輕型目錄訪問協定 LDAP (Lightweight Directory Access Protocol) 與 外部單一登入 SSO (single sign on) 功能是安全身份驗證解決方案,使用戶能夠輕鬆且安全的登入 Mavis。 在管理員設定後,您所在單位的個人即可輕鬆登入。
在開始之前,您需要注意以下幾點:
- Mavis 僅允許一種外部登入驗證方式。
- 一旦您啟動任一登入驗證,透過 Mavis 所建立的使用者在登入 Mavis 時會被阻擋。 (Mavis 之管理員仍可透過 Mavis 登入)
- 當管理者啟用 SSO (Microsoft) 時,如果原始 Mavis 帳戶名稱 與 SSO 提供者的電子郵件匹配(即Mavis 帳戶名稱與 Mircosoft email 相同),則登入使用者將連結至同一個 Mavis 帳戶,若無匹配,將建立以 SSO 身份提供者的電子郵件作為帳戶名稱來創建新的用戶。
設定:
一、Mavis 中設定 LDAP 整合配置
設定方式於 Mavis 版本有所不同:V1.16.2& V1.15.3
----------------------------------------------------------------------------------------------------
-
包含 版本 V1.16.2 及之後版本
使用者的帳戶角色需為管理員,才能從「管理介面」進行管理用戶。
1. 選擇 管理介面 2. 選擇 系統管理 3. 選擇 登入驗證 4. 選擇 編輯 |
5. 來源勾選「LDAP」 |
欄位輸入資訊說明:
名稱 | 說明 |
安全連線 (SSL) |
預設值為停用。 如果 LDAP 伺服器的網域使用 HTTPS 訪問,則應啟用安全連線設定。 |
LDAP 供應商 |
目前暫時只支援Windows AD。 |
URL | LDAP 伺服器的連線資訊。(可以是 IP 或網域) |
Port 連接埠 | 預設連接埠為 389。 |
Bind account 或 DN |
請提供一個具有管理員權限的 LDAP 帳號,以便搜索使用者身份資訊。 例如:
|
Bind password 綁定密碼 | 綁定帳號的密碼。 |
Base DN |
例如:
|
自動同步 |
預設值為停用。 設定啟用後,每兩分鐘會和LDAP Server 同步,將在LDAP上的帳號同步回Mavis,若LDAP上原有的帳號被移除,將於下次同步後,被移除的帳號在Mavis 也會被移除。 |
群組預覽 |
將顯示 Base DN 下的所有群組列表。 您可以在此選擇您將您的 LDAP 群組指定為管理者或一般的使用者,若您想要同步的用戶並沒有在任何群組之中,您可以選擇 “無群組用戶” |
自定義篩選條件 |
同步使用者過濾條件: 此區的條件會進一步從您指定的群組中過濾使用者,若您填寫此欄位,只有同時符合 “群組預覽” 與 “同步使用者過濾條件” 才會被同步。 可以進階過濾使用者。 例如:
(&(objectClass=user)(memberOf=CN=usinfra,OU=usoffice,DC=mavisdemo,DC=com))
(!(useraccountcontrol:1.2.840.113556.1.4.803:=2)) |
同步為管理者過濾條件: 此區的條件會進一步從您指定的群組中過濾管理者,若您填寫此欄位,只有同時符合 “群組預覽” 與 “同步為管理者過濾條件” 才會被同步。 例如: (memberOf=CN=Administrators,CN=Builtin,DC=mavisdemo,DC=com) |
|
使用者預覽 |
顯示根據設定篩選出的用戶列表。 |
6. LDAP供應商:選擇 “Windows AD" |
18. 手動同步:當執行同步操作後,LDAP中的用戶資料將立即同步至Mavis |
-----------------------------------------------------------------------------------
-
包含 版本 V1.15.3 之前版本
使用者的帳戶角色需為管理員,才能從「管理介面」進行管理用戶。
1. 選擇 管理介面 2. 選擇 系統管理 3. 選擇 登入驗證 4. 選擇 編輯 |
5. 來源勾選「LDAP」 |
欄位輸入資訊說明:
名稱 | 說明 |
安全連線 (SSL) |
預設值為停用。 如果 LDAP 伺服器的網域使用 HTTPS 訪問,則應啟用安全連線設定。 |
LDAP 供應商 |
目前暫時只支援Windows AD |
URL | LDAP 伺服器的連線資訊。(可以是 IP 或網域) |
Port 連接埠 | 預設連接埠為 389。 |
Bind account 或 DN |
請提供一個具有管理員權限的 LDAP 帳號,以便搜索使用者身份資訊。 例如:
|
Bind password 綁定密碼 | 綁定帳號的密碼。 |
Base DN |
例如:
|
自動同步 |
預設值為停用。 設定啟用後,每兩分鐘會和LDAP Server 同步,將在LDAP上的帳號同步回Mavis,若LDAP上原有的帳號被移除,將於下次同步後,被移除的帳號在Mavis 上的狀態變成停用. |
同步使用者過濾條件 |
可以進階過濾使用者. 例如:
(&(objectClass=user)(memberOf=CN=usinfra,OU=usoffice,DC=mavis,DC=ltd))
(!(useraccountcontrol:1.2.840.113556.1.4.803:=2)) |
同步為管理者過濾條件 |
當同時符合使用者和管理員過濾條件時,該 LDAP 使用者將同步為管理員. 例如: (memberOf=CN=Administrators,CN=Builtin,DC=mavis,DC=ltd) |
6. LDAP供應商:選擇 “Windows AD" |
18. 查看系統日步訊息:每24小時會定期同步 |
指定LDAP server路徑下的使用者帳號已經同步回Mavis |
請注意,在配置完成後,系統與 LDAP 整合可能需要 2-3 分鐘的時間。
一旦 LDAP 設定完成,使用者可以選擇在登入時使用 LDAP 進行身份驗證。(使用者在登入頁面上也可以看到不同的登入按鈕)
Troubleshooting 疑難排解
錯誤訊息 | 說明 |
帳號或密碼錯誤 | 嘗試登入 LDAP 時,帳號或密碼無效。請確保登入憑證正確無誤。 |
使用者帳號重複 | LDAP 使用者帳號已存在於本地系統中,違反了 Mavis 的唯一使用者帳號策略。作為 Mavis 的管理員,您有兩個選擇:從 Mavis 中移除該使用者帳號或修改 LDAP 使用者帳號以確保其在 Mavis 中的唯一性。 |
使用者郵件重複 | LDAP 使用者郵件已存在於本地系統中,違反了 Mavis 的唯一使用者郵件策略。作為 Mavis 的管理員,您有兩個選擇:從 Mavis 中移除該使用者郵件或修改 LDAP 使用者郵件以確保其在 Mavis 中的唯一性。 |
缺少郵件 (Email) | LDAP 使用者帳號的郵件資訊不可用。要解決此問題,請聯繫 LDAP 管理員並確保設定了使用者帳號的郵件。 |
二、如何建立 Microsoft 驗證整合?
登入: https://portal.azure.com/#home 1. 點選 Azure Active Directory 2. 點選 應用程式註冊 3. 點選 新增註冊 |
4. 輸入 自定義名稱 5. 支援的帳戶類型:勾選公司帳戶類型 此範例勾選:僅此組織目錄中的帳戶 (僅 mavis - 單一租用戶) 6. 點選 “註冊” |
7. 應用程式 (用戶端) 識別碼:(client) ID 8. 目錄 (租用戶) 識別碼: Directory (tenant) ID |
9. 點選 驗證 10. 點選 新增平台 11. 點選 web應用程式 |
12. 重新導向 URI : 輸入自己環境url ⇒ https://mavis url/sso/microsoft 範例:https://shun.mavisdemo.com/sso/microsoft 13. 點選 設定 |
創建用戶密鑰, 基於安全考量也請您設定密鑰有效時間 14. 點選 憑證及秘密 15. 選擇 用戶端密碼 16. 點選 新增用戶端密碼 17. 勾選 到期日:自定義到期日 18. 點選 新增 |
19. Secret Value: 取得密鑰資訊, 請注意:此欄位會在重新讀取頁面時被遮蔽 |
當您完成上述步驟,您應該擁有下列資訊:
- Tenant ID
- Client ID
- Secret Value
在 Mavis 上前往 系統管理 並點選 驗證 開啟後選擇 Microsoft 並填入對應的資訊
使用者的帳戶角色需為管理員,才能從「管理介面」進行管理用戶。
1. 選擇 管理介面 2. 選擇 系統管理 3. 選擇 登入驗證 4. 選擇 編輯 |
5. 來源:選擇 Microsoft 6. 輸入 Tenant ID 7. 輸入 Client ID 8. 輸入 Secret value 9. 點選 儲存 |
請注意,在配置完成後,系統與Microsoft (Azure AD)整合可能需要 2-3 分鐘的時間。
一旦 Microsoft (Azure AD) 整合設定完成,使用者可以選擇在登入時使用 Microsoft 進行身份驗證。(使用者在登入頁面上也可以看到不同的登入按鈕))