You need to enable JavaScript to run this app.
导航

LDAP 组织架构导入配置教程

最近更新时间2023.12.05 14:16:44

首次发布时间2023.04.26 11:07:54

飞连支持企业将第三方平台的组织架构信息导入飞连。本文主要介绍如何在飞连管理后台导入 LDAP 组织架构。

协议介绍

LDAP (轻型目录访问协议)是一种软件协议,使任何人都可以在公共互联网或公司内网上查找网络中的组织、个人和其他资源(例如文件和设备)的数据。LDAP 是目录访问协议(DAP)的轻量级版本,它是 X.500(网络中目录服务的标准)的一部分。

前提条件

企业已拥有 LDAP 服务,并在 LDAP 中构建了完善的组织架构体系。

在飞连管理后台进行数据同步
  1. 登录飞连管理后台。

  2. 在左侧导航栏,选择账号配置

  3. 账号配置页面的数据源同步页签,单击添加数据源
    图片

  4. 选择数据源对话框,单击 LDAP,并单击创建

  5. 导入配置页面的数据源区域,完成以下配置,并单击下一步

    配置项

    说明

    服务器地址

    LDAP 所属服务器的地址。建议遵循安全的轻型目录访问协议 LDAPs,地址格式: ldaps://<host>:<post>,其中 <host> 指服务器域名或 IP 地址,<post> 指端口号。示例值:ldaps://xxxldap://xxx:389

    管理员账号

    指定可以用来连接 LDAP 服务器且拥有管理权限的用户。管理员账号以 LDAP 中的 DC(Domain Component)、CN(Common Name)、OU(Organizational Unit)属性定义,示例值:cn=admin, dc=feilian, dc=com

    管理员密码

    管理员账号对应的密码信息。

    用户对象类

    用户对象(objectClass)。不同 LDAP 服务器的示例值如下:

    • OpenLDAP:inetOrgPerson
    • 基于 LDAP 的 AD 域:user 或 organizationalPerson

    组织对象类

    组织对象(objectClass)。不同 LDAP 服务器的示例值如下:

    • openLDAP:organizationalUnit(或者可能是 groupOfNames)
    • 基于 LDAP 的 AD 域:organizationalUnit。

    Base DN

    以该节点为根节点查询组织对象。节点路径以 LDAP 中的 DC(Domain Component)、CN(Common Name)、OU(Organizational Unit)属性定义,示例值:dc=feilian, dc=com

    用户唯一标识

    LDAP 中每个用户实例的唯一标识属性。不同 LDAP 服务器的唯一标识属性说明:

    • OpenLDAP:uid、dn
    • 基于 LDAP 的 AD 域:sAMAccountName

    组织结构中的成员字段

    如果组织类型为 group,则需要填写该字段,表示组内的人员信息。示例值:member。

    成员中的组织结构字段

    自定义配置,根据实际需要填写。

    离职字段

    填写 LDAP 中每个用户实例对应的离职字段。

    离职字段值

    填写 LDAP 中每个用户实例对应的离职字段值。

    第三方权限探测

    在填写字段值后,您可以单击第三方权限探测区域的开始检测,以帮助您有效检查是否已配置好第三方平台的权限,避免配置完成在导入时无法正常使用。对于 LDAP 而言,将检测飞连与 LDAP 数据之间的通信以及应用权限开通情况。

  6. 数据对象界面,完成以下配置,并单击下一步

    1. 选择部门与成员区域,选择同步对象。
      被选择的同步对象会被导入飞连管理后台。
    2. 同步字段映射区域,设置第三方与飞连的字段映射关系。
      同步字段映射用于企业将第三方的成员信息中的字段映射到飞连内,其中,手机号邮箱用于匹配用户唯一账号关系,暂不支持删除手机号和邮箱的映射关系。
      同步字段映射区域,单击编辑,可手动调整字段映射关系,左侧第三方字段是指第三方平台内设置的用户字段。右侧飞连字段是指第三方平台映射到飞连的用户字段。字段配置说明如下:
      • 在飞连字段列,第三方 ID(用户 ID)、手机号(手机号码)、邮箱(员工邮箱)字段不允许修改与删除,用于匹配用户唯一账号关系。
      • 如果飞连默认提供的字段不能满足映射需求,可单击添加映射,手动添加字段映射关系。
        图片
        添加映射时,除了选择飞连提供的默认字段,还支持手动添加扩展字段。
        • 第三方字段中添加扩展字段方式如下图所示。
          图片
        • 飞连字段中添加扩展字段方式如下图所示,扩展字段填写说明如下:
          图片
          • 字段 Key:定义字段唯一值。
          • 字段名称:字段的显示名称。
          • 字段描述:字段的说明。
          • 字段类型:可选字符串数字布尔值表达式枚举值。
          • 高级配置:可选必填唯一编辑
            第三方字段飞连字段列名右侧,单击设置图标,可以统一管理扩展字段(包括添加、编辑、删除操作)。
            图片
  7. 导入模式区域,选择导入模式,并单击完成配置
    当 LDAP 数据发生变更时,飞连为您提供了以下同步数据的方式可选,包括手动导入自动导入

    说明

    实时同步的方式仅支持飞书、钉钉、企业微信。

    同步方式

    说明

    策略

    手动导入

    在配置好数据源后,由人工主动触发数据同步操作。适用于企业管理员配置完成后,当下不想立即执行同步任务,待调试准备完成后,再进行手动同步的工作。

    手动全量同步

    自动导入

    指定时间同步第三方数据源。适用于企业需要在固定时间完成数据同步的场景。

    定时全量同步

    • 手动导入:选择手动导入,后续在数据接入列表中,手动开始导入组织架构数据。
    • 自动导入:选择自动导入,并选择导入模式,支持设置每隔多少分钟或小时,或者设置每天固定时间点导入组织架构。
  8. 数据源同步页签的列表中,找到已添加的数据源配置,打开生效开关。
    打开生效开关后,该数据同步配置才正式生效,后续按照设置的同步方式进行数据同步。

    说明

    如果同步方式设置的手动导入,则打开生效开关后,可根据实际需要手动单击开始同步

    图片
    此外,单击 LDAP数据同步,支持查看以下信息:

    • 同步配置页签:查看基础信息同步机制同步策略信息。

    • 同步任务页签:查看历史同步记录。您可以通过以下三个筛选条件,筛选出目标同步任务。
      在同步数据详细信息的操作列,单击详情,可查看该信息上游同步至飞连数据源的信息对比。对比同步前后的信息内容,可帮助您进行日志审计或排查用户数据问题。

      筛选条件

      说明

      变更动作

      可选全部创建更新以及删除,仅支持单选:

      • 全部:包含所有变更动作的同步任务。
      • 创建:代表创建了新的同步任务。
      • 更新:代表更新了已有的同步任务。
      • 删除:代表上游数据源删除数据时,同步删除飞连中的数据。

      同步状态

      可选全部成功失败以及忽略,仅支持单选:

      • 全部:包含所有同步状态的同步任务。
      • 成功:代表同步成功的同步任务。
      • 失败:代表同步失败的同步任务。
      • 忽略:代表由于各种原因不入库的情况,例如全量同步任务发现已有实时任务将新数据入库时,飞连选择忽略这些数据,不将其入库。

      搜索部门/员工

      根据同步数据中包含的部门或员工名称进行筛选。

在飞连管理后台配置第三方登录
  1. 登录飞连管理后台。

  2. 在左侧导航栏,选择账号配置

  3. 账号配置页面的身份认证页签右上角,单击编辑

  4. 账号密码登录方式区域,选择 LDAP
    图片

  5. 单击 LDAP 页签,完成 LDAP 相关配置,并在页面右上角单击保存。
    图片

    配置项

    说明

    LDAP 登录入口名称

    输入LDAP 登录入口名称。

    服务器地址

    LDAP 所属服务器的地址。建议遵循安全的轻型目录访问协议 LDAPS,地址格式: LDAPS://<host>:<post>

    • <host> 指服务器域名或 IP 地址。
    • <post> 指端口号。LDAP 协议默认为 389,LDAPS 协议默认为 636。

    LDAP 节点

    设置 LDAP 节点后,飞连会以该节点为根节点查询组织对象。示例值:dc=feilian, dc=com

    管理员 DN

    指定可以用来连接 LDAP 服务器且拥有管理权限的用户。示例值:cn=admin, dc=feilian, dc=com

    管理员密码

    管理员 DN 对应的密码信息。

    用户对象类

    用户对象(objectclass)。示例值如下:

    • OpenLDAP:inetOrgPerson
    • 基于 LDAP 的 AD 域:user 或 organizationalPerson

    用户唯一标识

    LDAP 中每个用户实例的唯一标识。示例值如下:

    • OpenLDAP:uid、dn
    • AD 域:sAMAccountName

    手机号

    LDAP 中用户的手机号属性,与邮箱二选一进行配置。示例值如下:

    • OpenLDAP:phoneNumber
    • AD 域:mobile

    邮箱

    LDAP 中用户的邮箱属性,与手机号二选一进行配置。示例值如下:

    • OpenLDAP:mail
    • AD 域:mail

    用户离职字段

    可选项,如果 LDAP 中存在表示用户离职的属性,请填写。示例值如下:

    • OpenLDAP:employeeType
    • AD 域:UserAccountControl

    用户离职字段值

    表示用户离职状态的关键字。示例值如下:

    • OpenLDAP:separated
    • 基于 LDAP 的 AD 域:514(十进制)

    员工登录时,允许自动更新员工信息

    开启后,员工使用第三方数据源授权登录时,将自动更新员工信息。

    连通性测试

    单击连通性测试,确保 LDAP 服务器与飞连管理后台网络互通。

    自动创建账号

    开启自动创建账号后,当第三方数据未及时同步到飞连时,新员工登录飞连后会自动创建账号。
    功能效果示例:

    • 关闭效果:第三方数据源中有 A 账号,但飞连后台组织架构中还未同步 A 账号,此时若用账号 A 进行第三方登录,客户端会登录失败并报错。
    • 开启效果:第三方数据源中有 B 账号,但飞连后台组织架构中还未同步 B 账号,此时若用账号 B 进行第三方登录,将自动在飞连创建 LDAP 账号,且客户端登录成功。

    登录方式展示优先级

    如果您开启了飞连账号登录方式,或者授权了第三方平台认证登录飞连,则须在该配置项中设置账号登录方式的优先级。排序越靠左侧优先级越高。其中第一优先级为飞连的默认登录方式,其他为可选登录方式。

    浏览器快速登录

    开启后,当桌面端登录成功后,浏览器自动获取登录态,无需重复登录。

    桌面端授权登录确认

    开启后,在浏览器点击快速登录后,在桌面端进行授权登录二次确认,确保账号安全性。

    飞连客户端

    为飞连客户端设置员工账号登录态的有效时长。支持设置默认 20 天1 天3 天7 天14 天90天。

    自动续期

    开启后,支持客户端自动续期。

    门户网站

    为门户网站设置员工账号登录态的有效时长。支持设置默认 20 天1 天3 天7 天14 天。

    账号问题联系人

    输入一个企业员工作为账号问题联系人。当未开启忘记密码功能时,如果员工登录时忘记密码,则可以根据界面提示信息联系账号问题联系人进行解决。

    企业邮箱域名

    配置企业邮箱的域名后缀。如果企业需要统一邮箱后缀,则可以勾选仅支持添加该后缀邮箱

    账号到期提醒

    开启后,通过指定通知方式,告知员工账号即将到期。

    • 到期提醒:设置 1 到 15 天前到期,每天10:00将向员工发送一条账号到期通知。
    • 通知方式:选择一个或多个通知方式,包括短信通知邮件通知第三方IM