Настройка синхронизации пользователей с Active Directory
Настройки синхронизации пользователей с Active Directory в веб-интерфейсе представлены в разделе: Настройки/Администрирование/Синхронизация пользователей.
Раздел по умолчанию не содержит настроенных синхронизаций.
При наличии настроенных синхронизаций они отображаются во вкладке Синхронизации в алфавитном порядке: сначала A-Z, потом А-Я. Пользователь может сортировать значения по названию синхронизации.
Если источников синхронизации несколько, возможно задать их приоритетность. Для этого во вкладке Приоритизация необходимо добавить условия в формате регулярного выражения. Порядок регулируется перетаскиванием условий: чем выражение выше, тем приоритетнее его выполнение.
Вы также можете установить приоритет по желаемому атрибуту. Выберите его из списка или введите вручную в соответствующем поле. Это поле необязательно для заполнения, не участвует в синхронизации полей пользователей и не отображается в их профилях.
Вкладка «Основное»
Во вкладке Основное можно изменить название синхронизации.
Вкладка «Синхронизация»
На странице представлены следующие параметры:
- автоматическая синхронизация (включение/отключение периодической синхронизации данных из AD. Периодичность — 15 минут)
- синхронизировать по полю
- синхронизировать по атрибуту в AD
- убрать доступ при выключении в AD (позволяет автоматически выключать пользователя в системе)
- убрать доступ при отсутствии источника (отключает пользователя из системы, если учетная запись удалена из AD)
- дать доступ при включении в AD (позволяет автоматически включать пользователя при включении его в AD. Данная опция работает только при включенной опции «Убрать доступ при выключении в AD»)
- обезличивать при удалении в AD (включение данной опции позволяет обезличить данные пользователей, учетные записи которых были удалены из Active Directory)
- время синхронизации (скрыто, если синхронизация данных из AD не осуществлялась)
- синхронизировать сейчас (отправка запроса на моментальную синхронизацию данных)
Время автоматической синхронизации с AD можно изменить через GraphQL-запрос:
mutation {
app_config {
active_directory {
update_config(sync_period: 65000) {
sync_period
}
}
}
}
sync_period
— период синхронизации, указывается в миллисекундах.
Первичное сопоставление атрибута
В профиле синхронизации доступна настройка первичного сопоставления атрибута (поля Синхронизировать по полю и Синхронизировать по атрибуту в AD). Первичное сопоставление атрибутов позволяет решить проблему, когда пользователь может синхронизироваться в систему из других систем.
При первичной синхронизации значение атрибута из AD сопоставляется со значением поля в профиле пользователя. Если значение атрибута из AD совпадает со значением в поле пользователя, то новый пользователь при синхронизации из AD не создается, а синхронизируется в уже созданного.
Например: Пользователь синхронизировался из «Босс-кадровика», где в поле Табельный номер в профиле пользователя указано значение 1001. Функционалом первичной синхронизации сопоставляется значение атрибута из AD со значением поля в профиле пользователя. Если значения совпадают, в данном примере равны 1001, то новый пользователь не создаётся.
Вкладка «Контроллеры домена»
Во вкладке Контроллеры домена добавляются контроллеры домены по нажатию кнопки Добавить.
Слева открывается панель Новый адрес, где отображаются параметры:
- протокол: при выборе LDAPS в интерфейсе появляется пункт Сертификат
- сертификат:
- интеграция системы с AD поддерживает работу с хранилищем сертификатов ОС Windows. При наличии необходимых сертификатов в хранилище компьютера, где установлена система, загрузка файла сертификата на странице настройки не потребуется
- в ином случае загрузите на странице файл сертификата промежуточного или корневого удостоверяющего центра (CA), которым подписаны сертификаты, используемые контроллерами домена для LDAPS
- адрес (домен контроллера или имя домена)
- имя пользователя (логин AD c правами на чтение каталога)
- пароль (если пароль ранее не был задан)
- кнопка Изменить пароль (если пароль ранее уже был задан)
- описание
- кнопка Проверить подключение (выполняется пробное подключение к домену после сохранения изменений)
Нажмите кнопку Добавить (при добавлении нового контроллера) или Сохранить (при редактировании существующего) для подтверждения. Для отмены нажмите кнопку Отменить.
Вкладка «Доменные объекты»
На странице Доменные объекты можно добавить объекты, которые будут синхронизироваться из AD в систему. Они могут содержать в себе несколько отделов или конечных пользователей.
Доменный объект вводится в формате Distinguished Name (пример: OU=UnitName,OU=Users,OU=Root,DC=some,DC=domain,DC=com). В качестве объекта синхронизации могут быть использованы OU. Чтобы использовать Universal Security Group, включите их синхронизацию. Введите GraphQL-запрос:
mutation {
app_config {
active_directory {
update_config(sync_employee_group_membership_enabled: true, sync_nested_group_membership_enabled: true) {
sync_employee_group_member_enabled
sync_nested_group_membership_enabled
}
}
}
}
Запрос синхронизации осуществляется в том случае, если присутствуют синхронизируемые объекты.
Вкладка «Атрибуты»
На странице Атрибуты предустановлен список базовых атрибутов пользователей, которые будут синхронизироваться из AD в систему.
На странице представлены следующие параметры:
- атрибут в AD
- поле в системе
Добавление нового атрибута
Можно добавить и настроить собственные атрибуты, которые будут синхронизироваться в систему. При добавлении нового атрибута необходимо ввести следующие данные:
- атрибут в AD — наименование нового атрибута для синхронизации
- поле в системе
Была ли статья полезна?