轻型目录访问协议(LDAP)是在 TCP/IP 堆栈上运行的目录服务协议。 它提供了一种机制,可用于连接到、搜索和修改 Internet 目录。 基于客户端服务器模型,LDAP 目录服务允许访问现有目录。
许多公司依赖于本地 LDAP 服务器来存储关键业务应用的用户和组。
Microsoft Entra ID 可以将 LDAP 同步替换为 Microsoft Entra Connect。 Microsoft Entra Connect 同步服务执行与本地环境和 Microsoft Entra ID 之间同步身份数据相关的所有操作。
何时使用 LDAP 同步
如果需要在本地 LDAP v3 目录和Microsoft Entra ID 之间同步标识数据,请使用 LDAP 同步,如下图所示。
系统组件
- Microsoft Entra ID:Microsoft Entra ID 通过 Microsoft Entra Connect 从组织的本地 LDAP 目录同步身份信息(如用户、群组)。
- Microsoft Entra Connect:是用于将本地标识基础结构连接到 Microsoft Entra ID 的工具。 向导和引导体验有助于部署和配置连接所需的先决条件和组件。
- 自定义连接器:通用 LDAP 连接器使你可以将 Microsoft Entra Connect 同步服务与 LDAP v3 服务器集成。 它位于 Microsoft Entra Connect 上。
- Active Directory:Active Directory 是大多数 Windows Server作系统中包含的目录服务。 运行 Active Directory 服务(称为域控制器)的服务器对 Windows 域中的所有用户和计算机进行身份验证和授权。
- LDAP v3 服务器:LDAP 协议兼容的目录,用于存储用于目录服务身份验证的公司用户和密码。
使用 Microsoft Entra ID 实现 LDAP 同步
浏览以下资源,了解有关使用 Microsoft Entra ID 进行 LDAP 同步的详细信息。
混合标识:目录集成工具比较 描述了 Microsoft Entra Connect Sync 与 Microsoft Entra Connect 云预配之间的差异。
Microsoft Entra Connect 安装路线图 提供了详细的安装和配置步骤。
使用通用 LDAP 连接器可将同步服务与 LDAP v3 服务器集成。
注释
部署 LDAP 连接器需要高级配置。 Microsoft为此连接器提供有限的支持。 配置此连接器需要熟悉 Microsoft Identity Manager 和特定的 LDAP 目录。
在生产环境中部署此配置时,请与合作伙伴(例如Microsoft咨询服务)协作以获取帮助、指导和支持。
后续步骤
- 什么是具有 Microsoft Entra ID 的混合标识? Microsoft的标识解决方案跨越本地和基于云的功能。 混合标识解决方案创建一个通用的用户标识,以便对所有资源进行身份验证和授权,而不考虑位置。
- Microsoft Entra 身份验证和同步协议概述 介绍了与身份验证和同步协议的集成。 身份验证集成使你能够使用 Microsoft Entra ID 及其安全性和管理功能,对使用旧式身份验证方法的应用程序几乎没有或没有更改。 通过同步集成,可以将用户和组数据同步到 Microsoft Entra ID,然后用户Microsoft Entra 管理功能。 某些同步模式启用自动预配。