1. 最佳实践
专属集成平台
  • 快速开始
    • 集成平台概览
  • 身份与用户管理
    • 用户管理
      • 用户与组织架构管理
    • 角色管理
      • 角色管理配置说明
    • 属性管理
      • 属性管理配置说明
      • IDAAS 扩展物理字段使用说明
    • 上游身份数据集成
      • 通讯录身份集成概述
      • 集成连接器配置指南
        • 通讯录集成-泛微
        • 通讯录集成-飞书
        • 通讯录集成-企业微信
        • 通讯录集成-AD
        • 通讯录集成-睿人事
        • 通讯录集成-北森
        • 通讯录集成-SCIM
        • 通讯录集成-用友EHR
        • 通讯录集成-Azure AD
        • 通讯录集成-致远
        • 通讯录集成-LDAP
        • 通讯录集成-数据库
        • 通讯录集成-钉钉
          • 基础说明
          • 钉钉集成连接器如何配置属性映射
      • 通过连接流实现身份集成
        • 在连接流画布中完成身份集成配置
      • 身份集成常见问题
        • 常见问题 & 排错指南
    • 下游身份数据同步
      • 通讯录同步概述
      • 同步连接器配置指南
        • 通讯录同步-企业微信
        • 通讯录同步-AD
        • 通讯录同步-用友U8C
        • 通讯录同步-钉钉
          • 基础说明
          • 如何配置部门职位扩展字段
      • 通过连接流实现身份同步
        • 使用连接流实现身份下游同步
      • 身份同步常见问题
        • 常见问题 & 排错指南
        • 使用代理网关进行身份同步
  • 认证源管理
    • 认证源基础说明
      • 认证源选型说明
      • 认证源管理概述
    • 认证源配置指南
      • 基础协议配置
        • 认证源-CAS协议
        • 认证源-OIDC协议
        • 认证源-OAuth2协议
      • 三方认证源配置手册
        • 认证源-钉钉
        • 认证源-AD
        • 认证源-飞书
        • 认证源-LDAP
        • 认证源-微信
        • 认证源-微信公众号
        • 认证源-Google Workspace
        • 认证源-AD Azure
        • 认证源-美云智数
        • 认证源-企业微信
  • 应用管理
    • 基础说明
      • 应用管理概述
      • 应用创建与配置
    • 应用单点登录
      • 单点登录概述
      • 单点登录配置
      • 单点登出配置
      • 授权范围配置
      • 自定义集成单点登录配置说明
      • 应用密码代填
      • 应用网关
      • 单点登录配置指南
        • 单点登录-OIDC
        • 单点登录-SAML协议
        • 单点登录-OAuth2
        • 单点登录-CAS协议
        • 单点登录-钉钉SSO
        • 单点登录-分贝通
        • 单点登录-用友NCC
        • 单点登录-宜搭
        • 单点登录-泛微OA
        • 单点登录-致远OA
        • 单点登录-金蝶云星空
        • 单点登录-中国电子云邮箱
        • 单点登录-阿里云控制台(RAM)
        • 单点登录-纷享销客应用
        • 单点登录-纷享销客待办
        • 单点登录-Exchange
        • Exchange-双入口配置指南
    • 应用授权管理
      • 应用授权概述
      • 基于组织架构和用户授权
      • 基于角色授权(RBAC)
      • 基于用户属性授权(ABAC)
      • 用户自主申请应用(OA审批授权)权限
    • 应用分发
      • 企业应用分发
      • ABM应用分发
    • 使用应用调用集成平台 OPENAPI
      • M2M接口授权
      • 接口调用权限配置说明
  • 连接中心
    • 产品概述
      • 什么是 AI 连接流
      • AI 连接流的典型使用场景
    • 基础功能
      • 流程运行日志
      • 功能概览
      • 如何创建 AI 工作流
      • 授权凭证管理
      • 错误处理
    • 节点说明
      • 节点基础类型说明
      • 数据处理节点
        • 文本处理节点
        • 数组处理
        • 数据集合节点
      • 文件处理节点
        • 「Base64 转 URL」动作说明
        • 「PPT分页切割」动作说明
      • 应用节点
        • Teambition
        • 金蝶云 K3Cloud
      • 内置节点
        • 子流程调用
        • 缓存处理
        • 分支节点
        • 循环执行
        • MYSQL 触发动作说明
        • 数字签名
        • Webhook触发
        • 缓存列表处理
        • 条件分支
        • FTP
        • 延时节点
        • 模型子节点
        • MCP SERVER 工具
        • 邮件发送
        • 存储子节点
        • 工具子节点
        • HTTP 请求
        • 变量节点
        • 加解密节点
        • 返回变量
      • 运维管理节点
        • 数据校验节点
      • AI节点
        • 构建你的第一个 AI Agent
        • AI 浏览器操作节点
        • AI Agent节点使用指南
        • AI 消息对话节点 & 组件嵌入
  • 审计日志
    • 管理员行为日志
    • 用户变更日志
    • 接口调用日志
    • 用户行为日志
    • 消息发送日志
  • 权限中心
    • 管理员账号管理
    • 管理员角色管理
  • 品牌设置
    • 登录页设置
      • 登录页面配置
      • 登录页CSS自定义页面样式
      • CSS定制页面内容:样式修改指南及故障排除
    • 短信设置
      • 短信模板配置
      • 短信服务使用及签名修改使用指南
      • 短信服务-自定义连接流配置
      • 阿里云短信网关配置指引
    • 邮件设置
      • 邮件模板配置
      • 通过自定义连接流发送邮件
      • SMTP 配置与测试支持文档
    • 企业消息设置
      • 企业消息配置
      • 企业消息(钉钉_飞书)配置
    • 分发页面设置
      • 分发页面设置
  • 平台设置
    • 功能概述
    • 授权管理
    • 代理网关
    • 授权信息
    • 登录策略配置
      • 弱密码检测功能说明
      • 登录流程配置
      • 自动登录功能配置
    • MFA 配置
      • MFA基础配置
      • 使用连接流自定义 MFA 策略
    • 运维日志
      • 运维日志下载
  • 最佳实践
    • AD-LDAP接入指南
    • 第三方平台应用创建指南
      • 钉钉
        • 钉钉全套集成指南
        • 创建钉钉开放平台应用
      • 飞书
        • 飞书全套集成指南
        • 创建飞书开放平台应用
      • 企微
        • 企业微信全套集成指南
        • 创建企业微信开放平台应用
  • 开放接口
    • 鉴权认证
      • 获取access_token(请求体方式)
      • 获取access_token(Basic认证方式)
    • 用户管理
      • 查询用户
      • 创建用户
      • 根据多个条件过滤并查询用户信息
      • 根据用户帐号获取用户信息
      • 修改用户
      • 启用/禁用用户
      • 删除用户
      • 修改用户密码
    • 组织部门
      • 获取组/部门的列表
      • 创建组/部门
      • 根据组/部门ID获取组/部门的信息
      • 修改组/部门
      • 删除组/部门
      • 根据组/部门ID获取下级组/部门信息
      • 过滤部门信息
    • 角色管理
      • 创建角色
      • 获取单个角色详情
      • 修改角色
      • 删除角色
      • 查询角色列表
      • 根据应用ID和用户ID获取角色列表
      • 查看角色所对应的用户列表
      • 给多个用户添加静态角色
      • 删除用户静态角色
      • 获取用户的角色信息
    • 连接中心
      • Webhook启动连接流
    • 事件通知
      • 连接器事件通知
  1. 最佳实践

AD-LDAP接入指南

AD/LDAP 接入指南#

本文介绍如何将 Windows AD(Active Directory)或 LDAP 目录服务与专属集成平台集成,实现用户身份统一管理和认证。

概述#

通过本指南,您将完成以下核心场景的配置:
场景说明配置位置
AD/LDAP 通讯录集成将 AD/LDAP 用户同步到专属集成平台用户中心 > 通讯录集成
AD/LDAP 认证源配置使用 AD/LDAP 账号登录专属集成平台用户中心 > 认证源管理

概念介绍#

概念说明
AD (Active Directory)微软的目录服务,用于 Windows 网络环境
LDAP (Lightweight Directory Access Protocol)轻量级目录访问协议,AD 和许多目录服务支持
通讯录集成将 AD/LDAP 中的用户拉取到专属集成平台
认证源使用 AD/LDAP 作为登录凭证来源

前提条件#

已开通专属集成平台管理员账号
拥有 AD/LDAP 服务器的管理权限或查询权限
确认 AD/LDAP 服务器信息:
服务器地址(IP 或域名)
端口(默认:389 或 636 for LDAPS)
BaseDN(如 DC=example,DC=com)
管理账号和密码

第一部分:AD/LDAP 通讯录集成#

步骤 1.1:收集 AD/LDAP 信息#

1.
确认 AD/LDAP 服务器地址
2.
确认 BaseDN(域的根路径)
3.
确认用户属性(如 sAMAccountName、userPrincipalName)
4.
确认组织单位(OU)结构
常用属性说明:
属性说明示例
sAMAccountName用户登录名(简短)john
userPrincipalName用户主体名john@example.com
mail邮箱地址john@example.com
displayName显示名称John Smith
telephoneNumber电话号码13800138000
department部门技术部

步骤 1.2:创建通讯录集成任务#

1.
登录专属集成平台,进入 用户中心 > 通讯录集成
2.
点击 「新建通讯录集成」
3.
选择身份源类型:
「AD」- 如果使用 Windows Active Directory
「LDAP」- 如果使用其他 LDAP 目录服务

步骤 1.3:配置连接信息#

填写 AD/LDAP 连接信息:
参数说明示例
服务器地址AD/LDAP 服务器 IP 或域名192.168.1.100 或 ad.example.com
端口LDAP 服务端口389(默认)或 636(SSL)
BaseDN搜索起始点DC=example,DC=com
管理员 DN查询账号的完整 DNCN=admin,CN=Users,DC=example,DC=com
管理员密码查询账号的密码********
使用 SSL是否使用加密连接建议生产环境开启

步骤 1.4:配置用户过滤#

配置 LDAP 搜索过滤器,只同步目标用户:
示例过滤器:
(&(objectClass=user)(objectCategory=person)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))
这个过滤器会:
选择用户对象
排除禁用账户

步骤 1.5:配置字段映射#

AD/LDAP 属性平台字段映射方式
sAMAccountNameusername创建且更新
mailemail创建且更新
displayNamedisplay_name创建且更新
telephoneNumberphone_number创建且更新
departmentdepartment创建且更新

步骤 1.6:配置同步策略#

1.
设置同步频率
2.
配置冲突处理策略
3.
点击「保存并启动」

步骤 1.7:验证同步结果#

1.
查看同步日志
2.
进入「用户管理」验证用户

第二部分:AD/LDAP 认证源配置#

步骤 2.1:创建认证源#

1.
进入 用户中心 > 认证源管理
2.
点击 「新建身份源」
3.
选择:
「AD」- Windows Active Directory
「LDAP」- 其他 LDAP 目录服务

步骤 2.2:配置基本信息#

参数说明
名称自定义认证源名称,如「公司 AD」
服务器地址AD/LDAP 服务器地址
端口LDAP 端口(389 或 636)
BaseDN搜索起始点
TLS是否启用 SSL/TLS 加密

步骤 2.3:配置管理员账号#

1.
填写有查询权限的账号 DN
2.
填写该账号的密码
3.
点击「测试连接」

步骤 2.4:配置账号关联#

1.
配置 AD/LDAP 属性到平台字段的映射
AD/LDAP 属性平台字段说明
sAMAccountNameusername用户唯一标识
userPrincipalNameemail邮箱(可选)
mailemail邮箱
2.
配置唯一字段匹配(必须)
3.
配置 JIT 设置(可选)

步骤 2.5:测试认证#

1.
打开登录页面
2.
点击「使用 AD/LDAP 账号登录」
3.
使用测试账号登录
4.
验证是否成功

第三部分:高级配置#

配置 LDAPS(加密连接)#

如果 AD 服务器配置了 LDAPS:
1.
获取 AD 服务器的 SSL 证书
2.
在专属集成平台配置证书
3.
使用端口 636(替代 389)
4.
启用 TLS/SSL 选项

配置多域名/多林#

如果企业有多个 AD 林或域:
1.
为每个域创建独立的认证源
2.
配置跨林信任(如需要)
3.
设置主从认证源

性能优化#

优化项说明
建立索引在 AD 中为常用属性建立索引
使用 SSL加密连接可以提高安全性
调整搜索范围尽量缩小 BaseDN 范围
增量同步使用 change tracking 减少全量同步

第四部分:通讯录同步配置#

将专属集成平台用户同步回 AD/LDAP:

步骤 4.1:创建通讯录同步任务#

1.
进入 用户中心 > 通讯录同步
2.
点击「新建通讯录同步」
3.
选择目标类型:「LDAP」或「AD」

步骤 4.2:配置连接和映射#

1.
填写 AD/LDAP 连接信息(同上)
2.
配置字段反向映射:
平台 username → AD sAMAccountName
平台 email → AD mail

步骤 4.3:配置同步规则#

1.
选择同步范围(全量或指定部门)
2.
配置冲突处理策略
3.
点击「保存并启动」

验证清单#

验证项验证方法预期结果
AD/LDAP 连接测试连接功能连接成功
用户同步查看同步日志用户正确同步
用户登录使用 AD 账号登录登录成功
属性映射检查用户信息属性正确映射

常见问题#

Q1:AD 用户登录失败怎么排查?#

排查步骤:
1.
确认账号 DN 格式正确
2.
检查管理员账号是否有查询权限
3.
验证用户账号是否启用
4.
检查密码是否正确

Q2:LDAP 搜索很慢怎么优化?#

解决方案:
1.
在 AD 中为常用搜索属性建立索引
2.
缩小 BaseDN 搜索范围
3.
使用 SSL 加密连接
4.
考虑使用增量同步而非全量同步

Q3:如何同步 AD 中的组信息?#

解决方案:
1.
在字段映射中配置组属性
2.
创建对应的平台角色
3.
配置组到角色的映射规则

Q4:SSL 证书怎么配置?#

解决方案:
1.
从 AD 服务器导出证书
2.
在专属集成平台导入证书
3.
启用 LDAPS(端口 636)

相关文档#

文档说明
通讯录集成-ADAD通讯录集成详细配置
通讯录集成-LDAPLDAP通讯录集成详细配置
认证源-ADAD认证源详细配置
认证源-LDAPLDAP认证源详细配置
通讯录同步-ADAD通讯录同步详细配置
修改于 2026-05-07 02:16:19
上一页
运维日志下载
下一页
钉钉全套集成指南
Built with