Active Directory
通过 Active Directory 连接器,您可以连接到 Microsoft 的 Active Directory,并对 Active Directory 对象执行读取、写入和更新操作。
准备工作
在使用 Active Directory 连接器之前,请先完成以下任务:
- 在您的 Google Cloud 项目中:
- 将 IAM 角色 roles/connectors.admin 授予该用户 配置连接器。
- 将以下 IAM 角色授予您要用其来使用连接器的服务账号:
roles/secretmanager.viewerroles/secretmanager.secretAccessor
服务账号是一种特殊类型的 Google 账号,用于表示需要验证身份并获得授权以访问 Google API 数据的非人类用户。如果您没有服务账号,则必须创建一个服务账号。如需了解详情,请参阅创建服务账号。
- 启用以下服务:
secretmanager.googleapis.com(Secret Manager API)connectors.googleapis.com(Connectors API)
如需了解如何启用服务,请参阅启用服务。
如果之前没有为您的项目启用这些服务或权限,则在您配置连接器时,系统会提示您启用。
- 有关如何安装和配置 Active Directory 的信息,请参阅 Active Directory 安装。
配置连接器
配置连接器时,您需要创建与数据源(即后端系统)的连接。一个连接需专用于一个数据源。这意味着,如果您有许多数据源,则必须为每个数据源创建单独的连接。如需创建连接,请执行以下步骤:
- 在 Cloud 控制台 中,进入 Integration Connectors > 连接页面,然后选择或创建一个 Google Cloud 项目。
- 点击 + 新建以打开创建连接页面。
- 在位置部分中,选择连接的位置。
- 区域:从下拉列表中选择一个位置。
如需查看所有受支持区域的列表,请参阅位置。
- 点击下一步。
- 区域:从下拉列表中选择一个位置。
- 在连接详情部分中,完成以下操作:
- 连接器:从可用连接器的下拉列表中选择 Active Directory。
- 连接器版本:从可用版本的下拉列表中选择一个连接器版本。
- 在连接名称字段中,输入连接实例的名称。
连接名称必须符合以下条件:
- 连接名称可以使用字母、数字或连字符。
- 字母必须小写。
- 连接名称必须以字母开头,以字母或数字结尾。
- 连接名称不能超过 49 个字符。
- (可选)输入连接实例的说明。
- 您可以选择启用 Cloud Logging,然后选择日志级别。默认情况下,日志级别设置为
Error。 - 服务账号:选择具有所需角色的服务账号。
- (可选)配置连接节点设置:
- 节点数下限:输入连接节点数下限。
- 节点数上限:输入连接节点数上限。
节点是处理事务的连接单元(或副本)。 连接处理越多事务就需要越多节点,相反,处理越少事务需要越少节点。 如需了解节点如何影响连接器价格,请参阅连接节点的价格。如果未输入任何值,则默认情况下,节点数下限设置为 2(以便提高可用性),节点数上限设置为 50。
- 基本 DN:标识名的基本部分,用于将结果限制为特定子树。
- 身份验证机制:连接到 Active Directory 服务器时使用的身份验证机制。
- 遵循引荐:是否遵循 Active Directory 服务器返回的引荐。
- 易记 GUID:是否以用户可读的格式返回 GUID 属性值。
- 易记 SID:是否以用户可读的格式返回 SID 属性值。
- LDAP 版本:用于与服务器连接和通信的 LDAP 版本。
- 范围:是将搜索范围限制为整个子树(BaseDN 及其所有后代)、单个级别(BaseDN 及其直接后代)还是基本对象(仅限 BaseDN)。
- (可选)点击 + 添加标签,以键值对的形式向连接添加标签。
- 点击下一步。
- 在目标部分中,输入要连接到的远程主机(后端系统)的详细信息。
- 目标类型:选择目标类型。
- 从列表中选择主机地址,以指定目标的主机名或 IP 地址。
- 如果要与后端系统建立专用连接,请从列表中选择端点连接,然后从端点连接列表中选择所需的端点连接。
如果要与后端系统建立公共连接以提高安全性,您可以考虑为连接配置静态出站 IP 地址,然后将防火墙规则配置为仅将特定静态 IP 地址列入许可名单。
要输入其他目标,请点击 + 添加目标。
- 点击下一步。
- 目标类型:选择目标类型。
-
在身份验证部分中,输入身份验证详细信息。
- 选择身份验证类型,然后输入相关详细信息。
Active Directory 连接支持以下身份验证类型:
- 用户名和密码
- 点击下一步。
如需了解如何配置这些身份验证类型,请参阅配置身份验证。
- 选择身份验证类型,然后输入相关详细信息。
- 查看:查看您的连接和身份验证详细信息。
- 点击创建。
配置身份验证
根据您要使用的身份验证输入详细信息。
-
用户名和密码
- 用户名:连接器的用户名
- 密码:包含与连接器关联的密码的 Secret Manager Secret。
连接配置示例
本部分列出了您在创建 Active Directory 连接时配置的各种字段的示例值。
用户名密码连接类型
| 字段名称 | 详细信息 |
|---|---|
| 位置 | us-central1 |
| 连接器 | Active Directory |
| 连接器版本 | 1 |
| 连接名称 | active-directory-google-cloud-vm-users-conn |
| 启用 Cloud Logging | 是 |
| 服务账号 | SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com |
| 基本 DN | BASE_DN |
| 身份验证机制 | 简单 |
| LDAP 版本 | 3 |
| 范围 | WHOLESUBTREE |
| 详细程度级别 | 5 |
| 节点数下限 | 2 |
| 节点数上限 | 50 |
| 目标类型(服务器) | 主机地址 |
| 主机地址 | 192.0.2.0 |
| 端口 | PORT |
| 用户名 | 用户名 |
| 密码 | PASSWORD |
| Secret 版本 | 1 |
SSL 连接类型
| 字段名称 | 详细信息 |
|---|---|
| 位置 | us-central1 |
| 连接器 | Active Directory |
| 连接器版本 | 1 |
| 连接名称 | active-directory-google-cloud-vm-ssl-conn |
| 启用 Cloud Logging | 是 |
| 服务账号 | SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com |
| 基本 DN | BASE_DN |
| 身份验证机制 | 简单 |
| LDAP 版本 | 3 |
| 范围 | WHOLESUBTREE |
| 详细程度级别 | 5 |
| 节点数下限 | 2 |
| 节点数上限 | 50 |
| 启用 SSL | 是 |
| 受信任证书存储区专用连接 | 是 |
| 目标类型(服务器) | 主机地址 |
| 主机地址 | 192.0.2.0 |
| 端口 | PORT |
| 用户名 | 用户名 |
| 密码 | PASSWORD |
| Secret 版本 | 2 |
实体、操作和动作
所有集成连接器都会为所连接应用的对象提供抽象层。您只能通过此抽象访问应用的对象。抽象作为实体、操作和动作向您展示。
- 实体:实体可以被视为连接的应用或服务中的对象或属性集合。不同连接器的实体定义也会有所不同。例如,在数据库连接器中,表是实体;在文件服务器连接器中,文件夹是实体;在消息传递系统连接器中,队列是实体。
但是,连接器可能不支持或不支持任何实体,在这种情况下, “
Entities”列表将为空。 - 操作:操作是指您可以对实体执行的操作。您可以对实体执行以下任一操作:
从可用列表中选择一个实体,系统会生成该实体可用的操作列表。如需了解操作的详细说明,请参阅连接器任务的实体操作。但是,如果连接器不支持任何实体操作, 操作未在
Operations列表中列出。 - 动作:动作是可通过连接器接口提供给集成的头等函数。动作可让您对一个或多个实体进行更改,并且动作因连接器而异。通常,操作有一些输入参数和一个输出
参数。但可能的情况是,连接器不支持任何动作,在这种情况下,
Actions列表将为空。
系统限制
Active Directory 连接器每秒可处理 4 个事务, 每节点, 并throttles任何事务 。 默认情况下,Integration Connectors 会为连接分配 2 个节点(以提高可用性)。
如需了解适用于集成连接器的限制,请参阅限制。
操作
本部分列出了该连接器支持的操作。如需了解如何配置操作,请参阅操作示例。
MoveToDN 操作
此操作会将对象从一个 DN 移至另一个 DN。
MoveToDN 操作的输入参数
| 参数名称 | 数据类型 | 必需 | 说明 |
|---|---|---|---|
| DN | 字符串 | 是 | 要移至服务器上的对象的当前 DN(例如,cn=Bob F,ou=Employees,dc=Domain)。 |
| NewParentDN | 字符串 | 是 | 对象新的父级 DN(例如 ou=Test Org,dc=Domain)。 |
如需了解如何配置 MoveToDN 操作,请参阅操作示例。
GetAttributes 操作
此操作会获取指定对象的属性。
GetAttributes 操作的输入参数
| 参数名称 | 数据类型 | 必需 | 说明 |
|---|---|---|---|
| DN | 字符串 | 是 | 所需 LDAP 对象的标识名。如果未指定,则使用连接字符串中的 BaseDN。 |
例如,关于如何配置 GetAttributes 操作,
请参阅操作示例。
AddMembersToGroup 操作
此操作用于向群组添加成员。
AddMembersToGroup 操作的输入参数
| 参数名称 | 数据类型 | 必需 | 说明 |
|---|---|---|---|
| GroupId | 字符串 | 是 | 您要将用户添加到的 GroupId。应为群组记录的 ID。 |
| UserDNs | 字符串 | 是 | UserDNs 汇总表或临时表,其中包含要添加到群组的用户 DN。应为用户记录的 DN。 |
如需了解如何配置 AddMembersToGroup 操作,请参阅操作示例。
RemoveMembersFromGroup 操作
此操作会从群组中移除成员。
RemoveMembersFromGroup 操作的输入参数
| 参数名称 | 数据类型 | 必需 | 说明 |
|---|---|---|---|
| GroupId | 字符串 | 是 | 您要从中移除用户的群组的 GroupId。应为群组记录的 ID。 |
| UserDNs | 字符串 | 是 | UserDNs 汇总表或临时表,其中包含要从群组中移除的用户 DN。应为用户记录的 DN。 |
例如,关于如何配置 RemoveMembersFromGroup 操作,
请参阅操作示例。
重置密码操作
此操作会重置密码。
ResetPassword 操作的输入参数
| 参数名称 | 数据类型 | 必需 | 说明 |
|---|---|---|---|
| 用户 | 字符串 | 是 | 要在服务器上修改的账号的 DN(例如 Domain\\BobF 或 cn=BobF,ou=Employees,dc=Domain) |
| NewPassword | 字符串 | 是 | 由 DN 指定的用户的新密码。 |
| AdminUser | 字符串 | 是 | 用于绑定到服务器的管理员账号或 DN(例如 Domain\\BobF 或 cn=BobF,ou=Employees,dc=Domain)。 |
| AdminPassword | 字符串 | 是 | 用于向 LDAP 服务器进行身份验证的管理员账号密码。 |
例如,关于如何配置 ResetPassword 操作,
请参阅操作示例。
ChangePassword 操作
此操作会更改密码。
ChangePassword 操作的输入参数
| 参数名称 | 数据类型 | 必需 | 说明 |
|---|---|---|---|
| NewPassword | 字符串 | 是 | DN 指定的用户的新密码。 |
例如,关于如何配置 ChangePassword 操作,
请参阅操作示例。
操作示例
本部分介绍如何在此连接器中执行一些操作。
示例 - 将对象从一个 DN 移至另一个 DN
- 在
Configure connector task对话框中,点击Actions。 - 选择
MoveToDN操作,然后点击完成。 - 在连接器任务的任务输入部分,点击
connectorInputPayload,然后在Default Value字段:{ "NewParentDN": "CN=Users,DC=gcpad,DC=local", "DN": "CN=GoogleAdmin,CN=Computers,DC=gcpad,DC=local" }
如果操作成功,MoveToDN 任务的 connectorOutputPayload 响应参数的值将类似于以下内容:
[{ "Success": null, "result": "[ok]", "modified": "true", "rss:title": "The movement was successful.", "resultcode": "0" }]
示例 - 获取 DN 的属性
- 在
Configure connector task对话框中,点击Actions。 - 选择
GetAttributes操作,然后点击完成。 - 在连接器任务的任务输入部分中,点击
connectorInputPayload,然后在Default Value字段中输入类似于以下内容的值:{ "DN": "CN=admin,CN=Users,DC=test-ldap,DC=com" }
如果操作成功,
GetAttributes 任务的 connectorOutputPayload 响应
参数的值类似于以下内容:
[{ "AttributeName": "_op", "AttributeValue": "ldapadoGetAttributes" }, { "AttributeName": "msds-supportedencryptiontypes", "AttributeValue": "24" }, { "AttributeName": "usncreated", "AttributeValue": "12775" }, { "AttributeName": "objectclass", "AttributeValue": "organizationalPerson" }, { "AttributeName": "objectclass", "AttributeValue": "user" }, { "AttributeName": "accountexpires", "AttributeValue": "9223372036854775807" }, { "AttributeName": "name", "AttributeValue": "admin" }, { "AttributeName": "objectcategory", "AttributeValue": "CN=Person,CN=Schema,CN=Configuration,DC=test-ldap,DC=com" }, { "AttributeName": null, "AttributeValue": null }]
示例 - 向群组添加成员
- 在
Configure connector task对话框中,点击Actions。 - 选择
AddMembersToGroup操作,然后点击完成。 - 在连接器任务的任务输入部分中,点击
connectorInputPayload,然后在Default Value字段中输入类似于以下内容的值:{ "GroupId": "1|CN=GoogleGRP1fa2,CN=Users,DC=gcpad,DC=local", "UserDNs": "[{\"DN\":\"CN=GoogleAI,CN=Users,DC=gcpad,DC=local;CN=Guest,CN=Users,DC=gcpad,DC=local\"}]" }
如果操作成功,AddMembersToGroup 任务的 connectorOutputPayload 响应参数的值将类似于以下内容:
[{ "Success": "True" }]
示例 - 从群组中移除成员
- 在
Configure connector task对话框中,点击Actions。 - 选择
RemoveMembersFromGroup操作,然后点击完成。 - 在连接器任务的任务输入部分,点击
connectorInputPayload,然后在Default Value字段:{ "GroupId": "1|CN=GoogleGRP1fa2,CN=Users,DC=gcpad,DC=local", "UserDNs": "[{\"DN\":\"CN=GoogleAI,CN=Users,DC=gcpad,DC=local;CN=Guest,CN=Users,DC=gcpad,DC=local\"}]" }
如果操作成功,RemoveMembersFromGroup 任务的 connectorOutputPayload 响应参数的值将类似于以下内容:
[{ "Success": "True" }]
示例 - 重置密码
- 在
Configure connector task对话框中,点击Actions。 - 选择
ResetPassword操作,然后点击完成。 - 在连接器任务的任务输入部分中,点击
connectorInputPayload,然后在Default Value字段中输入类似于以下内容的值:{ "AdminPassword": "XXXX=", "User": "CN=GCP_Admin,CN=Users,DC=gcpad,DC=local", "NewPassword": "XXXX", "AdminUser": "CN=admin,CN=Users,DC=gcpad,DC=local" }
如果操作成功,
ResetPassword 任务的 connectorOutputPayload 响应
参数的值类似于以下内容:
[{ "Success": "true", "result": "[ok]", "rss:title": "Password modified successfully", "resultcode": "0" }]
示例 - 更改密码
- 在
Configure connector task对话框中,点击Actions。 - 选择
ChangePassword操作,然后点击完成。 - 在连接器任务的任务输入部分,点击
connectorInputPayload,然后在Default Value字段:{ "NewPassword": "XXXX" }
如果操作成功,
ChangePassword 任务的 connectorOutputPayload 响应
参数的值类似于以下内容:
[{ "Success": "true", "result": "[ok]", "rss:title": "Password modified successfully.", "resultcode": "0" }]
实体操作示例
本部分介绍如何在此连接器中执行某些实体操作。
示例 - 列出所有用户
- 在
Configure connector task对话框中,点击Entities。 - 从
Entity列表中选择User。 - 选择
List操作,然后点击完成。 - 您还可以在连接器任务的任务输入部分中,通过指定过滤条件子句来过滤结果集。请务必使用英文单引号 (') 指定过滤条件子句值。
示例 - 获取用户记录
- 在
Configure connector task对话框中,点击Entities。 - 从
Entity列表中选择User。 - 选择
Get操作,然后点击完成。 - 在连接器任务的任务输入部分,点击实体 ID,然后
然后在 Default Value 字段中输入
1|CN=Active Directory User,DC=test-ldap,DC=com。其中,
41|CN=Active Directory User,DC=test-ldap,DC=com是User实体中的唯一记录 ID。
示例 - 创建用户记录
- 在
Configure connector task对话框中,点击Entities。 - 从
Entity列表中选择User。 - 选择
Create操作,然后点击完成。 - 在连接器任务的任务输入部分,点击
connectorInputPayload,然后在Default Value字段:{ "RDN": "CN= Active Directory User ", "ObjectClass": "top;person;organizationalPerson;user" }
运行此示例,在连接器中返回类似于以下内容的响应 任务的
connectorOutputPayload输出变量:{ "Id": "1|CN=Administrator,CN=Users,DC=test-ldap,DC=com" }
示例 - 更新用户记录
- 在
Configure connector task对话框中,点击Entities。 - 从
Entity列表中选择User。 - 选择
Update操作,然后点击完成。 - 在连接器任务的任务输入部分,点击
connectorInputPayload,然后在Default Value字段:{ "PostalCode": "560048" }
- 点击 entityId,然后在 Default Value 字段中输入
1|CN=Active Directory User,DC=test-ldap,DC=com。运行此示例会在连接器任务的
connectorOutputPayload输出变量中返回类似于以下内容的响应:{ "Id": "1|CN=Active Directory User,DC=test-ldap,DC=com" }
示例 - 删除用户记录
- 在
Configure connector task对话框中,点击Entities。 - 从
Entity列表中选择User。 - 选择
Delete操作,然后点击完成。 - 在连接器任务的任务输入部分,点击 entityId 并
然后在 Default Value 字段中输入
1|CN=Active Directory User,DC=test-ldap,DC=com。
使用 Terraform 创建连接
您可以使用 Terraform 资源创建新的连接。如需了解如何应用或移除 Terraform 配置,请参阅基本 Terraform 命令。
如需查看用于创建连接的 Terraform 模板示例,请参阅示例模板。
使用 Terraform 创建此连接时,您必须在 Terraform 配置文件中设置以下变量:
| 参数名称 | 数据类型 | 必需 | 说明 |
|---|---|---|---|
| base_dn | STRING | True | 标识名的基本部分,用于将结果限定为特定子树。 |
| auth_mechanism | ENUM | True | 连接到 Active Directory 服务器时使用的身份验证机制。支持的值包括:SIMPLE、DIGESTMD5、NEGOTIATE |
| follow_referrals | BOOLEAN | 错误 | 是否跟踪 Active Directory 服务器返回的引荐。 |
| friendly_guid | BOOLEAN | 错误 | 是否以用户可读的格式返回 GUID 属性值。 |
| friendly_sid | BOOLEAN | 错误 | 是否以人类可读的格式返回 SID 属性值。 |
| ldapversion | STRING | True | 用于连接服务器并与之通信的 LDAP 版本。 |
| 范围 | ENUM | True | 是将搜索范围限制为整个子树(BaseDN 及其所有后代)、单个级别(BaseDN 及其直接后代)还是基本对象(仅限 BaseDN)。支持的值包括:WHOLESUBTREE、SINGLELEVEL、BASEOBJECT |
在集成中使用 Active Directory 连接
创建连接后,该连接将在 Apigee Integration 和 Application Integration 中可用。您可以使用连接 通过连接器任务在集成中进行集成。