    💡 Distinguished name 應該是這樣的格式"OU=Users,DC=ones,DC=software", 請指向包含您要同步的用戶的組織單位。

    💡 LDAP 過濾器是一種進階過濾功能,用於過濾指定用戶,例如按安全組或指定名稱,格式如下 "memberOf=CN=Development Teams,DC=ones,DC=software"

  7. 系統默認不會同步無效的用戶。 如果要同步無效用戶,請啟用“同步無效用戶”

  8. 如果要將指定的Active Directory項目同步到用戶卡號,請從列表中選擇您需要的選項。 默認為“不同步”。

  9. 對於 single sign on by,您可以選擇 ADFSLDAP

  • 對於 ADFS
    1. 設定 ADFS / Azure active directory. 請按照 ADFS 設定指南AzureAD 設定指南
    2. 填寫Metadata addressWtRealM
      • 對於 Exchange Server
        • 在 metadata address, 填寫 https://{您的active directory地址}/FederationMetadata/2007-06/FederationMetadata.xml
        • 在 Wt RealM, 填寫 the for WS-Federation Passive protocol app's URL configured in active directory
      • 對於 Microsoft 365
        • 在 metadata address, 填寫 WS-Federation middleware's MetadataAddress
        • 在 Wt RealM, 填寫 the Application ID URI
  • 對於 LDAP, 無需額外設定
  1. (可選)填寫登錄點擊鈕名稱,如果留空則顯示Login via Active directory
  2. 點擊保存點擊鈕.
  3. 現在用戶可以在登錄頁面單點登錄
您還可以設置"預設用戶群組"。此設置將在系統同步用戶時自動將用戶分配到用戶組。

Login via Active directory

❓ ADFS 單點登錄和 LDAP 有什麼區別?

對於 ADFS,如果用戶已經在瀏覽器中登錄了 Active Directory 帳戶,則無需輸入用戶名和密碼即可再次登錄。 對於 LDAP,用戶登出後需要重新輸入用戶名和密碼才能登錄系統。

如何隱藏登錄頁面中的默認登錄字段和點擊鈕

默認登錄字段和點擊鈕供用戶通過系統本地帳戶登錄。 如果您使用的系統沒有任何本地用戶帳戶,或者您不希望用戶通過本地帳戶登錄,您可以點擊照管理頁面中的步驟隱藏這些字段:

  1. 導航到設定> 一般設定
  2. Select 隱藏用戶App基本登入
  3. 點擊更新點擊鈕