“一键”搞定用户同步，LDAP在永洪BI中的应用

前情提要

公司有很多IT系统，例如:企业邮箱、github、jenkins、grafna、zabbix、***、HR系统、用友、金蝶、文件系统、aws、aliyun、cmdb、jira、confluence……

在新员工入职时，要做的事情有这些：

要根据员工的职位，确认开通IT系统的权限；
在对应的IT系统中添加账户，设置密码；
各种渠道通知到新员工，IT系统权限和IT系统访问地址。
在老员工离职时，上面的事又要做一遍。

在正常工作时，很多员工因各种奇葩原因忘记密码，来找你重置、修改。在员工升职、调换岗位时，又是一通修改和删除。

有木有很崩溃?这还不够，一个员工需要手动操作N次，每天会有0-N个员工，如果出现误操作，导致数据泄露。这口锅直接背起。有木有感觉不会再爱了。

解决方案

说了那么多痛点，其实解决方案很简单，有个认证管理中心就可以解决了，那就是LDAP。LDAP是什么？干什么用?

LDAP是Lightweight Directory Access Protocol的缩写，中文意思是目录服务的协议，并且以树状结构来存储数据。

主要用来存储企业人员信息和组织架构，并对其进行统一认证管理。同时可以与第三方应用集成，实现针对企业内部的人员或部门访问权限管理。

实例讲解

那咱们就来看一下LDAP在永洪BI中的使用，如何方便快捷进行永洪用户同步，以下实例中的LDAP连接相关信息，都是以ldapadmin连接LDAP服务器为例。

1、权限设置

进入【管理系统】-【系统设置】-【权限管理系统配置】中进行设置。将权限管理系统修改为LDAP同步&文件权限管理系统。如下图所示：

当用户选择LDAP同步&文件权限管理系统时，可以通过配置LDAP服务器与权限系统的对应关系，对接用户的LDAP服务器。可通过这一类型将LDAP中的用户同步进系统，并赋予资源和操作的权限，如下图所示：

2、LDAP配置

在LDAP配置页面需要配置以下属性，具体介绍如下所示。

服务器配置
URL：LDAP服务器的url，一般格式为服务器的url：port，但通常需要带上ldap协议头，如：ldap://192.168.0.181:389；

每页条目数：每页可以导入的条目数，这个值是根据LDAP的用户总数由用户自行设定的，如设置为500或者1000；

用户名：登录LDAP的用户名称；

密码：登录LDAP的密码；

域名：LDAP服务器的域名，比如：dc=maxcrc,dc=com。域名可以在连接页面查询，如下图：

服务器配置页面如下所示：

注：若无特定设置用户名以及密码，可不填写该两项。

用户属性配置
ObjectClass：LDAP对象类，是LDAP内置的数据模型，比如inetOrgPerson对象类。每种objectClass有自己的数据结构，比如“用户”的objectClass，会内置很多属性(attributes)，如用户名(name)，密码(password)，电话(mobile)等；所有拥有此对象类的数据将会被当做一个用户条目来解析；

UID：用户的uid对应item中的file的名称的映射。比如：将LDAP条目中的“name”属性作为UID时，同步进系统后，“name”属性的值将对应系统中用户的用户名；

ObjectClass以及UID可在如下界面看到：