Giao diện

LDAP / Active Directory

Tích hợp xác thực và đồng bộ người dùng với máy chủ LDAP hoặc Active Directory.

Quyền truy cập: adminĐiều hướng: Từ phiên bản 8.11, LDAP nhúng trong Cài đặt > Tài khoản & đăng nhập > tab "LDAP / Active Directory" (cùng trang với SSO Providers và Nhật ký SSO). Vẫn hỗ trợ truy cập trực tiếp /manage/settings/ldap. Xem tổng quan tích hợp tại SSO.

Tổng quan

Hệ thống hỗ trợ tích hợp LDAP (Lightweight Directory Access Protocol) cho phép kết nối với máy chủ Active Directory hoặc OpenLDAP để:

  • Xác thực người dùng bằng thông tin đăng nhập LDAP.
  • Đồng bộ tự động danh sách người dùng từ thư mục LDAP.
  • Đồng bộ cấu trúc tổ chức (đơn vị, phòng ban).
  • Ánh xạ thuộc tính LDAP sang thông tin tài khoản Noova.

Mỗi tổ chức (company) có cấu hình LDAP riêng biệt, hỗ trợ mô hình SaaS đa thuê bao (multi-tenant).

Cấu hình máy chủ

Thông tin kết nối

TrườngBắt buộcMô tảGiá trị mặc định
Bật LDAPKhôngBật/tắt tích hợp LDAPTắt
URL máy chủĐịa chỉ LDAP server (ldap:// hoặc ldaps://)-
CổngCổng kết nối389
Bind DNDistinguished Name để xác thực kết nối-
Bind PasswordMật khẩu của Bind DN-
Search Base DNDN gốc để tìm kiếm-

Bảo mật TLS

TrườngMô tảGiá trị mặc định
Sử dụng TLS/SSLBật kết nối mã hoá TLS - bắt buộc khi bật LDAP (từ 8.11)Bật
Từ chối chứng chỉ không hợp lệTừ chối chứng chỉ SSL tự kýTắt

Bảo mật 8.11: TLS giờ bắt buộc khi bật LDAP. Server cấm chấp nhận kết nối plain ldap:// (port 389) nếu useTls=falseenabled=true. Phải dùng ldaps:// (port 636) hoặc StartTLS qua port 389.

Cấu hình tìm kiếm người dùng

TrườngMô tảGiá trị mặc định
User Base DNDN gốc để tìm kiếm người dùng-
User Search FilterBộ lọc tìm kiếm LDAP(objectClass=person)
User Search ScopePhạm vi tìm kiếmsub (toàn bộ cây con)
User AttributesDanh sách thuộc tính cần lấydn, cn, sn, givenName, mail, telephoneNumber, sAMAccountName, uid, employeeNumber, title, department, manager, memberOf

Phạm vi tìm kiếm (Scope)

Giá trịMô tả
baseChỉ tìm kiếm tại chính DN gốc
oneTìm kiếm trực tiếp bên dưới DN gốc (1 cấp)
subTìm kiếm toàn bộ cây con (đệ quy)

Cấu hình nhóm và đơn vị tổ chức

Nhóm (Group)

TrườngMô tảGiá trị mặc định
Group Base DNDN gốc để tìm nhóm-
Group Search FilterBộ lọc tìm nhóm(objectClass=group)
Group Search ScopePhạm vi tìm kiếm nhómsub

Đơn vị tổ chức (Org Unit)

TrườngMô tảGiá trị mặc định
Org Unit Base DNDN gốc để tìm đơn vị tổ chức-
Org Unit Search FilterBộ lọc tìm đơn vị(objectClass=organizationalUnit)

Đồng bộ dữ liệu

Cấu hình đồng bộ

TrườngMô tảGiá trị mặc định
Bật đồng bộ tự độngCho phép hệ thống tự động đồng bộ định kỳTắt
Chu kỳ đồng bộThời gian giữa các lần đồng bộ (mili giây)3600000 (1 giờ)
Đồng bộ khi khởi độngTự động đồng bộ khi server khởi độngTắt
Tạo người dùng mớiTạo tài khoản Noova cho người dùng LDAP chưa cóBật
Cập nhật người dùngCập nhật thông tin tài khoản từ LDAPBật
Vô hiệu hóa người dùngKhóa tài khoản không còn trong LDAPTắt
Đồng bộ cấu trúc tổ chứcĐồng bộ đơn vị, phòng ban từ LDAPTắt

Thông tin đồng bộ gần nhất

TrườngMô tả
Thời gian đồng bộ cuốiThời điểm lần đồng bộ gần nhất
Trạng tháiThành công, Thất bại, Một phần
Thông báoChi tiết về kết quả đồng bộ
Số lượng người dùngSố người dùng đã đồng bộ trong lần gần nhất

Xác thực LDAP

TrườngMô tảGiá trị mặc định
Bật xác thực LDAP (authEnabled)Cho phép đăng nhập bằng thông tin LDAPTắt
Quay về xác thực local (fallbackToLocal)Nếu LDAP thất bại, thử xác thực bằng tài khoản localBật
Tạo tài khoản khi đăng nhập (createAccountOnLogin)Tự động tạo tài khoản Noova khi đăng nhập LDAP lần đầuBật
Tự tạo hồ sơ nhân sự khi đăng nhập lần đầu (autoCreateEmployee, 8.11)Tự insert bản ghi Employees với fullName + email + employeeNumber từ LDAPTắt
Tắt đăng nhập bằng Email/Mật khẩu (chỉ cho phép LDAP) (passwordLoginDisabled, 8.11)Ép tất cả user trong tenant chỉ login qua LDAP - disable password form trên trang đăng nhậpTắt

8.11 - Cảnh báo passwordLoginDisabled: Bật cờ này tương đương với "lock-down LDAP-only". Đảm bảo ít nhất 1 admin có thể login qua LDAP trước khi bật, nếu không sẽ tự khoá mình ra ngoài hệ thống. Có thể tắt lại qua DB nếu bị khoá.

Ánh xạ thuộc tính

Ánh xạ thuộc tính LDAP sang các trường thông tin tài khoản trên hệ thống:

Trường NoovaThuộc tính LDAP mặc địnhMô tả
UsernamesAMAccountNameTên đăng nhập
EmailmailĐịa chỉ email
TêngivenNameTên (first name)
HọsnHọ (last name)
Họ và têncnTên đầy đủ
Điện thoạitelephoneNumberSố điện thoại
Mã nhân viênemployeeNumberMã số nhân viên
Chức danhtitleChức danh công việc
Phòng bandepartmentPhòng ban/bộ phận
Quản lýmanagerDN của người quản lý trực tiếp

Lưu ý

  • Cấu hình LDAP yêu cầu quyền admin.
  • Mỗi tổ chức có cấu hình LDAP riêng biệt (multi-tenant).
  • URL máy chủ phải bắt đầu bằng ldap:// hoặc ldaps://. Từ 8.11 bắt buộc TLS khi bật LDAP.
  • Khi bật "Vô hiệu hoá người dùng" (deactivateUsers), các tài khoản không còn trong LDAP sẽ bị khoá trên hệ thống Noova.
  • Nên bật "Quay về xác thực local" (fallbackToLocal) để đảm bảo quản trị viên vẫn đăng nhập được khi máy chủ LDAP gặp sự cố. Chỉ tắt fallback khi đã chắc chắn LDAP ổn định.
  • Để LDAP login hoạt động, phải bật cả 2 chỗ: (1) Tab "SSO Providers" → chính sách chung → Cho phép đăng nhập bằng LDAP; (2) Tab LDAP → Bật LDAP + Bật xác thực LDAP.
  • Thay đổi cấu hình đồng bộ có hiệu lực ngay sau khi lưu.
  • ldapjs 3.x có một số edge case socket emit unhandled error - server có safety net process-level swallow ECONNREFUSED/ECONNRESET/ETIMEDOUT từ ldapjs stack để không crash. Lỗi vẫn được log với prefix [APIv1] swallowed ldapjs socket error.

Xem thêm

Hướng dẫn sử dụng nền tảng HR/LMS Noova. Vận hành bởi VN-ELEARNING.

Copyright © 2020-2026 Noova · Hotline 1900 866 659 · info@noova.vn · noova.vn