Ctrl+F / Command+F 全文检索
客户案例

相关最佳实践
业务上云 |

传统企业、零售和游戏行业系统分级后单库单服系统云上搭建最佳实践,涉及大部分基础云产品。

专有网络 VPC 云服务器ECS 云数据库RDS MySQL 版 负载均衡 SLB CDN 云速搭
业务上云 |

使用云桌面和VPN网关产品快速构建远程办公环境,在云桌面可以访问企业IDC内的应用和资源

云服务器ECS NAT网关 VPN网关 智能接入网关 云桌面
DevOps | 容器&微服务 |

使用云效完成容器应用自动化构建和持续部署

专有网络 VPC 负载均衡 SLB 容器服务 ACK 云效 云速搭
安全&合规 |

使用阿里云实现电商网站运营期间的安全防护,包括防爬风险管理、DDoS防御、风险管理产品的能力及操作

云数据库RDS MySQL 版 负载均衡 SLB DDoS防护 风险识别 爬虫风险管理
容器&微服务 |

使用ACK上运行常规业务,业务突发波动时突增业务运行在ECI上/达到成本的最优控制

云数据库RDS MySQL 版 文件存储NAS 容器服务 ACK 云数据库 Redis 版 弹性容器实例 ECI 云速搭
数据分析 | 数据迁移 |

介绍如何将自建Hadoop集群及生态组件迁移到阿里云MaxCompute大数据服务。

云服务器ECS DataWorks 大数据计算服务 MaxCompute 云数据库 HBase 版 数据总线 云速搭
中间件 | 容器&微服务 |

Spring Cloud应用经过简单改造,迁移到云上企业级分布式应用服务(EDAS),利用EDAS的监控、调用链、限流降级

专有网络 VPC 云服务器ECS 负载均衡 SLB 企业级分布式应用服务 EDAS
中间件 |

介绍如何用 Serverless 应用引擎(SAE)帮助企业极速构建云上微服务应用

专有网络 VPC 负载均衡 SLB 应用实时监控服务 ARMS 云监控 Serverless 应用引擎
业务上云 | 数据库 |

使用Oracle数据库的应用上云,通过ADAM评分、改造、迁移实现数据库迁移到PolarDB(Oracle兼容版),应用访问

专有网络 VPC 云服务器ECS 云数据库PolarDB 数据库和应用迁移 ADAM

温馨提示

未登录用户仅可预览8页内容,请您前往登录后浏览更多企业上云最佳实践案例内容。企业账号建议生成子账号授权访问。

BpFile(id=222, bpId=149, name=基于IDaaS的AD账号同步, author=null, keyword=统一账号,账号同步, description=通过IDaaS产品,把客户AD域和云上RAM账号体系打通,并实现准实时的同步。, position=null, ossUrl=bp-IMNR181K72TZXG58.pdf, tags=null, level=null, tagList=null, products=null, productList=null, hotspot=null, oneClick=0, createTime=null, modifiedTime=null, timeConsuming=null, status=1, pdfDescription=场景描述 应用身份服务IDaaS支持基于LDAP协议(LDAP-Light DirectoryAccessPortocol,它是基于X.500标准的轻量级目录 访问协议)的数据同步,本文介绍企业内部AD域与应用身份服 务IDaaS进行账号同步,然后IDaaS把账号推送到RAM中, 最终实现通过应用身份服务IDaaS将AD域与RAM域的用户数 据全面打通实现准实时的同步。 解决问题 1.AD账号同步到RAM。 2.AD账号变化后的自动更新。 产品列表 应用身份服务IDaaS 访问控制RAM 云服务器ECS, templateId=null, freetry=null, visitTime=null, visitCount=null, video_url=null, buttonName=null, buttonUrl=null, targetId=null, partner=null, partnerUrl=null, partnerLogo=null)
1基于IDaaS的AD账号同步 最佳实践 业务架构 解决问题 场景描述 应用身份服务IDaaS支持基于LDAP协议(LDAP-Light 1. AD账号同步到RAM。 2. AD账号变化后的自动更新。 DirectoryAccessPortocol,它是基于X.500标准的轻量级目录 访问协议)的数据同步,本文介绍企业内部AD域与应用身份服 务IDaaS进行账号同步,然后IDaaS把账号推送到RAM中, 最终实现通过应用身份服务IDaaS将AD域与RAM域的用户数 产品列表 据全面打通实现准实时的同步。  应用身份服务IDaaS  访问控制RAM  云服务器ECS
2云服务器ECS(产品名称) 文档模板(手册名称)/文档版本信息 阿里云 基于IDaaS的AD账号同步 最佳实践 文档版本:20200311(发布日期) 文档版本:20150122(发布日期) 1
3基于IDaaS的AD账号同步 文档版本信息 文档版本信息 文本信息 属性 内容 文档名称 基于IDaaS的AD账号同步最佳实践 文档编号 149 文档版本 V1.1 版本日期 2020-03-11 文档状态 发布 制作人 敬海、九武 审阅人 云魁、明中 文档变更记录 版本编号 日期 作者 审核人 说明 V1.0 2020-03-05 云滴 云魁、明中 创建 V1.1 2020-03-11 筱晖 - 文档工程师优化 文档版本:20200311(发布日期) I
4基于IDaaS的AD账号同步 前言 前言 概述 应用身份服务IDaaS支持基于LDAP协议(LDAP-LightDirectoryAccessPortocol, 它是基于X.500标准的轻量级目录访问协议)的数据同步,本文介绍企业内部AD域 与应用身份服务IDaaS进行账号同步,然后IDaaS把账号推送到RAM中,最终实现 通过应用身份服务IDaaS将RAM与AD域中的用户数据全面打通实现准实时的同步。 名词解释  应用身份服务:阿里云云盾应用身份服务IDaaS(英文名:AlibabaCloudIdentity asaService,简称IDaaS)是阿里云为企业用户提供的一套集中式身份、权限、 应用管理服务,帮助您整合部署在本地或云端的内部办公系统、业务系统及三方 SaaS系统的所有身份,实现一个账号打通所有应用服务。更多信息,请参见: https://help.aliyun.com/document_detail/112323.html  云服务器ECS:云服务器ECS(ElasticComputeService)是一种简单高效、处 理能力可弹性伸缩的计算服务。帮助您构建更稳定、安全的应用,提升运维效率, 降低 IT 成本,使您更专注于核心业务创新。更多信息,请参见: https://help.aliyun.com/product/25365.html  访问控制:访问控制(ResourceAccessManagement,RAM)是阿里云提供的 一项管理用户身份与资源访问权限的服务。使用RAM,您可以创建、管理RAM 用户(例如员工、系统或应用程序),并可以控制这些RAM用户对资源的操作权 限。当您的企业存在多用户协同操作资源时,使用RAM可以让您避免与其他用户 共享云账号密钥,按需为用户分配最小权限,从而降低企业信息安全风险。更多 信息,请参见:https://help.aliyun.com/product/28625.html 文档版本:20200311(发布日期) III
5基于IDaaS的AD账号同步 目录 目录 文档版本信息..................................................................................................................................................................I ......................................................................................................................................................................... 法律声明 II ................................................................................................................................................................................ 前言 III 目录...............................................................................................................................................................................IV ................................................................................................................................................................ 最佳实践概述 1 前置条件........................................................................................................................................................................3 ..................................................................................................................................................... 1. 搭建AD服务器 4 ............................................................................................................................................ 2. 安装connector组件 5 2.1. 创建一台ECS.......................................................................................................................................5 ........................................................................................................................................... 2.2. 安装docker 5 2.3. 安装connector.....................................................................................................................................5 ................................................................................................................................ 2.3.1. 准备安装文件 5 ............................................................................................................................. 2.3.2. 部署connector 6 2.3.3. 注意事项........................................................................................................................................8 ............................................................................................................................................... 3. 从AD中同步账号 10 3.1. 开通IDaaS实例.................................................................................................................................10 ...................................................................................................................................... 3.2. 创建同步任务 12 .................................................................................................. 3.2.1. IDaaS与connector连接配置 12 3.2.2. AD同步数据到IDaaS配置......................................................................................................16 ...................................................................................................................................... 3.3. 启动同步任务 20 3.4. 查看同步效果......................................................................................................................................21 ............................................................................................................................................... 4. 往RAM同步账号 23 ...................................................................................................................................... 4.1. 创建同步任务 23 4.2. 启动同步任务......................................................................................................................................28 ...................................................................................................................................... 4.3. 查看同步效果 28 5. 账号变化的自动同步..........................................................................................................................................30 .............................................................................................................................. 5.1. 配置定时同步任务 30 ................................................................................................................................... 5.2. AD中增删账号 31 5.3. 查看IDaaS中的变化.........................................................................................................................32 ........................................................................................................................... 5.4. 查看RAM中的变化 32 文档版本:20200311(发布日期) IV
6基于IDaaS的AD账号同步 最佳实践概述 最佳实践概述 方案介绍 应用身份服务IDaaS支持基于LDAP协议(LDAP-LightDirectoryAccessPortocol, 它是基于X.500标准的轻量级目录访问协议)的数据同步,本文介绍企业内部AD域 与应用身份服务IDaaS进行账号同步,然后IDaaS把账号推送到RAM中,最终实现 通过应用身份服务IDaaS将RAM与AD域中的用户数据全面打通实现准实时的同步。 背景分析 当下大部分企业会选择将公司用户的数据存储在AD域中,将AD域作为用户数据中 心进行维护。随着信息化的转型,企业逐渐使用云产品和云服务。在使用云产品的过 程中,需要在云主账号下给不同员工创建不同子账号,不同子账号分配不同的云产品 权限;有些企业的不同团队甚至有各自的主账号。在日常维护中,企业管理员需要同 时维护AD用户数据与云上多套RAM(每个主账号对应一套RAM系统)中的用户数 据,这种维护工作不仅为企业管理员带来繁重的工作量与大量重复性工作以外,还为 企业管理上带来巨大的挑战,用户体系存在信息孤岛,维护多套用户体系不仅繁琐, 还会存在因孤儿账号、离职账号等失效账号不能及时处理而带来的风险。账号体系不 统一,给普通用户在日常工作同样带来诸多不便,例如需要记录多套账号信息,容易 出现账号记录混乱等。 解决方案 通过将AD域与RAM之间的数据孤岛全面打通,实现用户数据来源统一、账号体系规 范统一、用户无需记录多套账号体系,只需记录一个账号就可登录所有RAM系统。 通过定时任务触发模式将AD域的用户同步至RAM系统中。企业管理员无需进行大量 重复性工作,只需维护一套账号体系即可实现AD域和RAM系统中的用户管理;既减 轻了管理员的工作成本和时间成本,又提高了管理员的工作效率,降低管理员在操作 中的失误率和错误率,将手动操作转换为自动操作,保证自上而下的用户数据完整统 一。 方案架构图 应用身份服务IDaaS基于LDAP标准协议将AD域中用户数据通过定时方式同步至应 用身份服务IDaaS的UD中进行数据存储,然后通过RAM系统提供的标准API接口 将用户数据以增量的方式推送到RAM系统,实现AD系统和RAM系统直接用户数据 的准实时同步。 文档版本:20200311(发布日期) 1
7基于IDaaS的AD账号同步 最佳实践概述 本最佳实践中,为了简化,只创建了一个同步任务,把AD中的一个组织机构OU同 步到一个RAM系统中;如果是需要把AD中不同的OU同步到不同的RAM中,那么 就创建多个同步任务,每个同步任务对应一个OU到RAM的同步需求即可。 方案优势和价值 AD域系统、RAM系统作为相互独立的应用,RAM系统只能通过租赁服务的方式进行 使用,而AD域作为标准化微软产品也无法进行定制化开发或二次开发,2个应用由 于自身限制导致无法将用户进行互相同步,只能单独维护。 通过应用身份服务IDaaS将AD或LDAP的用户数据拉取至应用身份服务IDaaS中, 再调用RAM系统的数据同步接口将用户从应用身份服务IDaaS同步到RAM系统中, 实现2个应用无缝对接,达到账户统一管理、统一维护。 优势包括:  系统配置好之后,有员工入职或离职(AD中用户的增加或减少),会准实时地同 步到RAM系统中,有效减低管理员的管理成本。  避免员工离职时云账号清理不及时导致的信息泄露风险。  有效解决一个AD按不同组织结构对应到不同阿里云账号(RAM系统)的问题。 文档版本:20200311(发布日期) 2
8基于IDaaS的AD账号同步 前置条件 前置条件 在进行本文操作前,您需要完成以下准备工作:  注册阿里云账号,并完成实名认证。您可以登录阿里云控制台,并前往实名认证 页面(https://account.console.aliyun.com/v2/#/authc/home)查看是否已经完成 实名认证。  阿里云账户余额大于100元。您可以登录阿里云控制台,并前往账户总览页面 (https://expense.console.aliyun.com/#/account/home)查看账户余额。 文档版本:20200311(发布日期) 3