LDAP(轻型目录访问协议)是主要由Microsoft服务(例如Active Directory(AD))使用的协议,用于定位用户帐户,组织和其他资源。 Trakstar可以与任何LDAP或LDAPS服务器集成,从而允许您将Trakstar连接到您的组织’的现有目录。登录后(在我们的标准登录页面上),Trakstar将针对您的LDAP服务器检查用户名和密码,并使这些凭据与Trakstar保持同步。
Authentication using LDAP is an advanced Trakstarfeature. 如果您想将此功能添加到您组织的帐户中,请通过以下方式与我们联系 [email protected].
注意:Trakstar是基于云的应用程序,我们的服务器必须能够与您的LDAP服务器通信。如果您的LDAP服务器受到防火墙或其他网络安全性的保护,则您的组织必须允许Trakstar’的服务器访问。我们的应用程序不支持连接到您的组织’VPN或本地网络。获取更多资讯,请联系 [email protected].
在Trakstar中设置LDAP认证有四个步骤:
- 在Trakstar中配置LDAP
- 测试配置
- 为所有用户启用LDAP身份验证
2.在Trakstar中配置LDAP
Trakstar需要以下信息来设置LDAP身份验证,您可以通过访问设置来输入> Authentication & SSO:
主办
LDAP服务器的端点或IP地址。
例子:
- 54.176.31.140
- ldap.trakstar.com
港口
对于普通连接,通常是389,对于SSL / TLS,通常是636。
方法
SSL/TLS 要么 Plain. SSL/TLS is highly recommended, but Trakstarcan communicate over an unencrypted (plain) connection.
绑定DN
Account username 要么 fully-qualified DN Trakstarwill use to perform LDAP lookups.
例子:
- 星际迷航
- [email protected]
- CN = Trakstar读取,CN =用户,DC = 星际迷航,DC = com
密码
上面绑定用户名或DN的密码,已安全存储并且从未显示。
基本DN
用于查找用户的基本DN。
例子:
- DC = 星际迷航,DC = net,OU =薪水员工
- dc = 星际迷航,dc = com
UID
LDAP attribute corresponding to the username on the 登录 form, usually sAMAccountName 要么 userPrincipalName。使用下面的可选搜索过滤器时,这不是必需的。
LDAP搜索过滤器
用于标识用户以代替上面的UID。字符串 %{用户名} 将通过用户输入的值进行插值。
例子:
- (sAMAccountName =%{用户名})
- (&(uid =%{username})(memberOf = cn = myapp-users,ou = groups,dc = example,dc = com))
- (&(objectCategory = person)(objectClass = user)(!(cn = andy)))
- (sn = sm *)
- (&(objectCategory = person)(objectClass = contact)(|(sn = Smith)(sn = Johnson)))
- (&(objectClass = user)(sAMAccountName =%{username})(|((memberof = CN = Employee AL,OU = Salary Employees,DC = 星际迷航,DC = com)(memberof = CN = Employee MZ,OU = Salary Employees,DC = 星际迷航,DC = com)))
将以上信息输入Trakstar,然后继续下一步。
3.测试配置
按照说明在Trakstar中测试配置,在单独的浏览器或隐身窗口中打开提供的URL,以便’不受您当前与我们的应用程序会话的影响。
如果登录失败,则可以单击“显示失败的身份验证尝试”从“身份验证设置”页面中查看更多详细的错误消息。
以下是解决LDAP常见问题的一些技巧:
操作超时
Trakstartried to issue a request to your LDAP endpoint, but never received a response. You might consider:
- 仔细检查您的主机和端口是否正确
- 确保您的LDAP端点可公开访问,或者’ve allowed Trakstar’通过必要的网络安全保护服务器(请参阅本文顶部的注释)
绑定失败
Trakstar“binds”使用提供的绑定DN和密码连接到LDAP服务器。如果失败,则可能意味着以下几种情况之一:
- 绑定DN不正确
- 绑定DN的密码不正确
- The LDAP server refused the connection from Trakstarfor some other reason
getaddrinfo:提供的节点名或服务名,或者未知
Trakstar在解析LDAP端点的主机名时遇到问题。考虑改用IP地址,因为这通常是DNS问题引起的。
用户尚未添加到Trakstar
自动配置用户可能导致同一用户拥有多个帐户,或者您的用户无法访问正确的信息–两者都可能难以纠正。由于这些原因,Trakstar仅对已经添加到应用程序中的用户进行身份验证,而不会自动为新用户创建帐户。用户可以 手动添加 对于较小的组织,或使用 HRIS同步,以便更轻松地批量管理用户。
如果用户成功通过您选择的登录策略进行了身份验证,但是使用了该用户名的帐户(也就是“login”)找不到,他们会收到一个“用户尚未添加到Trakstar” error.
4.为所有用户启用LDAP身份验证
一旦充分测试了通过LDAP登录的能力,就可以通过选择LDAP作为启用的身份验证类型来为组织中的所有用户启用它。
启用LDAP作为用户身份验证的方式后,您将’将会注意到,不能在Trakstar中设置或恢复密码。
