是否可以将RSA Archer与多个Active目录集成?
答案 0 :(得分:1)
一切皆有可能,这只是你愿意付出多少努力:)
选项1 (推荐):RSA Archer v5.x支持多种LDAP同步配置。因此,您可以使用多个AD服务器来同步用户
副作用:
[a]如果AD1和AD2都具有相同名称的用户,那么您将在不同域中的Archer中创建两个用户。使用手动登录时,用户需要提供不同的域。
[b]不确定如何启用SingleSignOn。我认为SSO只适用于主域名,但我不确定 - 你可能想测试一下。
选项2 (AD解决方法):我对Active Directory技术知之甚少,但我相信您可以建立多个AD之间的信任关系,这样AD2中的某些组就可以了驻留在AD1中的另一个组中(并且它们也将自动同步)。这样,您只能与Archer同步一个AD,但同时拥有来自两个AD的用户。
选项3 (数据库后端解决方法):在数据库中,您可以找到存储LDAP配置,用户和用户到组映射的表。您可以引入一个触发器,在每次LDAP同步后生成用户表和用户组表的副本。因此,在运行两个LDAP同步后,您将拥有两个备份副本。然后使用SQL触发器,您可以合并它们并覆盖原始表。使用此方法,您可以将同一“archer域”中的用户与多个LDAP源同步
副作用:
[a]您必须编写和维护自定义SQL代码
[b]在逐个执行所有LDAP同步并由触发代码处理之前,用户可能无法正确访问环境。