认证源-AD
概述
前提条件
| 序号 | 条件 | 说明 |
|---|---|---|
| 1 | 平台管理员权限 | 拥有专属集成平台的管理员账号 |
| 2 | AD 服务器信息 | BaseDN、服务器地址、服务器端口 |
| 3 | AD 管理员账号 | 有权限读取 AD 用户信息的账号及密码 |
| 4 | 网络连通性 | 确保平台可正常访问 AD 服务 |
| 5 | 测试账号 | 准备一个测试用 AD 账号用于验证 |
操作步骤
添加AD认证源
添加认证源
1.
2.
配置基本信息
参考界面提示填写参数,建议 连接方式 选择 直接连接。
| 参数 | 说明 |
|---|---|
| 名称 | 自定义认证源名称,建议使用有意义的命名,如 [公司名]-AD-SSO |
| TLS | 根据 AD 实际情况勾选;默认不勾选 |
| 用户id映射 | 将 AD 身份源中组织导入到平台的映射关系,主要用于匹配平台和 AD 账号 |
| 管理员账号 | 填写有权限访问 AD 的管理员账号 |
| 管理员密码 | 填写对应管理员账号的密码 |
| 服务器地址 | 填写 AD 服务器的 IP 地址或域名 |
| 服务器端口 | 默认端口 389(标准 LDAP/AD 端口,未加密明文通信) 默认端口 636(标准 LDAPS/AD over SSL/TLS 端口,强制加密通信) 端口可自定义,TLS 加密端口需开启加密,不加密则不开启 TLS |
| 用户搜索条件 | 推荐使用默认值,也可根据实际需求调整 |
配置属性映射
属性映射定义了 AD 账号属性与平台用户属性的对应关系,建议在配置前先了解 属性管理 中的属性机制。左侧下拉菜单选择 AD 账号属性(如 sAMAccountName、userPrincipalName、cn 等) 右侧下拉菜单选择系统对应的用户属性(如 username、email 等) 选择映射方式: 不映射:该属性不会同步到系统用户 仅创建:只在用户首次创建时映射,后续不更新 创建且更新:用户创建时映射,并在每次登录时更新 
推荐映射关系:
1.
2.
3.
重要:至少需要配置一个唯一字段匹配规则(如 sAMAccountName → username),这是系统识别已有用户的依据。
| AD属性 | 平台属性 | 映射方式 | 说明 |
|---|---|---|---|
| sAMAccountName | username | 创建且更新 | AD 用户唯一标识符 |
| userPrincipalName | 创建且更新 | 用户邮箱地址 | |
| givenName + sn | display_name | 创建且更新 | 用户显示名称 |
| telephoneNumber | phone_number | 创建且更新 | 用户电话号码 |
| department | department | 创建且更新 | 用户所属部门 |
数据类型匹配:确保源属性和目标属性的数据类型兼容。数字型字段不应映射到日期型字段,否则可能导致数据异常。
配置JIT
JIT(Just-in-Time)允许用户首次通过 AD 登录时自动在系统中创建对应账号。JIT 开关:找到 JIT 配置区域,将开关切换为 已开启 状态。 更新策略:配置 更新已有用户的属性 选项:
用户组配置: 指定用户组:通过 JIT 创建的用户会分配到指定用户组 不指定用户组:通过 JIT 创建的用户会创建在默认组中
说明:开启 JIT 后,当用户通过 AD 认证登录时,若系统中找不到匹配的用户账号,会根据映射规则自动创建新用户。若关闭此配置,则不在平台中的用户将显示为认证不通过。
| 选项 | 说明 | 适用场景 |
|---|---|---|
| 关闭 | 用户首次创建后,后续登录不更新任何属性 | 内部信息手动维护,仅使用 AD 进行认证 |
| 开启 | 每次登录时根据映射规则更新用户属性 | 以 AD 为主数据源,需保持信息同步 |
技巧:如在 AD 中维护了完整的用户信息并希望自动同步到系统,建议开启更新功能。
安全提示:默认用户组的权限配置非常重要,建议遵循最小权限原则。
完成配置
检查所有配置项,确认无误后点击 确定 保存。
系统设置配置
验证与测试
基础功能测试
1.
2.
3.
4.
用户映射测试
1.
2.
3.
4.
常见问题
安全建议
1.
2.
3.
4.
5.
修改于 2026-05-06 10:58:14