功能介紹

Windows AD 是 Microsoft 提供的本地化用戶目錄管理服務。在AOne中配置AD認證源，可實現用戶使用AD的賬戶密碼登錄的功能。本文介紹如何使用AD作為認證源。

注意
目前該能力暫未全面開放至控制臺，若想要進行該能力配置，可聯系我們進行開啟。
客戶端集成AD認證源版本為：PC客戶端版本（windows、macOS、Linux圖形化）為2.12.0及以上版本，移動端（安卓、IOS）為1.14.0版本。

操作步驟

管理員創建AD認證源

即AD當作認證源，其管理登錄認證驗證，AOne客戶端登錄時進行轉發給AD進行認證，因零信任需要針對用戶、組織進行精細化授權，建議采用AD同步提前將用戶信息導入，配置對應權限。

1、添加認證源

進入擴展認證源列表，點擊“添加認證源”，進行AD認證源添加。

2、選擇認證源類型

選擇AD 認證源類型。輸入配置參數，完成AD認證源配置。

配置參數說明：

? 參數
說明
認證源名稱
必填，默認值“AD”，輸入限制為16個字。
服務器地址
必填，分為鏈接方式、服務器地址和端口三個部分：
?下拉選擇域名為ldap:// 或者 ldaps://。
輸入服務器地址。
輸入端口號。
同步密碼到 AD 時必須開啟 StartTLS 或 ldaps，非同步密碼場景也推薦開啟，可以有效提高數據傳輸的安全性。一般使用 389 或 636 端口。
管理員賬戶
必填，請輸入登錄名，如admin@example.com。支持DN格式，并請確保該賬戶至少擁有全部節點的讀取權限；如需同步賬戶或密碼到 AD，還需分配寫入權限。
管理員密碼
必填，該賬戶的登錄密碼。
User DN
必填，AD服務器的根目錄，通常是DN（Distinguished Name）的路徑。例如：dc=test,dc=local。
查詢條件
必填，無特殊情況一般為objectclass=*，查詢User DN下所有的對象。 此處也可定義搜索條件，確定哪些條目（Entry）符合查詢要求，例如：
?(objectClass=person)：查找所有對象類為“person”的條目。
(cn=John Doe)：查找常見名稱（cn）為“John Doe”的條目。
(uid=*)：查找所有具有“uid”屬性的條目。
&（和）、|（或）、!（非）等邏輯運算符可以用來組合多個條件。

用戶登錄標識
必填， 會同步至AOneId的username（賬號）字段，也是用戶使用AD登錄時賬號字段。
用戶信息映射規則
必填，同步AD數據至AOneId的映射關系，支持多個，目前AOneId僅支持配置name、mobile、email、nickname 4個字段的映射規則。
例如：name=displayName;mobile=homePhone;email=mail;
nickname=givenName。
注意：
AOneId中的name（姓名）同步AD中的displayName字段
AOneId中的mobile（手機號）同步AD中的homePhone字段
AOneId中的email（郵箱）同步AD中的mail字段
AOneId中的nickname（昵稱）同步AD中的givenName字段
登錄模式
必填，目前支持登錄注冊。
適用范圍
必填，目前支持PC端和移動端。
logo
非必填，用于在認證源列表展示的logo。

3、配置完成

配置參數填寫完成后，點擊“下一步”完成任務配置，系統回到認證源列表，可查看認證源的相關信息。

登錄驗證

使用AOne客戶端即可看到對應登錄方式，選擇AD登錄方式輸入AD賬號、密碼（其中賬號用戶在AD認證源中配置的“用戶登錄標識”字段，密碼為AD密碼）進行登錄。