LDAP

借助 LDAP 连接器,您可以配置通用 LDAP 服务器。

支持的版本

此连接器支持 LDAP 版本 2 和 3。

准备工作

在使用 LDAP 连接器之前,请先完成以下任务:

  • 在您的 Google Cloud 项目中:
    • 向配置连接器的用户授予 roles/connectors.admin IAM 角色。
    • 将以下 IAM 角色授予您要用其来使用连接器的服务账号:
      • roles/secretmanager.viewer
      • roles/secretmanager.secretAccessor

      服务账号是一种特殊类型的 Google 账号,用于表示需要验证身份并获得授权以访问 Google API 数据的非人类用户。如果您没有服务账号,则必须创建一个服务账号。如需了解详情,请参阅创建服务账号

    • 启用以下服务:
      • secretmanager.googleapis.com (Secret Manager API)
      • connectors.googleapis.com (Connectors API)

      如需了解如何启用服务,请参阅启用服务

    如果之前没有为您的项目启用这些服务或权限,则在您配置连接器时,系统会提示您启用。

配置连接器

配置连接器时,您需要创建与数据源(即后端系统)的连接。一个连接需专用于一个数据源。这意味着,如果您有许多数据源,则必须为每个数据源创建单独的连接。如需创建连接,请执行以下步骤:

  1. Cloud 控制台 中,进入 Integration Connectors > 连接页面,然后选择或创建一个 Google Cloud 项目。

    转到“连接”页面

  2. 点击 + 新建以打开创建连接页面。
  3. 位置部分中,选择连接的位置。
    1. 区域:从下拉列表中选择一个位置。

      如需查看所有受支持区域的列表,请参阅位置

    2. 点击下一步
  4. 连接详情部分中,完成以下操作:
    1. 连接器:从可用连接器的下拉列表中选择 LDAP
    2. 连接器版本:从可用版本的下拉列表中选择一个连接器版本。
    3. 连接名称字段中,输入连接实例的名称。

      连接名称必须符合以下条件:

      • 连接名称可以使用字母、数字或连字符。
      • 字母必须小写。
      • 连接名称必须以字母开头,以字母或数字结尾。
      • 连接名称不能超过 49 个字符。
    4. (可选)输入连接实例的说明
    5. 您可以选择启用 Cloud Logging,然后选择日志级别。默认情况下,日志级别设置为 Error
    6. 服务账号:选择具有所需角色的服务账号。
    7. (可选)配置连接节点设置

      • 节点数下限:输入连接节点数下限。
      • 节点数上限:输入连接节点数上限。

      节点是处理事务的连接单元(或副本)。 连接处理越多事务就需要越多节点,相反,处理越少事务需要越少节点。 如需了解节点如何影响连接器价格,请参阅连接节点的价格。如果未输入任何值,则默认情况下,节点数下限设置为 2(以便提高可用性),节点数上限设置为 50。

    8. 基本 DN:标识名的基本部分,用于将结果限制为特定子树。
    9. 身份验证机制:连接到 LDAP 服务器时使用的身份验证机制。
    10. 遵循引荐:是否遵循 LDAP 服务器返回的引荐。
    11. 易记 GUID:是否以用户可读的格式返回 GUID 属性值。
    12. 易记 SID:是否以用户可读的格式返回 SID 属性值。
    13. LDAP 版本:用于与服务器连接和通信的 LDAP 版本。
    14. 范围:是将搜索范围限制为整个子树(BaseDN 及其所有后代)、单个级别(BaseDN 及其直接后代)还是基本对象(仅限 BaseDN)。
    15. (可选)点击 + 添加标签,以键值对的形式向连接添加标签。
    16. 点击下一步
  5. 目标部分中,输入要连接到的远程主机(后端系统)的详细信息。
    1. 目标类型:选择目标类型
      • 从列表中选择主机地址,以指定目的地的主机名或 IP 地址。
      • 如果要与后端系统建立专用连接,请从列表中选择端点连接,然后从端点连接列表中选择所需的端点连接。

      如果要与后端系统建立公共连接以提高安全性,您可以考虑为连接配置静态出站 IP 地址,然后将防火墙规则配置为仅将特定静态 IP 地址列入许可名单。

      要输入其他目标,请点击 + 添加目标

    2. 点击下一步
  6. 身份验证部分中,输入身份验证详细信息。
    1. 选择身份验证类型,然后输入相关详细信息。

      LDAP 连接支持以下身份验证类型:

      • 用户名和密码

      2. 如需了解如何配置这些身份验证类型,请参阅配置身份验证

    2. 点击下一步
  7. 查看:查看您的连接和身份验证详细信息。
  8. 点击创建

配置身份验证

根据您要使用的身份验证输入详细信息。

  • 用户名和密码
    • 用户名:连接器的用户名
    • 密码:包含与连接器关联的密码的 Secret Manager Secret。

实体、操作和动作

所有集成连接器都会为所连接应用的对象提供抽象层。您只能通过此抽象访问应用的对象。抽象作为实体、操作和动作向您展示。

  • 实体:实体可以被视为连接的应用或服务中的对象或属性集合。不同连接器的实体定义也会有所不同。例如,在数据库连接器中,表是实体;在文件服务器连接器中,文件夹是实体;在消息传递系统连接器中,队列是实体。

    但可能的情况是,连接器不支持或不具有任何实体,在这种情况下,Entities 列表将为空。

  • 操作:操作是指您可以对实体执行的操作。您可以对实体执行以下任一操作:

    从可用列表中选择一个实体,系统会生成该实体可用的操作列表。如需了解操作的详细说明,请参阅连接器任务的实体操作。但是,如果连接器不支持任何实体操作, 操作未在 Operations 列表中列出。

  • 动作:动作是可通过连接器接口提供给集成的头等函数。动作可让您对一个或多个实体进行更改,并且动作因连接器而异。通常,操作有一些输入参数和一个输出 参数。但可能的情况是,连接器不支持任何动作,在这种情况下,Actions 列表将为空。

操作

本部分列出了 LDAP 连接器支持的所有操作。

MoveToDN 操作

此操作会将对象从一个 DN(标识名)移至另一个 DN。

MoveToDN 操作的输入参数

参数名称 数据类型 必填 说明
DN 字符串 要移至 LDAP 服务器上的对象的当前 DN。例如 CN=Google Cloud,OU=Bangalore,OU=India,OU=Domain_Users,DC=test-ldap,DC=com
NewParentDN 字符串 对象的新父 DN。例如 OU=Mysore,OU=India,OU=Domain_Users,DC=test-ldap,DC=com

DownloadFile 操作的输出参数

此操作返回状态 200 (OK),以及指示结果的响应正文。

如需了解如何配置 MoveToDN 操作,请参阅操作示例

GetAttributes 操作

此操作会获取 DN 的所有属性名称和值。

GetAttributes 操作的输入参数

参数名称 数据类型 必填 说明
DN 字符串 所需 LDAP 对象的标识名。如果未指定,则使用连接字符串中的 BaseDN。

GetAttributes 操作的输出参数

此操作会返回状态 200 (OK),并附带一个响应正文来指明结果。

如需了解如何配置 GetAttributes 操作,请参阅操作示例

AddMembersToGroup 操作

此操作会将用户添加到群组。

GetAttributes 操作的输入参数

参数名称 数据类型 必填 说明
GroupId 字符串 您要向其中添加用户的群组的 ID。
UserDNs 字符串 UserDN 汇总表或包含要添加到群组的用户 DN 的临时表。该值应为用户记录的 DN。

AddMembersToGroup 操作的输出参数

此操作返回状态 200 (OK),以及指示结果的响应正文。

如需了解如何配置 AddMembersToGroup 操作,请参阅操作示例

操作示例

本部分介绍如何在此连接器中执行一些操作。

示例 - 将对象从一个 DN 移至另一个 DN

  1. Configure connector task 对话框中,点击 Actions
  2. 选择 MoveToDN 操作,然后点击完成
  3. 连接器任务的任务输入部分,点击 connectorInputPayload,然后在 Default Value 字段: 
    {
"DN": "CN=Google Cloud,OU=Bangalore,OU=India,OU=Domain_Users,DC=test-ldap,DC=com",
"NewParentDN": "OU=Mysore,OU=India,OU=Domain_Users,DC=test-ldap,DC=com"
}

    4. 以下示例将对象从一个 DN 移至另一个 DN。如果操作成功,连接器任务的 connectorOutputPayload 响应参数的值将类似于以下内容:

    [{
"Success": null,
"result": "[ok]",
"modified": "true",
"rss:title": "The movement was successful.",
"resultcode": "0"
}]

示例 - 获取 DN 的属性

  1. Configure connector task 对话框中,点击 Actions
  2. 选择 GetAttributes 操作,然后点击完成
  3. 连接器任务的任务输入部分中,点击 connectorInputPayload,然后在 Default Value 字段中输入类似于以下内容的值: 
    {
"DN": "CN=Bangalore user,OU=Bangalore,OU=India,OU=Domain_Users,DC=test-ldap,DC=com"
}

    4. 此示例会获取指定 DN 的属性。如果操作成功,连接器任务的 connectorOutputPayload 响应参数的值将类似于以下内容:

    [{
    "AttributeName": "_op",
    "AttributeValue": "ldapadoGetAttributes"
  }, {
    "AttributeName": "usncreated",
    "AttributeValue": "36006"
  }, {
    "AttributeName": "countrycode",
    "AttributeValue": "0"
  }, {
    "AttributeName": "badpwdcount",
    "AttributeValue": "0"
  }, {
    "AttributeName": "dn",
    "AttributeValue": ""
  }, {
    "AttributeName": "dn",
    "AttributeValue": "CN=Bangalore user,OU=Bangalore,OU=India,OU=Domain_Users,DC=test-ldap,DC=com"
  }, {
    "AttributeName": "whenchanged",
    "AttributeValue": "20230913125155.0Z"
  }, {
    "AttributeName": "objectclass",
    "AttributeValue": "top"
  }, {
    "AttributeName": "objectclass",
    "AttributeValue": "person"
  }, {
    "AttributeName": "objectclass",
    "AttributeValue": "organizationalPerson"
  }, {
    "AttributeName": "objectclass",
    "AttributeValue": "user"
  }, {
    "AttributeName": "primarygroupid",
    "AttributeValue": "513"
  }, {
    "AttributeName": "givenname",
    "AttributeValue": "Bangalore"
  }, {
    "AttributeName": "dscorepropagationdata",
    "AttributeValue": "16010101000001.0Z"
  }, {
    "AttributeName": "sn",
    "AttributeValue": "user"
  }, {
    "AttributeName": "useraccountcontrol",
    "AttributeValue": "512"
  }, {
    "AttributeName": "cn",
    "AttributeValue": "Bangalore user"
  }, {
    "AttributeName": "codepage",
    "AttributeValue": "0"
  }, {
    "AttributeName": "accountexpires",
    "AttributeValue": "9223372036854775807"
  }, {
    "AttributeName": "userprincipalname",
    "AttributeValue": "user-1@test-l
  }]

示例 - 将用户添加到群组

  1. Configure connector task 对话框中,点击 Actions
  2. 选择 AddMembersToGroup 操作,然后点击完成
  3. 连接器任务的任务输入部分,点击 connectorInputPayload,然后在 Default Value 字段: 
    {
"GroupId": "1|CN=Cert Publishers,CN=Users,DC=test-ldap,DC=com",
"UserDNs": "[{\"DN\":\"CN=Google AI,CN=Users,DC=test-ldap,DC=com;CN=Guest,CN=Users,DC=test-ldap,DC=com\"}]"
}

    4. 此示例将用户 DN 添加到 ID 为 1|CN=Cert Publishers,CN=Users,DC=test-ldap,DC=com 的群组。如果此操作成功,您的 连接器任务的 connectorOutputPayload 响应参数的值将类似于以下内容:

    [{
  "Success": "True"
  }]

实体操作示例

示例 - 列出用户

以下示例列出了 User 实体中的所有用户。

  1. Configure connector task 对话框中,点击 Entities
  2. Entity 列表中选择 User
  3. 选择 LIST 操作,然后点击 完成
  4. (可选)您可以过滤结果集。如需过滤结果集,请在连接器任务的任务输入部分,根据您的要求设置 filterClause

    例如,将过滤条件子句设置为 Id='1|CN=admin,CN=Users,DC=test-ldap,DC=com' 后,系统只会列出 ID 与此条件匹配的记录。

示例 - 获取用户记录

此示例从 User 实体获取用户详细信息。

  1. Configure connector task 对话框中,点击 Entities
  2. Entity 列表中选择 User
  3. 选择 GET 操作,然后点击完成
  4. 连接器任务的任务输入部分,点击实体 ID,然后 然后在 Default Value 字段中输入 1|CN=admin,CN=Users,DC=test-ldap,DC=com

    其中,1|CN=admin,CN=Users,DC=test-ldap,DC=comUser 实体的主键值之一。

示例 - 创建用户记录

此示例会在 User 实体中创建用户记录。

  1. Configure connector task 对话框中,点击 Entities
  2. Entity 列表中选择 User
  3. 选择 Create 操作,然后点击完成
  4. 连接器任务的任务输入部分,点击 connectorInputPayload,然后在 Default Value 字段: 
    {
"RDN": "CN=MPATAI",
"ObjectClass": "top;person;organizationalPerson;user"
}

    如果集成成功,连接器任务的 connectorOutputPayload 字段的值将类似于以下内容:

     {
"Id": "1|CN=MPATAI,CN=Users,DC=test-ldap,DC=com"
}

示例 - 更新工单

此示例更新 User 实体中的指定用户记录。

  1. Configure connector task 对话框中,点击 Entities
  2. Entity 列表中选择 User
  3. 选择 Update 操作,然后点击完成
  4. 连接器任务的任务输入部分中,点击 connectorInputPayload,然后在 Default Value 字段中输入类似于以下内容的值: 
    {
        "PostalCode": "560040"
      }
  5. 点击 entityId,然后在 Default Value 字段中输入 1|CN=admin,CN=Users,DC=test-ldap,DC=com

    或者,您也可以将 filterClause 设置为 1|CN=admin,CN=Users,DC=test-ldap,DC=com,而不是指定 entityId

    如果集成成功,连接器任务的 connectorOutputPayload 字段将显示 值类似于以下内容:

    {
"Id": "1|CN=admin,CN=Users,DC=test-ldap,DC=com"
}

示例 - 删除用户记录

此示例会从 User 实体中删除用户记录。

  1. Configure connector task 对话框中,点击 Entities
  2. Entity 列表中选择 User
  3. 选择 Delete 操作,然后点击完成
  4. 连接器任务的任务输入部分,点击 entityId,然后在默认值字段中输入 1|CN=admin,CN=Users,DC=test-ldap,DC=com
  5. 或者,如果 User 实体具有复合主键,您可以设置 filterClause,而不是指定 entityId。例如 Id='1|CN=admin,CN=Users,DC=test-ldap,DC=com' and DN='CN=admin,CN=Users,DC=test-ldap,DC=com'

使用 Terraform 创建连接

您可以使用 Terraform 资源创建新的连接。

如需了解如何应用或移除 Terraform 配置,请参阅基本 Terraform 命令

如需查看用于创建连接的 Terraform 模板示例,请参阅示例模板

使用 Terraform 创建此连接时,您必须在 Terraform 配置文件中设置以下变量:

参数名称 数据类型 必需 说明
base_dn STRING True 标识名的基本部分,用于将结果限制为特定子树。
auth_mechanism ENUM True 连接到 LDAP 服务器时使用的身份验证机制。支持的值包括:SIMPLE、DIGESTMD5、NEGOTIATE
follow_referrals BOOLEAN 错误 是否遵循 LDAP 服务器返回的 LDAP 引荐。
friendly_guid BOOLEAN 错误 是否以用户可读的格式返回 GUID 属性值。
friendly_sid BOOLEAN 错误 是否以用户可读的格式返回 SID 属性值。
ldapversion ENUM True 用于连接服务器并与之通信的 LDAP 版本。支持的值包括:2、3
范围 ENUM True 将搜索范围限定为整个子树(BaseDN 及其所有后代)、单个级别(BaseDN 及其直接后代)还是基本对象(仅限 BaseDN)。支持的值包括:WHOLESUBTREE、SINGLELEVEL、BASEOBJECT

在集成中使用 LDAP 连接

创建连接后,该连接将在 Apigee Integration 和 Application Integration 中可用。您可以使用连接 通过连接器任务在集成中进行集成。

  • 如需了解如何在 Apigee Integration 中创建和使用连接器任务,请参阅连接器任务
  • 如需了解如何在应用集成中创建和使用连接器任务,请参阅连接器任务

向 Google Cloud 社区寻求帮助

您可以在 Google Cloud 中发布问题和讨论此连接器 Cloud 论坛

后续步骤