本文档将为您介绍SASE用户源的微软AD用户源同步功能。AD域为是由微软开发的目录服务,主要用户集中管理网络中的用户账户、计算机和其他安全主体。
1、已开通SASE平台
2、本地有微软AD域
3、已部署身份连接器且连接状态正常。
①创建连接器:在SASE控制台的[身份管理/认证策略/认证源管理/身份连接器管理]点击<新增>创建身份连接器:
②创建完成后会自动下载连接器配置文件:
③后续也可以手动下载连接器配置文件:
④在单位内网准备一台linux设备安装连接器,将下载好的连接器配置文件进行上传并解压,复制秘钥到agent目录下。
⑤执行安装命令,进行连接器安装
⑥若安装配置成功,则连接器状态显示为正常
(1)在SASE控制台的[身份管理/用户管理/组织架构/用户源管理]页面中添加“微软AD”用户源并点击配置进入到详情页面进行服务器配置:
1、按照实际组织架构和域名信息填写Baes DN、用户过滤条件、组织架构过滤条件、组过滤条件;
2、此处配置需要掌握一定的域知识进行配置,例如:ou为组织架构部门、dc为域名、cn为安全组组名等;
3、组织架构的部门为必选项,组过滤为非必选项,意味着组织架构一定会同步,安全组可以不同步。
输入一个AD中真实存在的账号名,点击 <开始测试>
即在属性映射配置中勾选对应的映射规则:
(1)同步至部门: 指定用户源的用户和部门同步到本地哪个部门下
(2)定时同步: 指定同步周期, SASE的同步引擎将会触发周期性的定时同步任务,将AD中的数据同步至SASE的统一目录中。
至此全部配置完成, 同步触发: 管理员可以手动触发,或者等待身份连接器同步引擎定时触发(12H/次)。通过<同步>按钮,触发手动同步(注意: 手动同步为异步操作, 即点击<同步>按钮后不会立即返回同步结果, 会在SASE后台异步触发同步任务, 待同步完成后, 才能看到同步后的效果)
建议使用Chrome浏览器访问!
