功能介紹

Windows AD 是 Microsoft 提供的本地化用戶目錄管理服務。在AOne配置AD同步任務并開啟 Windows AD 服務商的企業登錄，即可實現將AD中的用戶和組織信息同步至AOne，通過AOne進行認證管理幫助用戶實現登錄功能。 本文介紹如何創建AD同步任務。

操作步驟

管理員創建同步任務

僅將AD的用戶與組織信息進行同步到AOne，AOne進行認證管理（即密碼由AOne管理）。

1. 登錄邊緣安全加速。
2. 支持在AOne零信任工作臺進行操作。
3. 在左側導航欄身份-第三方組織，選擇同步身份源菜單。
4. 點擊“添加同步任務”，按需選擇同步任務，完成任務配置。

注意
目前該能力暫未全面開放至控制臺，若想要進行該能力配置，可聯系我們進行開啟。

1、添加同步任務

進入同步身份源列表，點擊“添加同步任務”，進行AD身份源添加。

2、選擇同步任務

選擇“AD 同步機構任務”。

3、配置任務

輸入配置參數，完成AD身份源同步任務配置。

配置參數說明：

參數
說明
服務器地址
必填，輸入AD服務器的地址，格式通常為IP地址加端口號，例如：Idap://127.0.0.1:389。
服務器根目錄
必填，輸入AD服務器的根目錄，通常是DN（Distinguished Name）的路徑。
管理員賬戶
必填，輸入AD服務器的管理員賬戶名， 用于進行同步操作的認證。
管理員密碼
必填，輸入與管理員賬戶對應的密碼。
同步任務名稱
非必填，支持自定義同步任務名稱。
字段映射
必填，配置AD和AOneId之間的字段映射規則，因為不同的系統可能會使用不同的字段來存儲用戶信息，目前AOneId僅支持配置username（必須）、name、mobile、email、nickname、orgName（必須） 6個字段的映射規則。
例如：userName=cn;name=name;mobile=telephoneNumber;email=mail;
nickname=givenName;orgName=ou。
注意
AOneId中的userName（賬號）同步AD中的cn字段，其中該字段不填默認為AD中的cn字段，這個字段非常重要，需保證每個賬號唯一。?
AOneId中的name（姓名）同步AD中的name字段，其中該字段不填默認為AD中的name字段 。
AOneId中的mobile（手機號）同步AD中的telephoneNumber字段，其中該字段不填默認為AD中的telephoneNumber字段， 該字段會根據您在用戶池的字段唯一性設置，校驗唯一性。?
AOneId中的email（郵箱）同步AD中的mail字段，其中該字段不填默認為AD中的mail字段，該字段會根據您在用戶池的字段唯一性設置，校驗唯一性。
AOneId中的nickname（昵稱）同步AD中的givenName字段，其中該字段不填默認不同步數據 。
AOneId中的orgName（組織名稱）同步AD中的ou字段，其中該字段不填默認為AD中的ou字段。

同步至AOneId機構
必填，選擇要同步到的AOneId機構。
同步方式
必填，可選擇“手動”或者“定時同步”。
手動：啟用同步同步任務后，可手動執行同步任務。
定時同步：設置“同步時間”與“同步周期”，啟用同步任務后，自動按照定時執行同步任務，期間不可手動執行。

4、完成

同步任務創建完成后，任務默認的狀態為停用，需要啟用后，才能生效。同樣，當不需要該任務時可以停用。

當同步方式為手動時，可通過“執行任務”按鈕立即執行同步任務。

管理員查看同步任務

1、查看同步歷史

執行任務后，可查看同步歷史。

2、查看同步后用戶與組織信息

在用戶與組織中，可查看同步過后的機構以及用戶信息。

AD配置獲取指導

1、服務器地址獲取

2、端口獲取

AD認證使用的是LDAP協議，該協議標準使用端口默認是389，如果修改了端口，可通過 netstat -an | findstr LISTENING 命令查看。

3、登錄名獲取

工具->Active Directory 用戶和計算機->Users->對應用戶屬性。

4、同步用戶域查詢