Синхронизация с сервером каталогов (Active Directory)
Механизм синхронизации с сервером каталогов (Active Directory)
Для подключения к серверу каталогов (например, Active Directory (AD)) используется заданное имя или IP адрес сервера.
При необходимости возможно указать номер порта через двоеточие в строке адреса сервера. Comindware Platform задаёт авторизованные (IANA) порты для безопасного и небезопасного соединения.
Если сервер поддерживает безопасную передачу данных, укажите LDAPS (LDAP с шифрованием по SSL или TLS) порт 636 для установления данного соединения, в противном случае сервером будет выбран LDAP порт 389.
Так же необходимо указать базовое имя (DN) – запись в директории, из которой будут выполняться поисковые запросы. Базовое DN LDAP похоже на путь в файловой системе, но указывается в следующем порядке: первым – относительное отличительное имя (RDN) и далее поднимается по дереву слева направо. Например, базовое имя (DN) может выглядеть следующим образом: CN=Иван Иванов, OU=Users, DC=example, DC=com. Базовое имя ограничивает доступ к серверу каталогов.
Режимы синхронизации:
- принудительный — режим, при котором краткосрочные соединения создаются пользователем при нажатии кнопок «Проверить соединение», «Синхронизировать», «Получить перечень групп из AD»;
- событийный — режим, при котором фоновое соединение создаётся один раз при нажатии кнопки «Сохранить» и остаётся открытым до следующего изменения настроек. Любое изменение группы на сервере AD (то есть событие) приводит к синхронизации с Системой.
- по расписанию — режим, при котором соединение создаётся каждый раз согласно указанному расписанию.
Все изменения пользователей на сервере AD синхронизируются с Системой только принудительно или по расписанию.
Примечание
- После смены домена Active Directory во время синхронизации обновятся данные аккаунтов, при этом сохранится привязка аккаунтов к ролям в приложении и системным ролям.
- Если на стороне Active Directory у аккаунта сменилось имя пользователя, в Системе будет создан новый аккаунт.
Система хранит данные о версии загружаемого объекта. При создании повторного соединения, система запрашивает данные, проверяет версию каждого объекта, если она изменилась, то данные синхронизируются.
Типы синхронизации:
- синхронизация всех пользователей — в Системе создаются все пользователи, которые состоят в RDN;
- выбор групп для синхронизации — можно выбрать группы, которые состоят в RDN; в Системе создаются группы, подгруппы и аккаунты, состоящие в выбранных группах; в Системе не отображается, что подгруппа состоит в группе.
Сопоставление атрибутов Comindware Platform и Сервера каталогов
Обязательные и уникальные атрибуты аккаунта
Для корректной синхронизации аккаунтов с Comindware Platform для каждого аккаунта на стороне сервера каталогов должны быть заданы значения следующих атрибутов (они не должны быть пустыми и не должны иметь значение Null):
sAMAccountName(Имя пользователя) — должно быть уникальным для каждого аккаунта в Comindware Platform;mail(Адрес эл. почты) — должен быть уникальным для каждого аккаунта в Comindware Platform;userAccountControl(Включён);objectSid(SID);uSNChanged(Версия объекта);distinguishedName(Уникальное имя).
См. также «Обязательные атрибуты и уникальность аккаунтов».
| Comindware Platform | Active Directory |
|---|---|
| Название | Системное имя |
| Имя пользователя | sAMAccountName |
| Включён | userAccountControl |
| Адрес эл. почты | |
| SID | objectSid |
| Версия объекта | uSNChanged |
| Уникальное имя | distinguishedName |
| Ф. И. О. | displayName |
| Имя | givenName |
| Должность | title |
| Отдел | department |
| Офис | physicalDeliveryOfficeName |
| Skype | pager |
| Руководитель | manager |
| Телефон | telephoneNumber |
| Фото профиля | thumbnailPhoto |
| Язык | preferredLanguage |
Механизм авторизации через сервер каталогов (Active Directory)
После ввода адреса эл. почты или имени пользователя и пароля на начальной странице Система идентифицирует аккаунт в собственной базе данных. Если аккаунт существует в базе данных Системы и у него указана проверка подлинности по LDAP или по федеративной аутентификации, то Система посылает запрос в Active Directory или Active Directory Federation Services для аутентификации имени пользователя и пароля. В случае успеха создаётся токен сеанса, который при последующих веб-запросах автоматически передаётся в Систему и позволяет ей получить информацию о текущем пользователе для авторизации запроса. В собственной базе данных Система пароль не хранит.
Если в свойствах аккаунта изменить Способ аутентификации на Локальную аутентификацию, то авторизация пользователя будет проходить локально. Администратор может сменить пароль аккаунта непосредственно в Системе, в таком случае при последующей синхронизации с Active Directory пароль не будет перезаписан. Пароль хранится в базе данных Системы.
Настройка подключения к серверу каталогов (Active Directory)
Инструкции по настройке подключения к серверу каталогов см. в следующих статьях:
Эта статья была полезна 2 чел.
