飞连支持企业将第三方平台的组织架构信息导入飞连。本文主要介绍如何在飞连管理后台导入 LDAP 组织架构。
LDAP(轻型目录访问协议)是一种软件协议,它允许用户在公共互联网或公司内网上轻松查找网络中的组织、个人和其他资源(如文件和设备)信息。Google LDAP 指 Google 提供的 LDAP 兼容服务,即 Google Workspace(原 G Suite)。Google Workspace 是 Google 在订阅基础上提供的一套云计算和协作工具,其中包括用户目录和身份验证服务,这些服务可以使用 LDAP 协议进行集成和交互。
Google Workspace 中的用户账户和组织结构可以通过 LDAP 接口与其他系统进行同步和交互,实现单点登录和身份验证等功能。例如,企业可能使用 Google Workspace 的 LDAP 接口来同步用户账户信息到内部的 LDAP 服务器,或者使用 Google 提供的 API 和工具来实现应用程序的 LDAP 认证。这样,企业就可以利用 Google Workspace 的安全性和可扩展性,同时保持现有的 LDAP 基础设施和应用程序的兼容性。
- 企业已开通 Google Workspace 服务,并在 Google Workspace 中构建了完善的组织架构体系。
- 企业在 Google Workspace 中的 LDAP 添加用于在飞连中校验的 Client,并将验证/阅读权限设置为整个域(如下图所示)。
登录飞连管理后台。
在左侧导航栏,选择账号配置。
在账号配置页面的数据源同步页签,单击添加数据源。
在选择数据源对话框,单击 LDAP,并单击创建。
在导入配置页面的数据源区域,完成以下配置,并单击下一步。
配置项
说明
数据源名称
默认为“Google LDAP 数据同步”,您也可以根据业务场景更改名称。
服务器地址
LDAP 所属服务器的地址。建议遵循安全的轻型目录访问协议 LDAPs,地址格式:
ldaps://<host>:<post>,其中<host>指服务器域名或 IP 地址,<post>指端口号,示例值:ldaps://ldap.google.com:636。管理员账号
指定可以用来连接 LDAP 服务器且拥有管理权限的用户。管理员账号以 LDAP 中的 DC(Domain Component)、CN(Common Name)、OU(Organizational Unit)属性定义,示例值:
cn=admin, dc=feilian, dc=com。管理员密码
管理员账号对应的密码。
用户对象类
此字段对应 LDAP 中的用户 ObjectClass。不同 LDAP 服务器的示例值如下:
- OpenLDAP:inetOrgPerson
- 基于 LDAP 的 AD 域:user 或 organizationalPerson
组织对象类
此字段对应 LDAP 中的组织 ObjectClass。不同 LDAP 服务器的示例值如下:
- openLDAP:organizationalUnit(或者可能是 groupOfNames)
- 基于 LDAP 的 AD 域:organizationalUnit
Base DN
以该节点为根节点查询组织对象。节点路径以 LDAP 中的 DC(Domain Component)、CN(Common Name)、OU(Organizational Unit)属性定义,示例值:
dc=feilian, dc=com。用户唯一标识
LDAP 中每个用户实例的唯一标识属性。不同 LDAP 服务器的唯一标识属性说明:
- OpenLDAP:uid 或 dn
- 基于 LDAP 的 AD 域:sAMAccountName
组织结构中的成员字段
如果组织类型为 group,则需要填写该字段,表示组内的人员信息,示例值:member。
成员中的组织结构字段
自定义配置,根据实际需要填写。
离职字段
填写 LDAP 中每个用户实例对应的离职字段,示例值:suspended。
离职字段值
填写 LDAP 中每个用户实例对应的离职字段值,示例值:true。
客户端证书
填写客户端的公钥证书,用于当客户端尝试与 LDAP 服务器建立连接时的身份验证。
客户端证书 Key
填写客户端的私钥,用于与证书中的公钥配对。
第三方权限探测
您可以单击第三方权限探测区域的开始检测,以帮助您有效检查是否已配置好第三方平台的权限,避免配置完成在导入时无法正常使用。对于 LDAP 而言,将检测飞连与 LDAP 数据之间的通信以及应用权限开通情况。
在数据对象界面,完成以下配置,并单击下一步。
- 在选择部门与成员区域,选择同步对象。
被选择的同步对象会被导入飞连管理后台。 - 在同步字段映射区域,设置第三方与飞连的字段映射关系。
同步字段映射用于企业将第三方的成员信息中的字段映射到飞连内,其中,手机号和邮箱用于匹配用户唯一账号关系,暂不支持删除手机号和邮箱的映射关系。
在同步字段映射区域,单击编辑,可手动调整字段映射关系,左侧第三方字段是指第三方平台内设置的用户字段。右侧飞连字段是指第三方平台映射到飞连的用户字段。字段配置说明如下:- 在飞连字段列,第三方 ID(用户 ID)、手机号(手机号码)、邮箱(员工邮箱)字段不允许修改与删除,用于匹配用户唯一账号关系。
- 如果飞连默认提供的字段不能满足映射需求,可单击添加映射,手动添加字段映射关系。
添加映射时,除了选择飞连提供的默认字段,还支持手动添加扩展字段。- 第三方字段中添加扩展字段方式如下图所示。
- 飞连字段中添加扩展字段方式如下图所示,扩展字段填写说明如下:
- 字段 Key:定义字段唯一值。
- 字段名称:字段的显示名称。
- 字段描述:字段的说明。
- 字段类型:可选字符串、数字、布尔值、表达式、枚举值。
- 高级配置:可选必填、唯一、编辑。
在第三方字段和飞连字段列名右侧,单击设置图标,可以统一管理扩展字段(包括添加、编辑、删除操作)。
- 第三方字段中添加扩展字段方式如下图所示。
- 在选择部门与成员区域,选择同步对象。
在导入模式区域,选择导入模式,并单击完成配置。
当 LDAP 数据发生变更时,飞连为您提供了以下导入数据的方式可选,包括手动导入、自动导入。说明
实时同步的方式仅支持飞书、钉钉和企业微信。
导入方式
说明
策略
手动导入
在配置好数据源后,由人工主动触发数据导入操作。适用于企业管理员配置完成后,当下不想立即执行导入任务,待调试准备完成后,再进行手动导入的工作。
手动全量导入
自动导入
指定时间导入第三方数据源。适用于企业需要在固定时间完成数据导入的场景。
定时全量导入
- 手动导入:选择手动导入,后续在数据接入列表中,手动开始导入组织架构数据。
- 自动导入:选择自动导入,并选择导入模式,支持设置每隔多少分钟或小时,或者设置每天固定时间点导入组织架构。
在数据源同步页签的列表中,找到已添加的数据源配置,打开生效开关。
打开生效开关后,该数据同步配置才正式生效,后续按照设置的同步方式进行数据同步。说明
如果同步方式设置的手动导入,则打开生效开关后,可根据实际需要手动单击开始同步。
此外,单击 Google LDAP 数据同步,支持查看以下信息:
同步配置页签:查看基础信息、同步机制、同步策略信息。
同步任务页签:查看历史同步记录。您可以通过以下三个筛选条件,筛选出目标同步任务。
在同步数据详细信息的操作列,单击详情,可查看该信息上游同步至飞连数据源的信息对比。对比同步前后的信息内容,可帮助您进行日志审计或排查用户数据问题。筛选条件
说明
变更动作
可选全部、创建、更新以及删除,仅支持单选:
- 全部:包含所有变更动作的同步任务。
- 创建:代表创建了新的同步任务。
- 更新:代表更新了已有的同步任务。
- 删除:代表上游数据源删除数据时,同步删除飞连中的数据。
同步状态
可选全部、成功、失败以及忽略,仅支持单选:
- 全部:包含所有同步状态的同步任务。
- 成功:代表同步成功的同步任务。
- 失败:代表同步失败的同步任务。
- 忽略:代表由于各种原因不入库的情况,例如全量同步任务发现已有实时任务将新数据入库时,飞连选择忽略这些数据,不将其入库。
搜索部门/员工
根据同步数据中包含的部门或员工名称进行筛选。
登录飞连管理后台。
在左侧导航栏,选择账号配置。
单击认证源管理页签,单击右上角添加认证源。
在选择认证源对话框中,单击 Google Secure LDAP 卡片。
说明
一个企业组织内,您只可添加一个 LDAP 认证源。若您之前已经添加 LDAP 作为认证源,则无法再添加 Google LDAP 作为认证源,反之亦然。
参考界面提示配置参数,关键参数说明如下,完成配置后,单击确定。
模块
配置项
必填
说明
基本信息
登录显示图标
是
登录界面按钮上显示的身份源图标,单击重新上传可上传自定义显示图标。
登录简称(中文)
是
显示在登录界面的按钮下方的名称,例如飞书快捷登录,点击输入框下方的示例了解展示效果。
登录简称(英文)
是
显示在登录界面的按钮下方的名称。
唯一标志
不涉及
登录源唯一标识,用于区分不同登录认证的租户,由小写字母、数字以及 - 组成,长度小于 32 位字符。由飞连默认提供,不可修改。
单位
是
请选择该认证源适用的单位。设置后,该单位的员工可通过此登录方式进行认证。
描述
否
认证源描述,非客户端展示字段,仅用于管理后台备注说明,长度小于 40 位字符。
登录认证位置
是
请选择该登录认证方式适用的飞连客户端类型,默认飞连手机端软件、桌面端软件或门户网站均可使用该登录认证方式。
LDAP/AD 认证配置
服务器 Host
是
LDAP 所属服务器的地址。建议遵循安全的轻型目录访问协议 LDAPS,地址格式:
ldaps://<host>:<post>。示例值:ldaps://ldap.google.com:636。<host>指服务器域名或 IP 地址。<post>指端口号。LDAP 协议默认为 389,LDAPS 协议默认为 636。
Base DN
是
填写已保存的飞书应用凭证 App Secret。您可以进入飞书开放平台的应用详情中的凭证与基础信息页面获取 App Secret。
管理员 DN
是
指定可以用来连接 LDAP 服务器且拥有管理权限的用户。示例值:
cn=admin, dc=feilian, dc=com。管理员密码
是
管理员 DN 对应的密码信息。
用户唯一标识
是
LDAP 中每个用户实例的唯一标识。示例值如下:
- OpenLDAP:uid 或 dn
- AD 域:sAMAccountName
用户对象类
是
用户对象(objectclass)。示例值如下:
- OpenLDAP:inetOrgPerson
- 基于 LDAP 的 AD 域:user 或 organizationalPerson
SSL 证书文件
是
单击下方的上传文件上传证书文件,证书使用 PEM(Privacy Enhanced Mail)文本格式,格式说明如下:
- 开头:“-----BEGIN ***-----”,示例值:“-----BEGIN CERTIFICATE-----”。
- 中段:内容是 Base64 编码,文件以 .crt 为后缀。
- 结尾:“-----END ***-----”,示例值:“----END CERTIFICATE-----”。
SSL 证书密钥文件
是
单击下方的上传文件上传证书文件,密钥使用 PEM(Privacy Enhanced Mail)文本格式,格式说明如下:
- 开头:“-----BEGIN ***-----”,示例值:“-----BEGIN * PRIVATE KEY-----”。
- 中段:内容是 Base64 编码,文件以 .key 为后缀。
- 结尾:“-----END ***-----”,示例值:“-----END * PRIVATE KEY-----”。
离职字段
否
如果 LDAP 中存在表示用户离职的属性,请填写。示例值如下:
- OpenLDAP:employeeType
- AD 域:UserAccountControl
离职标识
否
表示用户离职状态的关键字。示例值如下:
- OpenLDAP:separated
- 基于 LDAP 的 AD 域:514(十进制)
连通性测试
N/A
单击连通性测试,确保 LDAP 服务器与飞连管理后台网络互通。
高级配置
属性映射策略
是
将第三方登录认证源的用户信息直接映射为飞连的用户信息,即在登录过程中建立第三方与飞连用户之间的对应关系:
- 调整字段映射关系:左侧飞书字段是指飞书内设置的用户字段。右侧飞连字段是指需要配置映射到飞连的用户字段。
- 开启登录自动更新:如果在对应映射字段后勾选了开启,表示在进行登录时,如果匹配到系统中存在的用户,会用本次登录时的用户属性对系统中的用户属性进行更新。
- 删除:删除当前映射策略。
- 添加:如果飞连默认提供的字段不能满足映射需求,可单击添加,手动添加字段映射关系。
- 添加扩展字段:如果当前字段不能满足映射策略,可单击**添加扩展字段,**填写说明如下:
- 字段 Key:定义字段的唯一值。
- 字段名称:设置字段的显示名称。
- 字段描述:填写字段的说明。
唯一标识优先级
是
通过拖拽设置匹配标识的优先级,飞连将按照优先级顺序匹配上游唯一标识。如果当前标识不能满足需求,可单击添加,手动添加标识。
登录未匹配到员工时,选择处置方式
否
企业成员登录飞连时,未在飞连组织架构匹配到用户时,将提供自动创建账号服务,可选:
- 自动创建员工账号:开启后,登录未匹配到员工时,将自动创建员工账号,将员工关联至指定部门。
- 员工登录失败,将不会创建账号:开启后,登录未匹配到员工时,将不创建账号。