本文档旨在指导企业 IT 管理员，如何在管理后台创建 LDAP 应用，将支持 LDAP 协议的第三方系统或应用与飞连进行身份集成。
集成完成后，员工即可使用飞连账号与密码直接登录各类业务系统，实现身份认证的统一管理。通过收敛分散在各系统的账号权限，企业可有效降低多账户维护成本，并确保账号生命周期管理的安全合规。

第一步：创建 LDAP 应用 #

1. 登录飞连管理后台。
2. 在左侧导航栏，选择身份 > 单点登录。
3. 单击页面右上角的 + 自建应用。
4. 选择 LDAP 模版。
   
5. 在应用创建页面，填写以下信息：
   

   • 基本信息
     输入应用名称、应用访问地址和应用描述。

   • 单点登录配置
     在此区域，您可以根据应用的具体能力，定制认证逻辑。注意，此处的配置优先级高于 LDAP Server 的全局配置。

     配置项	说明
     密码格式	选择该应用连接飞连时支持的验证方式。
     RDN	选择用户在该应用中的唯一标识属性（如 open_id, user_id）。该设置决定了用户 DN 中 uid 字段的取值（如 uid=test...），请确保所选字段在飞连中不为空且唯一。
     用户标识符	选择返回用户 DN 的键名： uid（默认）：返回格式如 uid=zhangsan,dc=... cn：返回格式如 cn=zhangsan,dc=... 请根据第三方系统对 LDAP DN 格式的要求进行选择。
     Samba 认证	仅当接入 NAS、文件共享服务等需要 Samba 协议支持的系统时开启。开启此功能需要存储密码的 MD4 哈希值，存在一定安全风险，请按需开启。开启后需填写 Workgroup 和 SID（需与 Samba 服务器配置一致）。

   • 用户属性字段：数据同步范围。为保护隐私及提升同步性能，您可以按需勾选该应用有权获取的用户信息字段。

     • 基础字段：系统内置的标准 LDAP 属性。默认全选，支持取消。
     • 扩展字段：企业自定义的扩展属性。默认不勾选。查询扩展属性会消耗较多性能，若第三方应用无需使用这些字段，建议保持不勾选状态以提高搜索速度。
6. 点击确定保存配置，完成应用创建。

第二步：配置应用授权范围 #

默认情况下，应用创建后对全员不可用，需指定允许使用该应用的人员范围。

1. 应用创建完成后，系统将自动跳转至应用授权页。如未跳转，进入应用详情页，切换至应用授权页签。
   
2. 根据业务需求选择授权模式。
   • 全员启用：企业内所有激活状态的员工均可登录该应用。
   • 部分启用：仅允许指定的部门、角色或个人登录。若选择部分启用，请点击添加部门 / 添加个人 / 添加角色按钮，勾选相应的组织架构节点或人员。未在授权范围内的员工，即使用户名密码正确，在使用 LDAP 登录该系统时也会被拒绝（认证失败）。
3. 设置完成后，系统自动保存授权规则。

第三步：获取连接凭证 #

应用创建成功后，进入该应用的详情页，切换至单点登录页签。在基础信息区域获取连接所需的身份凭证。点击凭证右侧的复制图标即可快捷复制。

第四步：在第三方系统中完成配置 #

登录第三方系统的管理后台，找到 LDAP / Directory Server 配置菜单，填入第三步中获取的连接参数：

• Server URL / Hostname：填入飞连的 ldap://... 或 ldaps://... 地址。
• Port：389 或 636。
• Base DN：填入飞连全局配置中的搜索 DN（如 ou=users,dc=...）。
• Manager DN / Bind DN：填入应用专属 Bind DN。
• Password：填入应用专属密码。

配置完成后，通常可点击第三方系统的 “Test Connection” 按钮进行连通性测试。测试通过后，即可开启数据同步或认证服务。

常见应用对接示例 #

针对常见的第三方应用，飞连提供了详细的配置指引，请根据您的实际场景参考对应文档。
群晖 Synology NAS 配置指南
Atlassian Crowd 配置指南
Kuboard 配置指南
JumpServer 配置指南
若您对接的系统不在上述列表中，请参照通用 LDAP 配置逻辑，将飞连提供的 Hostname、Port、Base DN 以及应用专属的 Bind DN 和密码填入对应字段即可。