Перейти к содержанию

Интеграция с LDAP-сервером (сервером домена)

Данный функционал доступен в СУО версии 3.2.0.0 и выше

Интеграция с LDAP-сервером позволяет загружать пользователей в СУО из домена.

Принцип работы

Администратор настраивает в СУО доступ к домену и правила импорта пользователей, и по этим правилам каждый час происходит синхронизация пользователей из домена в СУО. Пользователь при входе в приложение СУО (Пульт оператора, Панель администрирования, Конфигуратор отчетов) или через API указывает логин своей доменной учетной записи (user@domain.ru) и пароль и входит в приложение. Сервер СУО, к которому подключено приложение, осуществляет аутентификацию пользователя через домен.

Настройка доступа к домену

Настройка интеграции с LDAP-сервером находится в разделе "Центре настройки > Интеграция" (вкладка LDAP).

Для настройки домена доступны следующие параметры:

  • Название - название домена (или IP-адрес)
  • Пользователь - логин
  • Пароль пользователя для административного доступа (достаточно прав доступа на чтение)
  • Логины пользователей в СУО - что используется в качестве логина у пользователей, импортируемых из домена. Доступны значения:
    • SAM Account Name
    • User Principal Name
  • Имя поля отчества - Если в домене в данном поле указано отчетство, то при импорте оно будет добавляться через пробел к имени пользователя
  • Имя поля идентификатора для API - наименование поля в домене, из которого для пользователей будут импортироваться идентификаторы для API
  • Периодичность импорта пользователей (мин)

Здесь же доступны настройки правил импорта со следующими параметрами (Да/Нет):

Данный функционал доступен в СУО версии 4.4.6.0 и выше

  • Всегда назначать роли по правилам импорта
  • Всегда назначать расписание по правилам импорта
  • Всегда назначать доступные услуги по правилам импорта
  • Всегда назначать группы по правилам импорта

image

Добавление домена

Настройка правил импорта пользователей

Правила импорта пользователей задают условия, указывающие:

  • какие именно пользователи загружаются из домена
  • к каким филиалам они привяжутся в СУО
  • какие роли они получат в СУО

Для перехода к настройкам правил импорта пользователей необходимо на странице просмотра информации о домене нажать на "Импорт пользователей".

image

Информация о домене. Импорт пользователей

Для добавления правила необходимо выбрать нужный сервер и нажать на иконку "+" справа от его названия. Пользователи, импортируемые по этим правилам, привязываются к данному серверу.

image

Импорт пользователей

В правиле импорта пользователей необходимо указать:

  • Роль -- эту роль получат пользователи, импортируемые по данному правилу. В качестве доступногь значения может быть любая роль существующая в системе (встроенная или созданная)
  • Параметры поиска -- условия, какие именно пользователи будут загружены из домена
  • Расписание (1)
  • Доступные услуги (2)
  • Группы (3)
  1. Доступно в СУО версии 4.4.6.0 и выше
  2. Доступно в СУО версии 4.4.6.0 и выше
  3. Доступно в СУО версии 4.4.6.0 и выше

image

Добавление правила импорта пользователей

Настройка параметров импорта пользователей

image

Параметры поиска

Чтобы настроить параметры поиска пользователей в домене, необходимо сделать следующее:

  1. Указать подразделение (OU, Organizational Unit), откуда необходимо импортировать пользователей. Вложенные подразделения также учитываются. Т.е. выбрать папку из структуры домена. По умолчанию поиск пользователей идет по всему домену.

image

Список подразделений

  1. Указать LDAP-фильтр простым текстом.

Пустой фильтр -- загружаются все пользователи.

Пример Пользователи -- члены группы Отдел ИТ, которая находится в "kraftit.ru/Организация/Группы безопасности": (memberOf=CN=Отдел ИТ,OU=По структуре компании,OU=Группы безопасности,OU=Организация,DC=kraftit,DC=ru)

Примеры других фильтров есть в справке.

При настройке параметров поиска рекомендуется использовать предпросмотр. Таким образом можно удостовериться, что будут импортироваться нужные пользователи.

image

Предпросмотр импортируемых пользователей

После настройки правил импорта пользователи сразу импортируются из домена.

В списке доменов можно видеть статус последнего импорта.

image

Статус последнего импорта

Разное

  • Синхронизация пользователей из домена (их добавление/редактирование/удаление) отображается в аудите. Действия идут от субъекта "LDAP-сервер".
  • Пользователи, которые отключены в домене, также импортируются в СУО отключенными.
  • Пользователей из доменов нельзя удалить вручную. Чтобы удалить такого пользователя, удалите его в домене. Если он нужен в домене, но не нужен в СУО, можете настроить LDAP-фильтр так, чтобы пользователь исключался из поиска.
  • У пользователей из доменов нельзя редактировать то, что управляется из домена или задается правилами импорта: ФИО, логин, пароль, привязку к серверу, роли, блокировку (включен/отключен).
  • При удалении домена из СУО все его пользователи также удаляются.
  • Если пользователь загружается из домена по нескольким правилам импорта, то он будет иметь роли от каждого правила импорта (т.е. роли объединяются).
  • Если пользователь загружается из домена по правилам импорта для нескольких серверов, происходит ошибка, и такой пользователь не добавляется в СУО, потому как СУО не поддерживает привязку пользователей к нескольким серверам. Ошибка импорта пользователя отобразится в логах, а также в панели администрирования, в статусе импорта из домена.
  • По умолчанию для соединения с LDAP-сервером используется 389 порт.