Синхронизация с сервером каталогов (Active Directory)

Механизм синхронизации с сервером каталогов (Active Directory)

Для подключения к серверу каталогов (например, Active Directory (AD)) используется заданное имя или IP адрес сервера. При необходимости возможно указать номер порта через двоеточие в строке адреса сервера. Comindware Business Application Platform (далее  «Система») задаёт авторизованные (IANA) порты для безопасного и небезопасного соединения. Если сервер поддерживает безопасную передачу данных, укажите LDAPS (LDAP с шифрованием по SSL или TLS) порт 636 для установления данного соединения, в противном случае сервером будет выбран LDAP порт 389. Так же необходимо указать базовое имя (DN) – запись в директории, из которой будут выполняться поисковые запросы. Базовое DN LDAP похоже на путь в файловой системе, но указывается в следующем порядке: первым – относительное отличительное имя (RDN) и далее поднимается по дереву слева направо. Например, базовое имя (DN) может выглядеть следующим образом: «CN=Иван Иванов, OU=Users, DC=example, DC=com». Базовое имя ограничивает доступ к системе Active Directory.

Предусмотрены следующие режимы синхронизации:

• принудительный — режим, при котором краткосрочные соединения создаются пользователем при нажатии кнопок «Проверить соединение», «Синхронизировать», «Получить перечень групп из AD»;
• событийный — режим, при котором фоновое соединение создаётся один раз при нажатии кнопки «Сохранить» и остаётся открытым до следующего изменения настроек. Любое изменение группы на сервере AD (то есть событие) приводит к синхронизации с Системой.
• по расписанию — режим, при котором соединение создаётся каждый раз согласно указанному расписанию.

Все изменения пользователей на сервере AD синхронизируются с Системой только принудительно или по расписанию.

Система хранит данные о версии загружаемого объекта. При создании повторного соединения, система запрашивает данные, проверяет версию каждого объекта, если она изменилась, то данные синхронизируются.

Типы синхронизации:

• синхронизация всех пользователей — в Системе создаются все пользователи, которые состоят в RDN;
• выбор групп для синхронизации — можно выбрать группы, которые состоят в RDN; в Системе создаются группы, подгруппы и аккаунты, состоящие в выбранных группах; в Системе не отображается, что подгруппа состоит в группе.

Определение соответствия данных группы производится следующим образом:

Механизм авторизации через сервер каталогов (Active Directory)

После ввода адреса эл. почты или имени пользователя и пароля на начальной странице Система идентифицирует аккаунт в собственной базе данных. Если аккаунт существует в базе данных Системы и у него указана проверка подлинности по LDAP или по федеративной аутентификации, то Система посылает запрос в Active Directory или Active Directory Federation Services для аутентификации имени пользователя и пароля. В случае успеха создаётся токен сеанса, который при последующих веб-запросах автоматически передаётся в Систему и позволяет ей получить информацию о текущем пользователе для авторизации запроса. В собственной базе данных Система пароль не хранит.

Если в свойствах аккаунта изменить Способ аутентификации на Локальную аутентификацию, то авторизация пользователя будет проходить локально. Администратор может сменить пароль аккаунта непосредственно в Системе, в таком случае при последующей синхронизации с Active Directory пароль не будет перезаписан. Пароль хранится в базе данных Системы.

Настройка подключения к серверу каталогов (Active Directory)

Инструкции по настройке подключения к серверу каталогов см. в следующих статьях:

• Comindware Business Application Platform
  • Сервер каталогов. Настройка подключения 
• Linux
  • Аутентификация через Active Directory. Настройка контроллера домена и экземпляра ПО 
  • Аутентификация через единый вход (SSO). Настройка контроллера домена, экземпляра ПО и компьютера конечного пользователя 
• Windows
  • Настройка единого входа (SSO-аутентификации) в ОС Windows