活动目录
Active Directory (AD) 与 ServiceDesk Plus 的集成使您可以将用户信息从 Active Directory 服务器导入 ServiceDesk Plus。它还可以让您安排从 AD 导入用户、同步从 AD 删除的用户以及配置 AD 身份验证。
要在 ESM 设置中配置 AD 相关设置,请转到 ESM 目录 > 用户 > 活动目录。
为导入的用户设置本地验证密码
可以为通过 AD 导入的用户设置默认本地身份验证密码。 用户可以在首次登录后更改密码。
从 Active Directory 配置页面设置本地身份验证密码,
- 将鼠标悬停在本地身份验证密码字段上,然后点击编辑。
- 您可以选择为每个用户生成一个随机密码,或为所有用户设置一个预设密码。
- 点击保存。
用户将通过登录电子邮件收到密码通知。您可以在 ESM > 常规设置 > 通知规则 > 发送自助服务登录明细中为用户配置电子邮件通知。
从活动目录导入用户
您可以从活动目录中的任何域及其后续组织单位(OU)导入用户。默认情况下,AD 用户使用 LDAP 协议和端口 389 导入。
点击活动目录配置页面上的导入用户,使用以下指引配置弹出的从 活动目录导入窗口。
字段名称 | 描述 |
域名* | 选择要从哪个域导入用户。 如果您已在 Windows 域扫描中提供了域的域控制器和登录凭证,则在选择域时将自动填充域控制器和登录详细信息。 |
域控制器* | 指定可访问该域中资源的域控制器。 |
登录名* | 输入所选域中用户账户的登录名。 |
密码* | 输入上述用户账户的密码。 |
切换 LDAP SSL 选项为打开,以启用 ServiceDesk Plus 和 Active Directory 之间通过端口 636 进行安全通信。 启用此字段之前,请确保您的 Active Directory 支持 SSL。 | |
选择要导入的字段 | 选择要从 Active Directory 导入的默认用户字段。在所选字段旁边指定活动目录中配置的字段名称,以便准确映射。 如果用户已存在于 ServiceDesk Plus 中,其默认字段值将被 AD 中的值覆盖。为避免值被覆盖,请在导入时取消选择相关字段。如果 AD 中的字段值为空,相应字段将不会在 ServiceDesk Plus 中更新。 |
选择要导入的UDF | 如果在 ServiceDesk Plus 中配置了用户附加字段,则可以选择 UDF 字段。在所选字段旁边指定 Active Directory 中配置的字段名以映射它们。 如果尚未配置任何用户附加字段,请使用点击此处进行配置链接。您将被重定向到用户 - 附加字段页面,在这里您可以配置从 Active Directory 导入的附加字段。 数字附加字段最多可容纳 19 位数字。如果数值超过 19 位,请在文本字段中配置数值。 |
移动关联资产 | 如果在 Active Directory 中更改了与用户/部门关联的地点,则属于用户/部门的资产也应移动到新的地点。要在每次导入时更新此信息,请选择移动相关资产。 |
* 表示必填字段
点击下一步。
在导入向导中,可以选择各种 OU 或输入域中可用的组名来导入用户。也可以手动添加用户。
- 要选择 OU,请启用 OU 复选框。选择要从中导入用户的 OU,方法是选中其旁边的复选框。
- 要选择 AD 组,请启用组复选框。在文本框中以逗号分隔值输入组的 sAMAccountName。
单击立即导入。如果启用了计划的 AD 导入,可以在稍后通过选择保存并在计划中导入来导入用户。
导入的用户会列在 ESM 目录 > 用户下的用户列表视图中。您可以在用户列表视图中对导入的用户执行进一步操作,如编辑详细信息或关联工作站。
导入结果通过通知发送给 SDOrgAdmins:
- 如果立即导入用户信息,则会通知有多少记录被添加、覆盖或导入失败。
- 如果计划稍后导入,则会在计划完成后发送通知。
- 无效的组名将与当前导入的结果一起通知,并在随后的导入过程中作为横幅通知。
- 如果通过同时选择 OU 和组来导入用户,导入的用户数将按 OU 和组分别跟踪。对于同时存在于 OU 和组中的用户,计数将增加两次。
- 所选 OU 和组的总用户数将得到通知。
计划AD 导入
您可以定期安排活动目录导入,以保持用户资源库与活动目录同步。安排 AD 导入时,应用程序中所有域的数据将每隔指定天数导入一次。应用程序中所有域的用户和用户详细信息将通过两种方式同步到 ServiceDesk Plus:
- 完全同步 - 同步所有用户数据。
- Delta同步 - 每 30 分钟同步一次更新的用户详细信息和新添加的用户账户数据。
要配置导入计划,
- 将鼠标悬停在导入计划字段上,然后点击编辑。
- 启用计划 AD 每次导入一次选项并指定导入期。
- 指定开始计划的日期和时间。
- 点击保存。
域中的用户详细信息将根据开始日期和时间后指定的天数定期导入。数据差异将每 30 分钟更新一次。您可以在导入计划部分查看上次导入时间和下次计划时间。
活动目录用户导入中的用户帐户覆盖条件:
从活动目录中导入用户时,
条件 1:ObjectGUID - 如果 ServiceDesk Plus 中用户帐户的 ObjectGUID 与 Active Directory 中的用户帐户匹配,ServiceDesk Plus 中的记录将被覆盖。
条件 2:登录名和域 - 如果 ServiceDesk Plus 中用户帐户的登录名和域与 Active Directory 中的用户帐户匹配,则 ServiceDesk Plus 中的记录将被覆盖。
条件 3:电子邮件地址 - 如果在ESM 目录>应用程序设置下启用了基于电子邮件的覆盖 选项,并且 ServiceDesk Plus 中用户帐户的电子邮件地址与 Active Directory 用户帐户匹配,则 ServiceDesk Plus 中的记录将被覆盖。
条件 4:登录名和域为"-"(无关联)- 如果 ServiceDesk Plus 中的用户帐户只包含一个登录名和一个电子邮件地址,而没有域关联,并且如果登录名与 Active Directory 用户帐户匹配,则 ServiceDesk Plus 中的记录将被覆盖。
- 用户的 "登录名+域名 "将用作唯一标识符,用于更新 ServiceDesk Plus 中的用户详细信息。
- 如果 ServiceDesk 中任何用户的 "登录名+域名 "不匹配,则将使用用户的 "电子邮件地址 "作为唯一标识符。
- 如果电子邮件地址不匹配,则使用 "loginname + domain=NULL"(其中 loginname 为 Howard(示例),域名为 NULL)作为唯一标识符更新用户详细信息。
同步 Active Directory 中删除的用户
此选项可让您将已删除的用户从 Active Directory 同步到 ServiceDesk Plus。可在手动导入用户后安排同步已删除的用户。
同步完成后,将显示已删除用户的列表。根据用户类型,您可以从列表中删除已删除的用户,如下所述:
- 请求人 - 您可以启用自动删除已删除用户列表中的非技术人员。当请求人从活动目录中删除时,该用户也将从 ServiceDesk Plus 中删除。
- 技术员 - 可以查看已删除用户列表中已删除的技术人员,并手动将其删除。自动删除功能不适用于技术人员。
配置同步已删除的用户,
- 将鼠标悬停在从 Active Directory 同步已删除用户复选框上,然后点击编辑。
- 选择删除方法--自动或手动。请注意,即使选择了自动删除,已删除的技术人员也不会自动删除。
- 通过启用计划同步删除选项,可以定期同步已删除的用户。
- 指定同步周期。
- 输入开始同步已删除用户的日期和时间
- 点击保存。
计划同步删除的用户后,可以在同步删除的用户部分查看上次导入的时间和即将到来的计划时间。
如果启用了手动删除,已删除用户列表的链接将作为备注显示在 Active Directory 配置页面的顶部。在从 ServiceDesk Plus 删除已删除的用户之前,请使用注释中的链接访问并验证已删除的用户。
AD验证
您可以通过 Active Directory 对用户登录 ServiceDesk Plus 进行身份验证。基于 AD 的身份验证有两种配置方式:
使用 AD 凭证登录:
帮助用户使用其系统的登录名和密码登录 ServiceDesk Plus。
- 将鼠标悬停在 Active Directory 身份验证字段上,然后点击编辑。
- 选择启用 Active Directory 身份验证复选框。
- 点击保存。
在登录界面中,用户可以指定其系统/AD 登录凭证,并选择要登录 ServiceDesk Plus 的域。用户还可以从域下拉菜单中选择本地身份验证并指定本地身份验证凭证,从而在登录过程中绕过 AD 身份验证。
SSO 允许用户即时访问 ServiceDesk Plus,无需提供任何登录凭证。在登录过程中,用户会自动通过身份提供者(IdP)进行身份验证。通过将 ADFS 配置为 IdP,可以从 SAML 为 AD 用户启用 SSO。
- 在 DNS 中创建一条记录,映射 AD 服务器的完全合格域名 (FQDN)
[或]
- 在设置中的 etc\hosts 文件中将 IP 地址与相应的 FQDN 映射。
配置 LDAP SSL 的前提条件
默认情况下,客户端和服务器应用程序之间的 LDAP 通信不加密。这使得 LDAP 客户端和服务器计算机之间的通信容易受到网络监控跳转设备/软件的攻击。ServiceDesk Plus 采用 LDAP SSL 来保护 AD 服务器和 ServiceDesk Plus 服务器之间的通信安全。
请按照下面提到的前提条件为您的 AD 服务器配置 LDAP SSL:
- 确保客户端机器(ServiceDesk Plus 机器)可以访问服务器 FQDN(完全合格域名)。否则,在客户机(ServiceDesk Plus 机器)的主机文件中添加主机条目。
- 要使用 LDAP SSL 证书,必须安装 Active Directory 证书服务,如本文档所述。
- 启用 AD 服务器以支持通过 SSL 的 LDAP。
- 必须将上一步中导入 AD 服务器的 LDAPS 证书获取并导入客户端计算机(ServiceDesk Plus 服务器)的个人文件夹,如下所述:
- 点击开始,输入 mmc,然后点击确定。
- 点击文件,然后点击添加/删除管理单元。
- 点击证书,然后点击添加。
- 在证书管理单元中选择计算机账户,然后点击下一步。
- 在证书存储页面,右键点击个人>导入证书,从复制的文件夹导入 LDAP 证书,并提供创建证书时设置的密码。
- 在 "受信任的root证书颁发机构 "中导入root CA 证书,以允许客户端计算机(ServiceDesk Plus 计算机)信任导入的 LDAP 证书。这一点至关重要,因为在默认情况下,由于跨域,导入的 LDAP 证书不会被信任。
- 访问 CA 网络控制台:https://<CA server>/certsrv 并提供管理员凭证。如果 URL 无法访问,请按照本指南的说明安装证书注册 Web 服务。
- 在控制台中,点击下载 CA 证书、证书链接或 CRL。
- 在下一页点击下载 CA 证书并保存证书。
- 按以下步骤将下载的 CA 证书导入可信root证书颁发机构,
- 点击开始,输入 mmc,然后点击确定。
- 点击文件,然后点击添加/删除管理单元。
- 点击证书,然后点击添加。
- 在证书快捷方式中选择计算机账户,然后点击下一步。
- 在证书存储页面,右键点击受信任的根证书颁发机构,然后导入上述证书。
12000 升级后的变化
- AD 和 LDAP 计划现在可以独立执行。因此,用户必须对它们进行单独配置。
- Active Directory 中更新的用户详细信息将通过 Delta Sync 反映在 ServiceDesk Plus 中。该计划在前一个导入计划完成 30 分钟后启动。
- 只有启用了完全同步,才能启用 Delta 同步。
- 删除用户详细信息的同步计划应独立于用户导入计划。
- 将通过铃声通知 SDOrgAdmins(在 ESM 设置中)和 SDAdmins(在非 ESM 设置中)导入成功/失败的详细信息。
- 从 AD 导入用户时可启用 LDAP 安全协议。如果启用了 LDAP SSL,ServiceDesk Plus 将通过端口 636 与 AD 连接。
- 要在启用 AD 身份验证后动态添加用户,必须在 "导入用户 "弹出窗口中至少配置一次域详细信息和属性。