“用户认证”模块

用户身份验证模块与 Active Directory (AD) 或 LDAP 环境集成,通过使用 IBM® MaaS360® 中的各种工作流对用户进行身份验证。使用该模块,用户可以重复使用企业凭证,而无需生成和管理一套新的凭证。

Cloud Extender ® 为以下场景的 AD/LDAP 认证提供了便利:

  • 移动设备自助注册 IBM MaaS360
  • 用户门户网站访问以管理设备
  • 需要首先通过认证,然后才能访问受保护的应用程序和文档
  • 用户重置工作场所 PIN® 时
  • IBM MaaS360 门户访问的管理员身份验证
  • 登录共享设备

云扩展器MaaS360 云 (客户端)安全接收凭据,并根据目录服务器验证这些凭据。 凭据信息从客户端通过 MaaS360 云传递到云扩展器 ,但信息不会存储在本地。

运行方式

Cloud Extender 使用以下方式与公司目录集成:
  • Active Directory 方式: 此方式特定于 Microsoft Active Directory 环境。 Cloud Extender 作为服务帐户运行,并运行 PowerShell 命令以认证目录中的任何用户。 如果您的环境中有多个信任林或域,那么可能需要进行一些额外配置。 在此方式下, Cloud Extender 可以认证整个目录范围内的用户。
  • LDAP 方式:该方式用于任何企业目录。 云扩展器提供标准 LDAP 模板,可与 Domino LDAP、OracleLDAP、NovelleDirectory,和OpenLDAP 集成。 除了这些标准 LDAP 之外,此方式还用于针对任何定制 LDAP 进行配置。 Cloud Extender 还提供了一个模板来帮助您以 LDAP 方式配置 Microsoft Active Directory 。

要确定用于您的环境的实现方式,请考虑以下准则:

  • 如果不使用 Microsoft Active Directory (AD) ,请使用 LDAP 方式。
  • 如果您正在使用 Microsoft Active Directory (AD) ,那么下表提供了适用于您环境的 LDAP 选项:
    表 1. 确定要用于您的环境的 LDAP 实现方式
    方案分析 Active Directory 方式 LDAP 方式
    能够将认证作用域限制为特定 OU、子树或组  
    要求 Cloud Extender 必须是域的一部分  
    能够支持受信任的林/域认证
    能够支持不受信任的林/域认证  
    能够定制在用户认证过程中从 AD 读取的属性  
    支持用户定制属性1  
    能够定制用户和组过滤器以优化用户认证性能  
    支持高可用性 (HA)
    配置简易程度 轻松简单 中等
    实现技术 .NET 库 LDAP 库
    与同一 Cloud Extender 上的 "用户可视性" 一起配置2
    认证时间 限制为 .NET 库 通常比 AD 快

在大多数情况下, LDAP 认证方式是选项的实现,即使在 Microsoft Active Directory 环境中也是如此,同时考虑到表中列出的优点以及易于适应未来需求。

需求和缩放

用于 LDAP 或 Active Directory 的“用户认证”模块不具有缩放限制。 但是,以下规范是服务器为融入缩放功能而需要的最低需求。 增加这些限制可以提高服务器运行性能和易用性。

在大型环境中,部署 Cloud Extender 的单独实例以服务企业目录集成,并提供所有功能的可预测性能。 您可以根据需要部署任意数量的 Cloud Extender 实例。 但是,请在 Cloud Extender 的两个实例上至少启用两个用户认证模块以实现冗余。

表 2. “用户认证”模块的缩放需求
项目 最低需求
缩放(针对 Active Directory 和 LDAP 实现) CPU:双核
内存:2 GB 到 8 GB
存储空间:50 GB
缩放:
  • 一个 Cloud Extender (针对 10,000 个设备) 和一个 Cloud Extender (针对高可用性 (HA))
  • 支持在Cloud Extender 的多个实例上安装
  • 安装在专用的 Cloud Extender 上,或在 Cloud Extender 上启用用户可见性、证书颁发机构集成、Exchange 集成或 HCL Traveler 集成服务。

有关环境的准确缩放,请参阅位于 设置 > 服务 > 企业电子邮件集成Cloud Extender 缩放文档。
限制:未知
网络流量 认证请求/响应 = 每个请求 1 KB
Active Directory 硬件规范符合最低需求
已安装 PowerShell 3.0+
Windows 操作系统已加入域
服务帐户
  • 域用户
  • 密码未到期
  • 非交互式帐户
  • Cloud Extender 服务器上的本地管理员
LDAP 硬件规范符合最低需求
服务帐户
  • 用于绑定到 LDAP 服务器的用户名和密码
  • 密码未到期
  • 非交互式帐户
1 用户定制属性是 MaaS360 中的一项功能,您可以在其中定义自己的属性并在各种配置工作流程中使用此属性。

例如: 定义名为 Employee Serial Number 的用户定制属性,并在 MaaS360 策略中将此值用于设备配置,应用程序配置或身份证书的一部分。 该属性可以使用 LDAP 配置直接从目录中读取。

2 请考虑是否为 Cloud Extender配置 "用户可视性" 服务以及 "用户认证" 服务。 如果是,那么这两项服务的配置方式是 Active Directory 或 LDAP。 例如,在同一 Cloud Extender 上,无法将 "用户认证" 作为 AD 和 "用户可视性" 作为 LDAP。 如果需要此组合,那么必须使用单独的 Cloud Extender实例。