Как синхронизировать каталог пользователей и компьютеров ldap с домена
Обновлено: 01.07.2024
Данная глава руководства администратора рассказывает о возможности импорта объектов ARTA Synergy из сторонних каталогов посредством Active Directory . В ней детально описано как настроить и эксплуатировать LDAP а рамках ARTA Synergy .
Что такое LDAP
LDAP - это аббревиатура от Lightweight Directory Access Protocol . Как следует из названия, это облегчённый протокол доступа к службам каталогов, предназначенный для доступа к службам каталогов на основе X.500 . LDAP работает поверх TCP/IP или других ориентированных на соединение сетевых протоколов. LDAP стандартизирован в качестве протокола IETF .
Информационная модель LDAP основана на записях ( entry ). Запись - это коллекция атрибутов ( attribute ), обладающая уникальным именем ( Distinguished Name, DN ). DN глобально-уникально для всего каталога и служит для однозначного указания на запись. Каждый атрибут записи имеет свой тип ( type ) и одно или несколько значений ( value ). Обычно типы - это мнемонические строки, в которых отражено назначение атрибута, например cn - для общепринятого имени ( common name ), или mail - для адреса электронной почты. Синтаксис значений зависит от типа атрибута.
Записи каталога LDAP выстраиваются в виде иерархической древовидной структуры. Традиционно, эта структура отражает географическое и/или организационное устройство хранимых данных. В вершине дерева располагаются записи, представляющие собой страны. Под ними располагаются записи, представляющие области стран и организации. Еще ниже располагаются записи, отражающие подразделения организаций, людей, принтеры, документы, или просто всё то, что Вы захотите включить в каталог.
Кроме того, LDAP , посредством специального атрибута objectClass , позволяет контролировать, какие атрибуты обязательны и какие допустимы в той или иной записи. Значения атрибута objectClass определяются правилами схемы ( schema ), которым должны подчиняться записи.
В LDAP определены операции для опроса и обновления каталога. К числу последних относятся операции добавления и удаления записи из каталога, изменения существующей записи и изменения названия записи. Однако, большую часть времени LDAP используется для поиска информации в каталоге. Операции поиска LDAP позволяют производить поиск записей в определённой части каталога по различным критериям, заданным поисковыми фильтрами. У каждой записи, найденной в соответствии с критериями, может быть запрошена информация, содержащаяся в её атрибутах.
LDAP и Arta Synergy
При синхронизации LDAP и Arta Synergy можно выделить некоторые особенности:
Синхронизация LDAP и Arta Synergy осуществима из LDAP каталога в ARTA Synergy , причем за тот период, который указан в конфигурационном файле.
Синхронизация возможна сразу с несколькими каталогами.
Списки синхронизируемых пользователей и групп определяются фильтрами, указанными в конфигурационном файле.
Ключ соответствия (поле, по которому будет определяться связка « Объект каталога LDAP <-> Пользователь Synergy » ) настраиваемый, например, можно использовать для этого ИИН.
Пароли пользователей не синхронизируются, авторизация происходит непосредственно на LDAP каталоге посредством Simple Bind .
Помимо стандартных полей карточки пользователя (ФИО, доступ в систему и т.п.) можно синхронизировать произвольные поля - с добавлением в карточку пользователя на формах.
Установка и настройка Active Directory
Active Directory — LDAP-совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows Server. Позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики или посредством System Center Configuration Manager, устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления Windows Server.
Подробно рассмотрим установку и настройку Active Directory в ОС Windows Server 2012 R2.
Перейдите в Server Manager и нажмите на Add roles and features .
Откроется мастер установки ролей и компонентов.
В шаге Installation Type выберите пункт Role-based of feature-based installation .
В шаге Server Selection выберите пункт сервер, для которого будет установлена роль.
В шаге Server Roles выберите пункт Active Directory Domain Services .
Подтвердите добавление компонентов роли, нажав на кнопку Add Features .
Пропустите шаг Features и подтвердите установку роли Active Directory.
После успешной установки роли мастер установки отобразит окно подтверждения.
После успешной установки необходимо настроить Active Directory. Откройте Server Manager и нажмите на пиктограмму флага. В открывшемся выпадающем списке нажмите на Promote this server to a domain controller .
В открывшемся мастере настройки Active Directory добавьте новый лес. Для этого в шаге Deployment Configuration выберите пункт Add a new forest и укажите название корневого домена.
В шаге Domain Controller Service задайте пароль для режима восстановления служб каталогов.
В шаге Additional Options измените имя домена NetBIOS.
В шаге Paths укажите папки базы данных, файлов журнала и SVSVOL.
В шаге Review Options отобразится список всех настраиваемых опций.
В шаге Prerequisites Check подтвердите настройку выбранных опций.
После успешной настройки компьютер будет перезагружен автоматически.
Создание пользователей в Active Directory
После успешных установки и настройки Active Directory добавим пользователей для доступа к ARTA Synergy.
Откройте Active Directory Users and Computers .
Выделите ноду Вашего домена (в примере synergy.tm ) и нажмите кнопку добавления подразделения.
Введите название будущего подразделения.
Выбрав новое созданное подразделение, нажмите на кнопку создания пользователей.
Укажите имя, фамилию и логин будущего пользователя.
Задайте пароль и включите флаг, отвечающий за устаревание пароля (если включен - пароль никогда не устаревает).
Подтвердите создание нового пользователя.
Повторив пп. 4-7 создайте требуемых пользователей.
Теперь необходимо выдать этим пользователям доступ в систему ARTA Synergy. Для этого нажмите на кнопку создания новых групп.
Укажите название будущей группы. В данную группу будет входить Администратор Active Directory.
Нажмите на кнопку Add .
Введите имя пользователя и нажмите на кнопку Check Names .
Мастер автоматически дополнит значение учетной записи соответствующего пользователя.
Создайте еще одну группу для доступа всех пользователей к системе ARTA Synergy.
Повторив пп. 11-13 добавьте всех пользователей в группу доступа.
Работа с LDAP-каталогами
Для работы с LDAP -каталогами возможно использовать любой клиент с поддержкой LDAP -протокола. Одним их таких клиентов является JXplorer .
JXplorer - кроссплатформенный LDAP браузер и редактор с поддержкой безопасности (в том числе SSL , SASL и GSSAPI ), перевода на многие языки, онлайн-помощью, коммерческой поддержкой, пользовательскими формами и многими другими возможностями.
Соответствует общим стандартам клиентов LDAP , которые можно использовать для поиска, чтения и редактирования любого стандартного каталога LDAP или любой службы каталогов с LDAP или интерфейсом DSML .
Рассмотрим его функциональность на примере поиска пользователя в одном из каталогов.
Подключимся к серверу с данными Администратора:
Рисунок 6.17. Рисунок 1
В открывшейся закладке Explore отобразилось дерево со всеми объектами каталога, доступные авторизованному Администратору. При выборе объекта из навигатора в основной рабочей области отобразились все атрибуты данного объекта, а также их значения:
Рисунок 6.18. Рисунок 2
Примечание
Полный список возможных атрибутов представлен здесь
Вызовем окно поиска по каталогу - Search -> Search Dialog . В открывшемся диалоге укажем базовый узел поиска, от которого он будет осуществляться, и сам фильтр:
Рисунок 6.19. Рисунок 3
Клиент автоматически перешел на вкладку Results с найденными результатами запроса:
Модуль интеграции с AD может импортировать пользователей из одного или нескольких источников LDAP. Для каждого источника данных используются свои настройки и параметры - так называемые политики синхронизации.
Создание политики синхронизации¶
Чтобы задать политику синхронизации, нужно выбрать пункт меню Управление -> Политики синхронизации LDAP и нажать кнопку Добавить.
Общие настройки¶
Имя, под которым политика импорта будет отображена в общем списке. Если параметр задан, синхронизация будет автоматически выполняться раз в сутки, обычно в 03:00. Если галочка включена, пользователи, присутствующие в БД IPI.Manager, но отсутствующие в дереве LDAP, будут удалены.Восстанавливать удалённых пользователей:
Удалённые пользователи будут восстановлены, если в дереве LDAP обнаружится пользователь с таким же уникальным ID.Параметры запроса LDAP¶
Имя сервера LDAP, с которым будет выполняться синхронизация. В случае ActiveDirectory нужно ввести адрес контроллера домена.Имя пользователя и пароль:
Поддерево LDAP, в котором будет выполнен поиск. Например, DC=ipi,DC=local .Проверить правильность введённых параметров можно, нажав кнопку Тестовый поиск .
Соответствие полей¶
Таблица соответствия свойств LDAP полям базы данных IPI.Manager.
Поле, содержащее уникальное значение для всех пользователей в домене AD и в базе IPI.Manager. Именно оно будет использоватсья для сопоставления пользователей в дереве LDAP и в базе IPI.Manager, т. к. логин в некоторых случаях может изменяться.
Значение по умолчанию для ActiveDirectory — objectGUID .
Предупреждение
Если изменить этот параметр после того, как были импортирваны пользователи, IPI.Manager не сможет правильно сопоставить импортированных пользователей и пользователей домена, и это приведёт к ошибкам синхронизации. Та же проблема возникнет, если в LDAP изменится значение этого поля для уже импортированного пользователя. Будьте острожны.
Поле LDAP, из которого IPI.Manager будет брать имя и фамилию пользователя.
Значение по умолчанию — name .
Поле, содержащее почтовый адрес. Можно оставить пустым. Здесь можно выбрать поля LDAP, значения которых будут сохраняться в дополнительных полях пользователей.Группы¶
Этот параметр определяет, будут ли импортированные пользователи внутренними или внешними. Дополнительные группы, в которые будут добавлены пользователи.Уведомления¶
Список пользователей, которым отсылаются почтовые уведомления о синхронизации.
Запуск синхронизации с помощью утилиты ipi-admin ¶
Помимо веб-интерфейса, есть возможность выполнять синхронизацию из командной строки с помощью команды ipi-admin ldap-sync . По умолчанию эта команда обрабатывает все политики синхронизации, у которых включен параметр Автосинхронизация . Можно также явно указать ID политики синхрозинации:
Команда ipi-admin ldap-sync имеет также параметр --force-overwrite , который позволяет перезаписывать существующих пользователей в случае совпадения логинов. Используйте этот режим с осторожностью, предварительно убедившись, что он делает именно то, что вам нужно.
Алгоритм синхронизации пользователей¶
При выполнении синхронизации IPI.Manager обращается к серверу LDAP и получает от него набор записей в соответствии с выбранными настройками. Каждая запись соответствует определённому пользователю из домена AD. Для каждой записи выполняется одно из описанных ниже действий. Ключевое значение для процесса синхронизации имеет поле Уникальный ID (UUID), которое указаываетя в настройках синхронизации в разделе Соответствие полей . По умолчанию в качестве уникального ID используется поле objectGUID , которое уникально для всех пользователей в домене AD. При добавлении пользователя в базу данных IPI.Manager это значение сохраняется в поле uuid в таблице user_user . Также сохраняется ссылка на политику синхронизации в поле ldap_sync_policy_id .
Создание пользователей¶
Если пользователя с данным UUID нет в базе IPI.Manager, он будет создан. Если пользователь с таким логином уже существует, будет выдана ошибка, и пользователь не будет создан. Если вы хотите, чтобы существующий пользователь был перезаписан, вы можете вручную запустить команду ipi-admin ldap-sync --force-overwrite .
Созданный пользователь становится членом группы Внутренние пользователи либо Внешние пользователи в зависимости от настроек синхронизации, а также добавляется в группы, указанные в поле Дополнительные группы .
Пароли пользователей из AD не импортируются, поэтому обычный вход в IPI.Manager через страницу /auth/login для импортированных пользователей невозможен. Для того, чтобы импортированные пользователи могли работать с программой, нужно настроить доменную аутентификацию — см. Настройка аутентификации с помощью Kerberos.
Обновление пользователей¶
Если пользователь с данным UUID уже есть в базе IPI.Manager, он будет обновлён. При обновлении у пользователя может измениться имя, логин, адрес email и значения дополнительных полей.
Членство в группах при обновлении пользователя не затрагивается.
Если при изменении логина окажется, чтопользователь с таким логином уже существует, будет выдана ошибка, и пользователь не будет переименован. Вы можете разрешить конфликт логинов, переименовав пользователя, либо запустить команду ipi-admin ldap-sync --force-overwrite , в этом случае существующий пользователь будет удалён.
Протокол LDAP — протокол службы каталогов, который работает на стеке TCP/IP. Он предоставляет механизм для подключения, поиска и редактирования интернет-каталогов. Служба каталогов LDAP основана на модели "клиент-сервер" и предназначена для обеспечения доступа к существующему каталогу. Многие компании зависят от локальных серверов LDAP, храня на них данные о пользователях и группах для критически важных бизнес-приложений.
Azure Active Directory (Azure AD) может заменить синхронизацию LDAP с Azure AD Connect. Служба синхронизации Azure AD Connect выполняет все операции, связанные с синхронизацией данных удостоверений между локальными средами и Azure AD.
Используется, если
Необходимо синхронизировать данные удостоверений между локальными каталогами LDAP версии 3 и Azure AD.
Компоненты системы
Пользователь: обращается к приложению, использующему каталог LDAP версии 3 для сортировки пользователей и паролей.
Веб-браузер: компонент, с которым взаимодействует пользователь, для получения доступа к внешнему URL-адресу приложения
Веб-приложение: приложение с зависимостями от каталогов LDAP версии 3.
Azure AD: синхронизирует сведения об удостоверении (пользователи, группы) из локальных каталогов LDAP организации с помощью Azure AD Connect.
Azure AD Connect: инструмент для подключения локальной инфраструктуры удостоверений к Microsoft Azure AD. Мастер и интерактивные возможности помогут развернуть и настроить предварительные требования и компоненты, необходимые для подключения.
Универсальный соединитель: универсальный соединитель LDAP позволяет интегрировать синхронизацию Azure AD Connect с сервером LDAP версии 3. Он располагается в Azure AD Connect.
Active Directory. Active Directory — это служба каталогов, которая входит в большинство операционных систем Windows Server. Серверы, на которых работают службы Active Directory, называются контроллерами домена, они проходят проверку подлинности и авторизацию всех пользователей и компьютеров в домене Windows.
Сервер LDAP версии 3: каталог, совместимый с протоколом LDAP, в котором хранятся корпоративные пользователи и пароли, используемые для проверки подлинности служб каталогов.
Реализация синхронизации LDAP с Azure AD
Для развертывания соединителя LDAP требуется дополнительная настройка, и этот соединитель предоставляется с ограниченной поддержкой. Для настройки этого соединителя требуется знакомство с Microsoft Identity Manager и сведения о конкретном каталоге LDAP.
Клиентам, которым требуется развернуть эту конфигурацию в рабочей среде, рекомендуется обратиться за помощью, рекомендациями и поддержкой к партнеру, например к Службам консультации Майкрософт.
Синхронизация с каталогом LDAP позволяет автоматизировать управление учетными записями пользователей в Creatio. Пользователи, синхронизированные с LDAP, могут использовать свое доменное имя пользователя и пароль для входа в систему.
В системе поддерживаются следующие реализации LDAP: Active Directory и OpenLDAP.
Процедуру синхронизации можно условно разделить на три этапа:
Настройка интеграции с LDAP. Выполняется однократно либо при изменении структуры синхронизируемого каталога LDAP. Настройка необходима, чтобы была доступна остальная функциональность по синхронизации с LDAP. Также необходимо настроить фильтрацию пользователей Active Directory для определения параметров синхронизации. Подробнее: Настроить фильтры Active Directory.
Синхронизация пользователей и элементов организационной структуры Creatio со связанными элементами каталога LDAP. Действие необходимо для обновления данных в соответствии с изменениями, произошедшими в каталоге LDAP с момента предыдущей синхронизации. Выполняется регулярно: автоматически либо по действию Синхронизировать с LDAP раздела Организационные роли .
На заметку. Каждая организационная роль является элементом организационной структуры и представляет собой организацию или подразделение.
После синхронизации пользователи смогут авторизоваться с помощью LDAP. Подробнее: Настроить аутентификацию c LDAP.
Настроить интеграцию с LDAP
Настройка интеграции с LDAP предусматривает настройку связи элементов каталога LDAP с пользователями и ролями Creatio. Для выполнения настройки необходимо обладать базовыми знаниями структуры каталога LDAP, с которым выполняется интеграция.
В статье приведены примеры настройки LDAP для Active Directory и OpenLDAP.
Важно. В зависимости от особенностей структуры каталогов LDAP, атрибуты элементов LDAP в вашем каталоге могут отличаться от атрибутов, которые приведены в качестве примеров.
- Откройте дизайнер системы, например, по кнопке .
- В группе “Импорт и интеграции” перейдите по ссылке “Настройка интеграции с LDAP”. Откроется страница настроек. Выделенные поля нужно обязательно настроить. Для остальных можно использовать значения по умолчанию.
1. Настроить подключение к серверу
Укажите общие настройки подключения к серверу:
Имя сервера — имя или IP-адрес сервера LDAP.
Тип аутентификации — выбор протокола соединения с LDAP-сервером. Тип аутентификации определяется используемым сервером LDAP, а также требованиями к защищенности аутентификации. Например, выберите тип “Ntlm” для аутентификации “NT LanManager”, поддерживаемой Windows.
На заметку. Если вы выберете тип аутентификации “Kerberos”, то в полях Имя сервера и Центр распределения ключей необходимо указать доменное имя (URL-адрес), но не IP-адрес. Сервер приложений Creatio должен быть включен в домен, в котором находится LDAP-сервер и центр распределения ключей.
Логин администратора , Пароль — учетные данные администратора. Если сервер Creatio установлен на Linux, то используйте формат “domain\login“.
На заметку. Убедитесь, что у администратора есть права на чтение информации о пользователях и группах.
Интервал синхронизации (часов) — интервал, по которому будет происходить автоматическая синхронизация пользователей с LDAP. Подробнее: Запустить синхронизацию с LDAP.
Синхронизировать только группы — установка признака автоматически деактивирует в Creatio пользователей, вручную исключенных из синхронизируемых групп в каталоге LDAP и активирует в Creatio пользователей, добавленных вручную в синхронизируемые с приложением LDAP группы.
Раздавать лицензии — установка признака обеспечивает автоматическую выдачу лицензий при синхронизации пользователей по LDAP.
Использовать SSL — установка признака активирует синхронизацию с использованием сертификата SSL. При установке признака укажите в поле Имя Сервера значение в формате "сервер:порт".
Значение порта по умолчанию для LDAPS-соединения — "636". Синхронизация по LDAPS поддерживается только в приложении на Windows.
Значение порта по умолчанию для LDAP-соединения — "389".
На заметку. . Если приложение развернуто в облаке (cloud), то при использовании самоподписанного сертификата необходимо воспользоваться услугой выделенного блока и предоставить сертификат службе технической поддержки Creatio для указания его доверенным.
2. Настроить синхронизацию пользователей
Для настройки синхронизации пользователей укажите атрибуты элементов каталога LDAP, из которых будут импортированы данные о пользователях:
Укажите обязательные атрибуты:
Имя домена — уникальное имя элемента организационной структуры LDAP, в который входят синхронизируемые пользователи. При этом для синхронизации будут доступны только те пользователи, которые входят в указанный элемент либо в подчиненные ему элементы, вне зависимости от уровня вложенности. Например, если вы укажете корневой элемент структуры каталога, то для синхронизации будут доступны все пользователи в каталоге.
ФИО пользователя — атрибут LDAP, который содержит имя и фамилию пользователя LDAP. Значение атрибута используется для автоматического заполнения поля ФИО страницы контакта при импорте пользователей. Например, ФИО пользователя может содержать атрибут “name” или “cn” (Common Name).
Имя пользователя — атрибут, который содержит имя пользователя LDAP, используемое для входа в систему. Пользователь, учетная запись которого синхронизирована с LDAP, будет входить в систему под этим именем. Например, “sAMAccountName”.
Уникальный идентификатор пользователя — атрибут, который может быть использован в качестве уникального идентификатора пользователя. Значение указанного атрибута должно быть уникальным для каждого пользователя.
Атрибут даты изменения — атрибут, в который автоматически записывается дата и время последнего изменения элемента LDAP.
Важно. Отсутствие хотя бы одного из вышеперечисленных атрибутов синхронизируемого пользователя приведет к ошибке интеграции с LDAP.
При необходимости укажите дополнительные атрибуты, из которых будет взята информация для автоматического заполнения страницы контакта пользователя:
Имя организации — атрибут с названием организации, в которой работает пользователь. Используется для заполнения поля Контрагент страницы контакта. При синхронизации в поле указывается контрагент, название которого полностью соответствует значению указанного атрибута.
Должность — атрибут, который содержит должность пользователя. Используется для заполнения поля Должность страницы контакта. При синхронизации будет выбрана из справочника должность, название которой полностью соответствует значению указанного атрибута.
На заметку. Организации и должности в системе не создаются автоматически в результате синхронизации, их необходимо создавать вручную.Номер телефона — атрибут, который содержит номер рабочего телефона пользователя. Используется для заполнения поля Рабочий телефон страницы контакта.
E-mail — атрибут, который содержит адрес электронной почты пользователя. Используется для заполнения поля Email страницы контакта.
Важно. Если поля не заполнены, то соответствующие поля страницы контакта не будут автоматически заполняться при импорте пользователей из LDAP.
3. Настроить синхронизацию групп пользователей LDAP с ролями Creatio
Настройка синхронизации групп обеспечивает возможность привязки групп LDAP к элементам организационной структуры Creatio. Для настройки укажите атрибуты элементов каталога LDAP, из которых будут импортированы данные о группах:
Название группы LDAP — атрибут, который содержит название группы пользователей в LDAP. Например, здесь можно указать атрибут “cn” (“Common Name”).
Идентификатор группы — атрибут, который может быть использован в качестве уникального идентификатора группы. Значение указанного атрибута должно быть уникальным для каждой группы. Например, может быть использован атрибут “objectSid”.
Имя домена групп — уникальное имя элемента организационной структуры LDAP, в который входят синхронизируемые группы. Для синхронизации будут доступны только те группы, которые входят в указанный элемент либо в подчиненные ему элементы независимо от уровня вложенности. Например, если вы укажете корневой элемент структуры каталога, то для синхронизации будут доступны все группы в каталоге.
На заметку. В процессе синхронизации система проверяет пользователей, которые входят в участвующие в синхронизации группы. Если дата, которая хранится в атрибуте даты изменения пользователя LDAP, превышает дату последней синхронизации, то происходит актуализация вхождения этих пользователей в элементы организационной структуры Creatio.
Важно. Отсутствие хотя бы одного из вышеперечисленных атрибутов синхронизируемого пользователя приведет к ошибке интеграции с LDAP.
4. Настроить условия фильтрации
Настройка условий фильтрации позволяет определить, по каким критериям элементы LDAP будут включаться в список синхронизируемых групп и пользователей. Укажите общие настройки подключения к серверу для Active Directory:
Список пользователей — фильтр, по которому из общего списка элементов каталога LDAP будут выбраны только те, которые будут синхронизированы с пользователями Creatio. Фильтр должен выбирать только активные элементы.
Список групп — фильтр, по которому будут выбраны только элементы LDAP для синхронизации с элементами организационной структуры Creatio (организационными ролями). Фильтр должен выбирать только активные элементы.
На заметку. Каждое логическое выражение необходимо обрамлять скобками (), чтобы фильтр работал корректно и на ОС Linux, и на ОС Windows. Подробнее: Настроить фильтры Active Directory.
Привязать элементы LDAP к пользователям и ролям Creatio
В Creatio существует возможность синхронизации организационных и функциональных ролей пользователей системы с группами Active Directory.
Вы можете перенести в приложение организационную структуру компании и настройки всех ролей из Active Directory после выполнения синхронизации с LDAP.
Настроить синхронизацию организационных ролей Creatio и групп Active Directory
Перейдите в дизайнер системы, например, по кнопке .
В блоке “Пользователи и администрирование” перейдите по ссылке “Организационные роли”.
На открывшейся странице выберите из дерева групп роль, для которой вы хотите настроить синхронизацию (Рис. 3).
Если нужной роли в дереве групп нет, то нажмите кнопку Добавить и выберите “Организацию” или “Подразделение” в зависимости от того, какую роль необходимо добавить. На открывшейся странице укажите название группы.
Рис. 3 — Выбор организационной роли для настройки синхронизации
На вкладке Пользователи установите признак Синхронизировать с LDAP . В поле Элемент LDAP выберите группу Active Directory, соответствующую данной организационной роли в Creatio (Рис. 4).
Рис. 4 — Выбор группы Active Directory для настройки синхронизации
Если необходимо, то добавьте новых пользователей на детали Пользователи , нажав кнопку .
В результате при следующей синхронизации будет синхронизироваться и выбранная организационная роль.
Настроить синхронизацию функциональных ролей Creatio и групп Active Directory
Перейдите в дизайнер системы, например, по кнопке .
В блоке “Пользователи и администрирование” перейдите по ссылке “Функциональные роли”.
Дальнейшие настройки аналогичны пунктам 3–5 настроек синхронизации организационных ролей Creatio и групп Active Directory, описанным выше.
Связать учетные записи пользователей Creatio и пользователей LDAP
Перейдите в дизайнер системы, например, по кнопке .
В блоке “Пользователи и администрирование” перейдите по ссылке “Организационные роли” либо “Функциональные роли” в зависимости от того, для пользователей каких групп вы хотите настроить синхронизацию.
На открывшейся странице выберите роль, в которую входит нужный пользователь.
Перейдите на вкладку Пользователи , выберите строку, содержащую данные нужного пользователя, и с помощью двойного клика откройте его страницу.
На вкладке Основная информация выберите опцию Аутентификация средствами LDAP .
В поле Имя пользователя выберите необходимого пользователя LDAP.
Примените настройки по кнопке Сохранить (Рис. 5).
В результате выбранный пользователь Creatio будет связан с пользователем LDAP и сможет входить в систему, используя имя пользователя и пароль, которые хранятся в каталоге LDAP (например, имя и пароль доменного пользователя).
В процессе синхронизации изменения, которые произошли с пользователями и группами LDAP, переносятся на связанные с ними учетные записи пользователей и элементы организационной структуры Creatio.
Запустить синхронизацию с LDAP
Настроить автоматическую синхронизацию
Откройте дизайнер системы, например, по кнопке в правом верхнем углу приложения.
В группе “Импорт и интеграции” кликните по ссылке “Настройка интеграции с LDAP”.
На открывшейся странице заполните поле Интервал синхронизации (часов) . Автоматическая синхронизация пользователей с LDAP будет выполняться с указанным интервалом.
На заметку. Заполнение остальных полей на странице Настройка интеграции с LDAP описано в блоке Настроить интеграцию с LDAP.
Рис. 6 — Сохранение заполненной страницы интеграции с LDAP
После сохранения страницы интеграции с LDAP автоматически запустится синхронизация. При этом будет запущен процесс “Запустить импорт элементов с LDAP” (Рис. 7).
Запустить синхронизацию вручную
Откройте дизайнер системы, например, по кнопке в правом верхнем углу приложения.
В группе “Пользователи и администрирование” кликните по ссылке “Организационные роли”.
В меню действий раздела выберите действие Синхронизировать с LDAP (Рис. 8). При этом запустится процесс “Запустить синхронизацию с LDAP”, который в свою очередь вызывает процесс “Синхронизировать данные о пользователях с LDAP” (Рис. 9).
Результаты синхронизации
Если пользователь LDAP более не входит в список активных пользователей, то на странице синхронизируемого с ним пользователя Creatio будет снят признак Активен , и он не сможет залогиниться.
Если ранее неактивный пользователь LDAP был активирован, то на странице синхронизируемого с ним пользователя Creatio будет установлен признак Активен .
Если пользователь LDAP либо группа пользователей LDAP были переименованы, то будут переименованы и синхронизированные с ними пользователь/роль Creatio.
В случае установки признака в поле Синхронизировать только группы при исключении пользователя LDAP из группы LDAP, связанной с элементом организационной структуры Creatio, синхронизируемый с ним пользователь Creatio будет деактивирован и исключен из соответствующего элемента организационной структуры Creatio.
В случае установки признака в поле Синхронизировать только группы при добавлении пользователя в группу LDAP, связанную с элементом организационной структуры Creatio, связанный с ним пользователь Creatio будет добавлен в соответствующий элемент структуры и активирован.
Если в синхронизируемый элемент LDAP были включены новые пользователи, ранее не синхронизированные с Creatio, то пользователи будут импортированы в Creatio.
Если в Creatio есть пользователи (не импортированные из LDAP) с именами, совпадающими с именами пользователей в LDAP, то их синхронизация не выполняется.
Если синхронизированный пользователь LDAP был удален из группы, связанной с элементом организационной структуры Creatio, то соответствующий пользователь останется активным в Creatio, но не сможет залогиниться.
Всем синхронизированным пользователям будут предоставлены лицензии, если установлен соответствующий признак. Подробнее: Настроить подключение к серверу.
Модуль предназначен для синхронизации с Active Directory / LDAP карточек Сотрудников, Подразделений и Статических ролей.
Модуль не входит в типовую поставку и приобретается отдельно.
Начиная с версии 3.3 синхронизация совместима с протоколом LDAPv3.
Посмотреть информацию о доступных модулях, включённых в лицензию можно в приложении Tessa Admin, раздел “Информация”:
Данный модуль может выполнять:
периодическую синхронизацию данных в указанные моменты времени;
синхронизацию данных по запросу пользователя (вручную).
Карточки Сотрудников:
Маппинг полей (тип объекта person / user):
Фамилия, имя и отчество берутся из указанных выше параметров или на основании параметров cn , name , displayName (если параметры из таблицы пусты).
Карточки Подразделений:
Сотрудники, входящие в подразделение.
Маппинг полей (тип объекта organizationalUnit):
Карточки Статических ролей:
Сотрудники, входящие в статическую роль.
Маппинг полей (тип объекта group / ipausergroup / posixgroup):
Автоматическая синхронизация¶
Для автоматической синхронизации необходимо включить основной плагин AdSyncPlugin и плагин периодической синхронизации AdSyncRecurrentPlugin, выставив в соответствующих конфигурационных xml файлах disabled="false" . Все конфигурационные файлы плагинов сервиса Chronos хранятся в папке Chronos\Plugins\Tessa\configuration . Более подробно про плагины см. в разделе Настройка плагинов Chronos.
Затем необходимо настроить конфигурационный файл Chronos\app.json , добавив в раздел "Settings" строки, указанные ниже.
Далее необходимо открыть карточку “Синхронизация AD / LDAP” (правое меню в Tessa Client - “Настройки→Синхронизация AD / LDAP”) и заполнить eё:
В поле “Группа синхронизации сотрудников” указывается DN группы, из которой будут синхронизироваться сотрудники. В случае, если поле не заполнено, будут синхронизированы все сотрудники из корневых элементов;
Флаг “Не переименовывать статические роли” позволяет не изменять имя роли в соответствии с именем в LDAP для созданных в системе статических ролей;
В таблице “Корневые элементы синхронизации (OU)” указываются OU, которые вместе с иерархией дочерних переносятся в карточки Подразделений, а элементы – в карточки Сотрудников/Статических ролей. Задаются в формате DN. Можно выбрать тип объекта для синхронизации;
Блок “Периодическая синхронизация” отвечает за периодическую синхронизацию и позволяет отключить синхронизацию конкретных видов карточек;
Блок “Ручная синхронизация” позволяет запустить ручную синхронизацию конкретных типов объектов.
Перед синхронизацией каждого сотрудника система также проверяет, входит ли данный сотрудник в группу, указанную в поле “Группа синхронизации сотрудников”. Если сотрудник не входит в эту группу, то он игнорируется и не будет синхронизирован. Если поле “Группа синхронизации сотрудников” не заполнено, то сотрудник будет синхронизирован.
Если необходимо синхронизировать только сотрудников, то флаг “Синхронизировать подразделения” в таблице “Корневые элементы синхронизации (OU)” должен быть отмечен. В противном случае сотрудники обновлены не будут. Объекты для синхронизации выбираются в разделе периодической синхронизации: если необходимо синхронизировать только сотрудников, то остальные флаги в этом разделе необходимо снять.
Если ни один корневой элемент не задать, синхронизация Сотрудников, Подразделений и Статических ролей работать не будет.
Автоматическая синхронизация будет выполняться сервисом Chronos с периодом, указанным в плагине AdSyncRecurrentPlugin. По умолчанию плагин запускается раз в сутки в полночь.
Ручная синхронизация¶
Синхронизацию можно выполнять по требованию: синхронизировать отдельные карточки Сотрудников, Подразделений, Статических ролей или запустить полную синхронизацию.
Предварительно необходимо выполнить все настройки, описанные в разделе Автоматическая синхронизация (кроме включения плагина AdSyncRecurrentPlugin).
Запустить полную синхронизацию Сотрудников, Подразделений или Статических ролей можно открыв карточку настроек “Синхронизация AD / LDAP” и нажав на соответствующие кнопки в блоке “Ручная синхронизация”:
Синхронизация выполняется асинхронно. После запуска синхронизации будет создана операция, по которой можно отслеживать прогресс синхронизации. Список всех активных операций можно посмотреть на рабочем месте Администратор, представление “Прочее → Активные операции”.
Также, при необходимости, можно выполнить синхронизацию отдельного объекта, т.е. конкретной карточки Сотрудника, Подразделения или Статической роли. Открыв нужную карточку необходимо раскрыть блок “Синхронизация с Active Directory / LDAP”, нажав левой кнопкой мыши на названии блока. По умолчанию во всех карточках он свёрнут.
В раскрывшемся блоке есть следующие поля:
Дата последней синхронизации - дата и время последней синхронизации текущей карточки;
Дата последнего изменения - дата и время последнего изменения текущего объекта в Active Directory / LDAP;
Уникальное имя (DN) - уникальное имя объекта в Active Directory / LDAP;
Active Directory / LDAP ID - идентификатор объекта в Active Directory / LDAP;
Синхронизация отключена - флаг для отключения синхронизации текущей карточки;
Синхронизируется независимо от корневых элементов - флаг для синхронизации, даже если объект не принадлежит к дереву корневых элементов;
Кнопка “Запустить ручную синхронизацию” - кнопка для запуска ручной синхронизации текущей карточки.
В случае, если необходимо связать уже созданные в Tessa Подразделения, Сотрудников или Статические роли, то можно заполнить поле “Уникальное имя (DN)” и выполнить ручную синхронизацию. Синхронизация найдет запись в домене по указанному DN и свяжет записи между собой. Связывание выполняется по атрибуту objectGuid.
Сотрудники, добавленные в Подразделение или Статическую роль вручную (у Сотрудника не заполнено поле AdSyncID), а так же Сотрудники с флагом “Синхронизация отключена” не удаляются из состава роли/подразделения при синхронизации Подразделений.
Алгоритм работы синхронизации¶
После того, как операция синхронизации была создана вручную или периодическим плагином Chronos (AdSyncRecurrentPlugin), её подхватывает плагин AdSyncPlugin, который обрабатывает операции раз в 30 секунд (по умолчанию, настраивается в configuration/AdSyncPlugin.xml).
В первую очередь проверяется возможность перерасчёта ролей (раздел Активные операции). Если плагин не смог взять эксклюзивную блокировку (потому что длительное время выполнялась другая операция с ролями, такая как пересчёт замещений), то в лог пишется предупреждение, работа плагина при этом завершается (до следующего запуска).
После взятия блокировки из операции извлекается тип операции: синхронизация отдельной карточки или всех объектов.
Если выполняется синхронизация отдельной карточки (например, по кнопке в карточке сотрудника):
Для заданного типа проверяются все объекты с заполненным DN, но пустым AdSyncID, и выполняется поиск соответствий для объектов в системе и в Active Directory / LDAP.
После этого по AdSyncID синхронизируемой карточки запрашивается объект из Active Directory / LDAP.
После получения объекта выполняется синхронизация значений его свойств.
Если выполняется синхронизация всех объектов:
Проверяются все объекты с заполненным DN, но пустым AdSyncID, и выполняется поиск соответствий для объектов в системе и в Active Directory / LDAP.
Система получает список ID корней, для которых включена синхронизация. После этого выполняется рекурсивный обход всех дочерних корней и проверяется, принадлежат ли они к списку корней, для которых включена синхронизация.
Если принадлежат, то выполняется синхронизация выбранных в настройках объектов.
После того, как рекурсивно будет пройден весь лес Active Directory / LDAP, проверяются объекты в системе, у которых выставлен флаг “Синхронизируется независимо от корневых элементов”. Такие объекты синхронизируются как отдельные карточки (см выше).
После завершения синхронизации, если не было никаких ошибок, происходит скрытие элементов, которые не были обновлены системой, - такие объекты считаются удалёнными в домене, и поэтому для них устанавливается флаг “Скрывать при выборе”, фактического удаления не происходит.
Читайте также: