步驟一 配置 LDAP 服務(wù)連接

首先需要配置 LDAP 服務(wù)器的連接信息，包括：

• 服務(wù)器地址：LDAP 服務(wù)器地址和端口。

• Base DN：LDAP 服務(wù)器的 Base DN，一般為 LDAP 服務(wù)器的根目錄，如果需要限定用戶同步的范圍，可以配置為 LDAP 服務(wù)器的子目錄。

  說(shuō)明

  請(qǐng)認(rèn)真確認(rèn)用戶同步的范圍，避免實(shí)際同步范圍超出預(yù)期。

• Bind DN：LDAP 服務(wù)器的 Bind DN，一般為 LDAP 服務(wù)器的管理員賬號(hào)。

• Bind DN 密碼：LDAP 服務(wù)器的 Bind DN 密碼。

• 用戶查詢條件：LDAP 服務(wù)器用戶信息同步的過(guò)濾器，一般為“(objectClass=person)”。

• 部門查詢條件：LDAP 服務(wù)器部門信息同步的過(guò)濾器，一般為“(objectClass=GroupOfUniqueNames)”。

填寫完成后，單擊下一步。

步驟二 配置賬號(hào)綁定與屬性映射

目前提供種 4 種賬號(hào)識(shí)別和綁定方式：

• 自動(dòng)綁定郵箱相同的賬號(hào)：按照同步策略，自動(dòng)將云效、LDAP 中郵箱賬號(hào)相同的用戶綁定在一起。

• 自動(dòng)綁定登錄賬號(hào)相同的賬號(hào)：按照同步策略，自動(dòng)將云效、LDAP 中登錄賬號(hào)相同的用戶綁定在一起。

• 自動(dòng)綁定手機(jī)號(hào)相同的賬號(hào)：按照同步策略，自動(dòng)將云效、LDAP 中手機(jī)號(hào)相同的用戶綁定在一起。

• 自動(dòng)綁定工號(hào)相同的賬號(hào)：按照同步策略，自動(dòng)將云效、LDAP 中工號(hào)相同的用戶綁定在一起。

無(wú)論選擇哪一種賬號(hào)識(shí)別和綁定方式，均需要保證其對(duì)應(yīng)的屬性字段的唯一性和存在性，因?yàn)樵菩凑者x擇的方式進(jìn)行賬號(hào)的一一匹配，如下圖為選擇自動(dòng)綁定郵箱相同的賬號(hào)的綁定過(guò)程：

接下來(lái)需配置用戶屬性映射的字段，云效將按照下圖中設(shè)置的用戶屬性字段映射關(guān)系進(jìn)行信息映射。

步驟三 開(kāi)啟服務(wù)

LDAP 集成的服務(wù)在配置的過(guò)程中默認(rèn)不開(kāi)啟，用戶可在此處開(kāi)啟服務(wù)：

• 用戶和組織同步：開(kāi)啟后，可保持云效用戶管理中的用戶目錄和 LDAP 同步范圍內(nèi)的用戶同步。

• 單點(diǎn)登錄：開(kāi)啟后，可支持通過(guò) LDAP 賬號(hào)和密碼登錄云效。

如果選擇開(kāi)啟對(duì)應(yīng)的功能情況下，需要進(jìn)行相關(guān)配置（以下內(nèi)容適配于修改對(duì)應(yīng)功能配置）。

用戶和組織同步

• 數(shù)據(jù)同步時(shí)機(jī)：默認(rèn)為手動(dòng)同步，并支持手動(dòng)同步、定時(shí)同步的切換。

  • 手動(dòng)同步：需要站點(diǎn)管理員在有數(shù)據(jù)變更后，手動(dòng)在 LDAP 集成詳情頁(yè)面單擊執(zhí)行手動(dòng)同步按鈕完成用戶和組織同步。

    說(shuō)明

    每次手動(dòng)同步操作盡量間隔 1 個(gè)小時(shí)。

  • 定時(shí)同步：配置同步的時(shí)機(jī)和規(guī)則按每天（某刻）、每周（某天某刻）、每月（某天某刻）、每隔一定時(shí)間進(jìn)行同步，如果設(shè)置為定時(shí)同步，建議保存配置后完成一次手動(dòng)同步，以保證數(shù)據(jù)可以及時(shí)同步至云效。

• 用戶差異處理：默認(rèn)忽略云效上多余的賬號(hào)，且為在同步范圍內(nèi)的 LDAP 賬號(hào)創(chuàng)建云效賬號(hào)并綁定，可根據(jù)訴求修改。

  • 已有云效賬號(hào)未匹配到 LDAP 賬號(hào)-忽略：當(dāng)已有云效賬號(hào)未匹配到 LDAP 賬號(hào)時(shí)，不刪除云效上的多余賬號(hào)。

  • 已有云效賬號(hào)未匹配到 LDAP 賬號(hào)-刪除云效賬號(hào)：當(dāng)已有云效賬號(hào)未匹配到 LDAP 賬號(hào)時(shí)，刪除云效上的賬號(hào)。

  • 已有 LDAP 賬號(hào)未匹配到云效賬號(hào)-忽略：當(dāng)已有 LDAP 賬號(hào)未匹配到云效賬號(hào)時(shí)，不在云效上創(chuàng)建新賬號(hào)。

  • 已有 LDAP 賬號(hào)未匹配到云效賬號(hào)-新建云效賬號(hào)并綁定：當(dāng)已有 LDAP 賬號(hào)未匹配到云效賬號(hào)時(shí)，會(huì)按照賬號(hào)綁定和屬性映射規(guī)則在云效上創(chuàng)建新賬號(hào)，并與 LDAP 賬號(hào)綁定；

• 組織差異處理：默認(rèn)忽略云效上多余的部門節(jié)點(diǎn)，且為在同步范圍內(nèi)的 LDAP 部門節(jié)點(diǎn)創(chuàng)建云效部門并綁定，可根據(jù)訴求修改。

  • 已有云效部門未匹配到 LDAP 部門-忽略：當(dāng)已有云效部門未匹配到 LDAP 部門時(shí)，不刪除云效上的部門節(jié)點(diǎn)。

  • 已有云效部門未匹配到 LDAP 部門-刪除云效部門：當(dāng)已有云效部門未匹配到 LDAP 部門時(shí)，刪除云效上的部門節(jié)點(diǎn)。

  • 已有 LDAP 部門未匹配到云效部門-忽略：當(dāng)已有 LDAP 部門未匹配到云效部門時(shí)，不在云效上創(chuàng)建部門節(jié)點(diǎn)。

  • 已有 LDAP 部門未匹配到云效部門-創(chuàng)建云效部門并綁定：當(dāng)已有 LDAP 部門未匹配到云效部門時(shí)，會(huì)在云效上創(chuàng)建部門節(jié)點(diǎn)，并將兩方部門節(jié)點(diǎn)進(jìn)行綁定。

開(kāi)啟單點(diǎn)登錄

打開(kāi)單點(diǎn)登錄的開(kāi)關(guān)后，可以：

• 查看 LDAP 的登錄地址，已經(jīng)綁定 LDAP 賬號(hào)的云效用戶，可以在該頁(yè)面使用 LDAP 的賬號(hào)和密碼登錄云效。

• 自定義配置可修改：LDAP 登錄入口的顯示名稱和顯示圖標(biāo)，修改后云效系統(tǒng)將按照修改的內(nèi)容顯示。

• 允許開(kāi)啟首次登錄時(shí)創(chuàng)建云效賬號(hào)：

  • 默認(rèn)不勾選：登錄時(shí)僅允許 LDAP 賬號(hào)與云效賬號(hào)進(jìn)行綁定，匹配不到云效賬號(hào)時(shí)，云效不會(huì)根據(jù) LDAP 賬號(hào)創(chuàng)建云效賬號(hào)。

  • 勾選后：允許在 LDAP 賬號(hào)登錄云效且 LDAP 賬號(hào)無(wú)法匹配到云效賬號(hào)時(shí)，云效創(chuàng)建新的云效賬號(hào)與之綁定。

如果選擇不開(kāi)啟服務(wù)，也可保存配置，后續(xù)可以在 LDAP 集成詳情頁(yè)面中開(kāi)啟所需服務(wù)。 當(dāng)完成所有配置后，單擊保存配置按鈕即可完成 LDAP 集成的配置。