Интеграция с LDAP-сервером (сервером домена)

Интеграция с LDAP-сервером позволяет загружать пользователей в СУО из домена.

Принцип работы

Администратор настраивает в СУО доступ к домену и правила импорта пользователей, и по этим правилам каждый час происходит синхронизация пользователей из домена в СУО. Пользователь при входе в приложение СУО (Пульт оператора, Панель администрирования, Конфигуратор отчетов) или через API указывает логин своей доменной учетной записи (user@domain.ru) и пароль и входит в приложение. Сервер СУО, к которому подключено приложение, осуществляет аутентификацию пользователя через домен.

Настройка доступа к домену

Настройка интеграции с LDAP-сервером находится в разделе «Центре настройки > Интеграция» (вкладка LDAP).

Для настройки домена доступны следующие параметры:

  • Название - название домена (или IP-адрес);

  • Пользователь - логин;

  • Пароль пользователя для административного доступа (достаточно прав доступа на чтение);

  • Логины пользователей в СУО - что используется в качестве логина у пользователей, импортируемых из домена. Доступны значения: * SAM Account Name; * User Principal Name;

  • Имя поля отчества - Если в домене в данном поле указано отчетство, то при импорте оно будет добавляться через пробел к имени пользователя;

  • Имя поля идентификатора для API - наименование поля в домене, из которого для пользователей будут импортироваться идентификаторы для API;

  • Периодичность импорта пользователей (мин).

Здесь же доступны настройки правил импорта со следующими параметрами (Да/Нет):

  • Всегда назначать роли по правилам импорта;

  • Всегда назначать расписание по правилам импорта;

  • Всегда назначать доступные услуги по правилам импорта;

  • Всегда назначать группы по правилам импорта.

../_images/176.png

Добавление домена

Настройка правил импорта пользователей

Правила импорта пользователей задают условия, указывающие:

  • какие именно пользователи загружаются из домена;

  • к каким филиалам они привяжутся в СУО;

  • какие роли они получат в СУО.

Для перехода к настройкам правил импорта пользователей необходимо на странице просмотра информации о домене нажать на «Импорт пользователей».

../_images/352.png

Информация о домене. Импорт пользователей

Для добавления правила необходимо выбрать нужный сервер и нажать на иконку «+» справа от его названия. Пользователи, импортируемые по этим правилам, привязываются к данному серверу.

../_images/179.png

Импорт пользователей

В правиле импорта пользователей необходимо указать:

  • Роль – эту роль получат пользователи, импортируемые по данному правилу. Доступны значения: * Администратор; * Администратор зала; * Оператор; * Полный доступ; * Просмотр отчетов;

  • Параметры поиска – условия, какие именно пользователи будут загружены из домена;

  • Расписание;

  • Доступные услуги;

  • Группы.

../_images/180.png

Добавление правила импорта пользователей

Настройка параметров импорта пользователей

../_images/181.png

Параметры поиска

Чтобы настроить параметры поиска пользователей в домене, необходимо сделать следующее:

  1. Указать подразделение (OU, Organizational Unit), откуда необходимо импортировать пользователей. Вложенные подразделения также учитываются. Т.е. выбрать папку из структуры домена. По умолчанию поиск пользователей идет по всему домену.

../_images/182.png

Список подразделений

  1. Указать LDAP-фильтр простым текстом.

Пустой фильтр – загружаются все пользователи.

Пример Пользователи – члены группы Отдел ИТ, которая находится в «kraftit.ru/Организация/Группы безопасности»: (memberOf=CN=Отдел ИТ,OU=По структуре компании,OU=Группы безопасности,OU=Организация,DC=kraftit,DC=ru)

Примеры других фильтров есть в справке.

При настройке параметров поиска рекомендуется использовать предпросмотр. Таким образом можно удостовериться, что будут импортироваться нужные пользователи.

../_images/183.png

Предпросмотр импортируемых пользователей

После настройки правил импорта пользователи сразу импортируются из домена.

В списке доменов можно видеть статус последнего импорта.

../_images/184.png

Статус последнего импорта

Разное

  • Синхронизация пользователей из домена (их добавление/редактирование/удаление) отображается в аудите. Действия идут от субъекта «LDAP-сервер».

  • Пользователи, которые отключены в домене, также импортируются в СУО отключенными.

  • Пользователей из доменов нельзя удалить вручную. Чтобы удалить такого пользователя, удалите его в домене. Если он нужен в домене, но не нужен в СУО, можете настроить LDAP-фильтр так, чтобы пользователь исключался из поиска.

  • У пользователей из доменов нельзя редактировать то, что управляется из домена или задается правилами импорта: ФИО, логин, пароль, привязку к серверу, роли, блокировку (включен/отключен).

  • При удалении домена из СУО все его пользователи также удаляются.

  • Если пользователь загружается из домена по нескольким правилам импорта, то он будет иметь роли от каждого правила импорта (т.е. роли объединяются).

  • Если пользователь загружается из домена по правилам импорта для нескольких серверов, происходит ошибка, и такой пользователь не добавляется в СУО, потому как СУО не поддерживает привязку пользователей к нескольким серверам. Ошибка импорта пользователя отобразится в логах, а также в панели администрирования, в статусе импорта из домена.

  • По умолчанию для соединения с LDAP-сервером используется 389 порт.