Active Directory 整合概述
本地 CAMServer Enterprise 透過與 Active Directory 連結,使 ID 驗證變得非常容易。以下情況是可能的:
- 网络应用程序版本如果使用 ,則在登入驗證期間將首先顯示 Active Directory 驗證 ID。
- 在ID認證中,現在可以進行無密碼認證和作業系統密碼認證。
- CAMServer使用Active Directory的LDAP協定來判斷身分認證是否成功。
Active Directory ID 連結
啟用 Active Directory ID 連線後,如果使用者已通過 Active Directory 驗證,將自動設定登入 ID。
可自動設定登入ID 网络应用程序版本 僅有的。
身份驗證方法
在儲存此設定之前,請務必先完成 LDAP 設定並執行「測試 LDAP 設定」。
啟用Active Directory ID連動後,您可以選擇「無密碼身份驗證」或「作業系統密碼驗證」。
*如果要加強認證,請選擇「作業系統密碼認證」。
無密碼身份驗證
AD登入時可獲得的資訊經過加密並用作身份驗證令牌,允許服務無需密碼即可登入。在啟用此設定之前,您需要設定「用於代理身份驗證的 AD 使用者」和「測試 LDAP 設定」。
使用 IIS 整合 Windows 驗證的 SSO 在安全性方面具有優勢。
・如果啟用此設置,您將只能存取 Web 應用程式版本。
- 如果設定錯誤,任何人都無法登入,但您可以透過在 CAMServer/cam.ini 檔案中設定 cam.disableADPasswordless=true 並啟動 CAMServer 來停用「無密碼身份驗證」設定。停用並啟動後,請檢查各種設置,並確保在啟用「無密碼身份驗證」之前執行「測試 LDAP 設定」。啟用後,刪除cam.ini檔案中的cam.disableADPasswordless並重新啟動CAMServer。
作業系統密碼認證
使用作業系統密碼執行使用者身份驗證。新用戶註冊時,請設定臨時密碼並註冊。使用以下流程進行身份驗證。
- 如果「作業系統密碼認證」成功,則認證成功,C&M 上註冊的密碼也會被覆蓋。
- 如果「作業系統密碼驗證」失敗,請使用C&M註冊時使用的密碼進行驗證。
LDAP 設定
LDAP URL
這是使用 ldap 搜尋 Active Directory 伺服器的 URL。根據需要在 LDAPUrl 中指定位址和連接埠。如果為空 ldap://localhost:389 使用 訪問它。 389 連接埠是 ldap 的預設連接埠。
LDAP基本DN
LDAPBaseDN 是一個值,指示將在 LDAP 伺服器的物件樹上的哪個位置執行使用者搜尋。
ブランクの場合、ユーザIDからドメインを参照し、CN=Users を検索対象とします。変更する場合は改行を入れ複数入力が可能です。また、ブランク以外に設定した場合でもデフォルトの「CN=Users, DC=yourdomain, DC=com」は自動で検索対象となります。
例えば、user1@camtest.com と言うユーザを検索する場合の LDAPBaseDN は「CN=Users, DC=camtest, DC=com」となり、これはデフォルトで検索対象のため、LDAPBaseDN を指定する必要はありません。
Users 以外の組織単位(OU)を作成しそこにユーザを追加した場合で検索対象とする場合は LDAPBaseDN を指定します。例えば下図では、Users 以外に営業部、経理部の組織単位(OU)を検索対象とする設定です。
測試 AD 使用者和 LDAP 設定以進行委派身份驗證
使用 IIS 執行單一登入或無密碼驗證時,設定 AD 使用者以執行代理身份驗證並執行「測試 LDAP 設定」。
在上述認證過程中,執行代理認證的AD使用者會透過內部LDAP搜尋來驗證自己是否是合法的AD使用者。
Active Directory 同步設定
啟用 Active Directory 同步設定後,將在指定時間從 Active Directory 檢索訊息,並更新 Chat&Messenger 中的使用者資訊。
待更新資訊如下。
- 使用者名稱...AD displayName 屬性
- 群組名...AD部門屬性
- 電子郵件・・・AD電子郵件屬性
常见问题
我可以建立 Active Directory 中不存在的使用者嗎?
如果您沒有選擇「無密碼」作為身份驗證方法,即使 Active Directory 中不存在該用戶,您也可以在 Chat&Messenger 用戶管理畫面上建立帳戶並登入。
我可以與 Active Directory 同步以自動新增使用者嗎?
目前,Chat&Messenger 不會根據 Active Directory 使用者自動新增或刪除使用者。因此,即使啟用了Active Directory鏈接,管理員也必須使用管理螢幕上的用戶註冊畫面或上傳CSV來建立Chat&Messenger用戶。
 |  *CSV 上傳僅新增/更改 Chat&Messenger 用戶,不會刪除他們。請從管理畫面一次刪除一項。 |
我想要取得 Active Directory 使用者清單並建立 CSV。
您可以使用 PowerShell 的 Get-ADUser 來取得 Active Directory 使用者清單。此列表中的 使用者主體名稱 請使用 Chat&Messenger 上的使用者 ID(工作電子郵件地址)建立 CSV 檔案。
> Get-ADUser -Filter {objectClass -eq "user"} -Properties info
DistinguishedName : CN=user1,CN=Users,DC=***,DC=com
GivenName : ユーザ1
Name : user1
ObjectClass : user
ObjectGUID : bf84cdab-2c21-44cf-aaca-afe493d97f2a
SamAccountName : user1
SID : S-1-5-21-3698402442-2374923176-*****-1104
Surname : ユーザ1
UserPrincipalName : user1@***.com
DistinguishedName : CN=user2,CN=Users,DC=***,DC=com
GivenName : user2
Name : user2
ObjectClass : user
ObjectGUID : 482450a4-482a-40ac-b89b-434605f45571
SamAccountName : user2
SID : S-1-5-21-3698402442-2374923176-*****-1105
Surname : テスト
UserPrincipalName : user2@***.com
# AD users のリストを CSVで出力
> $users = Get-ADUser -Filter {objectClass -eq "user"} -Properties UserPrincipalName, GivenName
> $selectedUsers = $users | Select-Object UserPrincipalName, GivenName
> $selectedUsers | Export-Csv -Path "C:\path\to\output\users.csv" -NoTypeInformation