“一鍵”搞定用戶同步，LDAP在永洪BI中的應(yīng)用

前情提要

公司有很多IT系統(tǒng)，例如:企業(yè)郵箱、github、jenkins、grafna、zabbix、***、HR系統(tǒng)、用友、金蝶、文件系統(tǒng)、aws、aliyun、cmdb、jira、confluence……

在新員工入職時(shí)，要做的事情有這些：

要根據(jù)員工的職位，確認(rèn)開通IT系統(tǒng)的權(quán)限；
在對(duì)應(yīng)的IT系統(tǒng)中添加賬戶，設(shè)置密碼；
各種渠道通知到新員工，IT系統(tǒng)權(quán)限和IT系統(tǒng)訪問(wèn)地址。
在老員工離職時(shí)，上面的事又要做一遍。

在正常工作時(shí)，很多員工因各種奇葩原因忘記密碼，來(lái)找你重置、修改。在員工升職、調(diào)換崗位時(shí)，又是一通修改和刪除。

有木有很崩潰?這還不夠，一個(gè)員工需要手動(dòng)操作N次，每天會(huì)有0-N個(gè)員工，如果出現(xiàn)誤操作，導(dǎo)致數(shù)據(jù)泄露。這口鍋直接背起。有木有感覺不會(huì)再愛了。

解決方案

說(shuō)了那么多痛點(diǎn)，其實(shí)解決方案很簡(jiǎn)單，有個(gè)認(rèn)證管理中心就可以解決了，那就是LDAP。LDAP是什么？干什么用?

LDAP是Lightweight Directory Access Protocol的縮寫，中文意思是目錄服務(wù)的協(xié)議，并且以樹狀結(jié)構(gòu)來(lái)存儲(chǔ)數(shù)據(jù)。

主要用來(lái)存儲(chǔ)企業(yè)人員信息和組織架構(gòu)，并對(duì)其進(jìn)行統(tǒng)一認(rèn)證管理。同時(shí)可以與第三方應(yīng)用集成，實(shí)現(xiàn)針對(duì)企業(yè)內(nèi)部的人員或部門訪問(wèn)權(quán)限管理。

實(shí)例講解

那咱們就來(lái)看一下LDAP在永洪BI中的使用，如何方便快捷進(jìn)行永洪用戶同步，以下實(shí)例中的LDAP連接相關(guān)信息，都是以ldapadmin連接LDAP服務(wù)器為例。

1、權(quán)限設(shè)置

進(jìn)入 【管理系統(tǒng)】-【系統(tǒng)設(shè)置】-【權(quán)限管理系統(tǒng)配置】中進(jìn)行設(shè)置。將權(quán)限管理系統(tǒng)修改為L(zhǎng)DAP同步&文件權(quán)限管理系統(tǒng)。如下圖所示：

當(dāng)用戶選擇LDAP同步&文件權(quán)限管理系統(tǒng)時(shí)，可以通過(guò)配置LDAP服務(wù)器與權(quán)限系統(tǒng)的對(duì)應(yīng)關(guān)系，對(duì)接用戶的LDAP服務(wù)器?？赏ㄟ^(guò)這一類型將LDAP中的用戶同步進(jìn)系統(tǒng)，并賦予資源和操作的權(quán)限，如下圖所示：

2、LDAP配置

在LDAP配置頁(yè)面需要配置以下屬性，具體介紹如下所示。

服務(wù)器配置
URL：LDAP服務(wù)器的url，一般格式為服務(wù)器的url：port，但通常需要帶上ldap協(xié)議頭，如：ldap://192.168.0.181:389；

每頁(yè)條目數(shù)：每頁(yè)可以導(dǎo)入的條目數(shù)，這個(gè)值是根據(jù)LDAP的用戶總數(shù)由用戶自行設(shè)定的，如設(shè)置為500或者1000；

用戶名：登錄LDAP的用戶名稱；

密碼：登錄LDAP的密碼；

域名：LDAP服務(wù)器的域名，比如：dc=maxcrc,dc=com。域名可以在連接頁(yè)面查詢，如下圖：

服務(wù)器配置頁(yè)面如下所示：

注：若無(wú)特定設(shè)置用戶名以及密碼，可不填寫該兩項(xiàng)。

用戶屬性配置
ObjectClass：LDAP對(duì)象類，是LDAP內(nèi)置的數(shù)據(jù)模型，比如inetOrgPerson對(duì)象類。每種objectClass有自己的數(shù)據(jù)結(jié)構(gòu)，比如“用戶”的objectClass，會(huì)內(nèi)置很多屬性(attributes)，如用戶名(name)，密碼(password)，電話(mobile)等；所有擁有此對(duì)象類的數(shù)據(jù)將會(huì)被當(dāng)做一個(gè)用戶條目來(lái)解析；

UID：用戶的uid對(duì)應(yīng)item中的file的名稱的映射。比如：將LDAP條目中的“name”屬性作為UID時(shí)，同步進(jìn)系統(tǒng)后，“name”屬性的值將對(duì)應(yīng)系統(tǒng)中用戶的用戶名；

ObjectClass以及UID可在如下界面看到：

屬性配置：系統(tǒng)屬性和LDAP屬性的對(duì)應(yīng)關(guān)系，如下圖所示。

LDAP配置中的組屬性以及角色屬性配置同用戶屬性配置。

高級(jí)設(shè)置

自定義轉(zhuǎn)化器：給定制轉(zhuǎn)化器預(yù)留的接口；

自定義同步器：給定制同步器預(yù)留的接口；

自定義認(rèn)證器：有2種方式，即：g5.secure.fs.LDAP.impl.LDAPAuthenor 和 g5.secure.fs.LDAP.impl.DefAuthenor；

g5.secure.fs.LDAP.impl.LDAPAuthenor表示同步后，產(chǎn)品將使用LDAP服務(wù)器的密碼進(jìn)行認(rèn)證登錄；

g5.secure.fs.LDAP.impl.DefAuthenor表示同步后，產(chǎn)品將使用LDAP與產(chǎn)品的匹配字段作為密碼進(jìn)行認(rèn)證登錄；

V8.5.1之前默認(rèn)為：g5.secure.fs.LDAP.impl.DefAuthenor，V8.5.1之后默認(rèn)為：g5.secure.fs.LDAP.impl.LDAPAuthenor。

注：該配置為特定認(rèn)證需求預(yù)留接口，基本配置中該配置一般不填寫。

定時(shí)同步設(shè)置

點(diǎn)擊定時(shí)同步的輸入框可在下拉列表中選擇定時(shí)同步的時(shí)間，選擇后，每天的這個(gè)時(shí)間系統(tǒng)都會(huì)自動(dòng)與LDAP服務(wù)器進(jìn)行同步。

手動(dòng)同步
配置好屬性后，手動(dòng)點(diǎn)擊同步LDAP，系統(tǒng)則會(huì)按照配置好的對(duì)應(yīng)關(guān)系進(jìn)行同步。同步時(shí)，下方會(huì)自動(dòng)顯示LDAP同步的日志。

實(shí)例結(jié)果

定制屬性

若客戶需要定制新的屬性，比如是否管理員，用戶地址等，都可以進(jìn)行定制，定制方法如下：

注意：在定制用戶屬性時(shí)，新增用戶屬性的名稱與參數(shù)名稱需保持一致。新增定制屬性后，可在2.2節(jié)屬性配置-本地屬性中查看。

?特別說(shuō)明

存量同步
如果LDAP已經(jīng)同步過(guò)一次，再次進(jìn)行同步時(shí)，稱為“存量同步”。

當(dāng)進(jìn)行存量同步時(shí)，如果配置了產(chǎn)品與LDAP的匹配屬性時(shí)，LDAP中的該屬性值會(huì)覆蓋產(chǎn)品中對(duì)應(yīng)的屬性值。

? 例如：

1、配置了產(chǎn)品中的“郵箱”和LDAP中的屬性“email”匹配，再進(jìn)行存量同步時(shí)，LDAP中的email屬性值會(huì)覆蓋產(chǎn)品中的郵箱配置。

2、LDAP中存在用戶user1，為People組下成員。首次同步時(shí)，將user1同步到產(chǎn)品中，其父組為People。在產(chǎn)品中將user1的父組調(diào)整為group1，再進(jìn)行存量同步，user1的父組又變?yōu)榱薖eople。

注意事項(xiàng)
LDAP同步時(shí)不會(huì)校驗(yàn)郵箱和密碼的合法性，即：即使郵箱和密碼不填或不合法也可以同步成功。

LDAP用戶的名稱不可以修改。例如：將LDAP用戶“user1”的名稱改為“user2”，點(diǎn)擊保存，會(huì)提示：LDAP用戶不能修改用戶名。

以上為永洪BI中使用LDAP的實(shí)例說(shuō)明，關(guān)于產(chǎn)品使用有什么問(wèn)題，可在永洪服務(wù)平臺(tái)進(jìn)行咨詢或在社區(qū)論壇進(jìn)行相關(guān)搜索與提問(wèn)。