Active Directory: Визуализация географического распределения пользователей

В этом документе показано, как обеспечить аналитикам и руководителям компании наглядное представление географического распределения сотрудников, синхронизированных из Active Directory, с возможностью детализации по странам, филиалам и статусу активности — в реальном времени и без ручного ввода данных.

Контекст

Компания «Синтраксия Глобал» объединяет четыре юридических лица в трех странах:

• Россия: «НорфелияТех», «СибраксенПро»
• Казахстан: «КазМирентал»
• Беларусь: «БелТревокс»

Каждое предприятие использует собственную инфраструктуру Active Directory, но аналитика должна быть централизованной. Руководству важно видеть:

• Сколько активных пользователей в каждой стране
• Какие филиалы имеют наибольшую аналитическую нагрузку
• Есть ли неактивные учетные записи, которые следует отозвать

Настройка автоматической загрузки данных из AD в дашборд

Настройка автоматической загрузки данных из Active Directory в дашборд выполняется в четыре этапа:

• Этап 1 — настройка синхронизации пользователей из нескольких доменов Active Directory с извлечением географического атрибута (co) и отображением страны или региона в системе
• Этап 2 — создание автоматизированного скрипта для регулярной загрузки синхронизированных данных в модель данных (таблица employee)
• Этап 3 — построение дашборда с визуализацией распределения пользователей по странам, отделам и статусу активности (активные/неактивные)
• Этап 4 — настройка автообновления дашборда и скрипта для отображения изменений в режиме, близком к реальному времени

Также вы можете ознакомиться с примером рабочего процесса, демонстрирующим реагирование на массовое отключение пользователей, включая автоматическую фиксацию события, обезличивание данных и поддержку принятия решений для ИТ, службы безопасности, HR и аудита.

Синхронизация с Active Directory

Для каждого домена в Proceset настройте отдельную синхронизацию. Ниже приведен пример настройки одного из контроллеров.

1. Перейдите в раздел Синхронизация пользователей и нажмите + Добавить.
2. В открывшемся окне заполните данные синхронизации и нажмите Добавить, например:
   • Название: dc.example.local
   • Протокол: LDAP
   • Адрес контроллера домена: 111.222.333
   • Логин: admin
   • Доменный объект: OU=Company,DC=example,DC=local
   
3. При необходимости настройте дополнительные параметры синхронизации.
4. Добавьте атрибут co — (страна/регион, в котором находится пользователь):
   1. Перейдите в раздел Синхронизация пользователей.
   2. Выберите синхронизацию dc.example.local.
   3. Перейдите на вкладку Атрибуты.
   4. Нажмите + Добавить.
   5. Заполните данные атрибута:
      • Атрибут в AD: co
      • Поле в системе: Страна/Регион
      
   6. Перейдите в раздел Пользователи.
   7. Нажмите на значок с настройками.
   8. Нажмите + Добавить.
   9. Заполните данные атрибута:
      • Название поля: Страна/Регион
      • Тип данных: Строка
      
5. Перейдите в раздел Синхронизация пользователей.
6. Выберите синхронизацию dc.example.local.
7. Перейдите на вкладку Синхронизация.
8. Нажмите Синхронизировать сейчас.
9. После синхронизации перейдите в раздел Пользователи.
10. Выберите пользователя из AD и на вкладке Основное проверьте, что появился добавленный атрибут.

Загрузка данных пользователей в модель данных

Данные пользователи, синхронизированные из AD, попадают в системную таблицу employee.

Чтобы загрузить данные пользователей в модель данных:

1. Перейдите в предварительно созданное пространство пространство.
2. Нажмите + Добавить → Скрипт.
3. В открывшемся окне введите название скрипта, например: Получение данных из AD. Нажмите Добавить.
4. Добавьте блок Планировщик и настройте расписание выполнения скрипта, например, на 15 минут. Протестируйте блок.
5. Добавьте блок Получить системную таблицу и укажите таблицу employee. Протестируйте блок.
6. Добавьте блок Добавить строки. Кликните по полю Таблица и выберите Добавить таблицу. Выберите Создать из выходных данных и заполните поля выходными данными из блока Получить системную таблицу. Протестируйте блок.
7. Протестируйте скрипт полностью и опубликуйте его.
8. После публикации активируйте скрипт.
9. Перейдите в модель данных и проверьте, что таблица employee добавлена.

Создание дашборда «Активность пользователей»

Чтобы визуализировать данные, собранные в таблице employee, создайте дашборд.

1. Перейдите в предварительно созданное пространство.
2. Нажмите + Добавить → Дашборд.
3. Введите название дашборда, например: Активность пользователей. Нажмите Сохранить.
4. В открывшемся образе нажмите + Создать строку и добавьте виджет Столбиковая диаграмма.
5. Настройте виджет:
   • Заголовок: Распределение сотрудников по странам
   • Разрез: additional_fields_values[] → "employee"."additional_fields_values[]"
   • Мера: Количество → count("employee"."id")
6. Добавьте виджет Кольцевая диаграмма и настройте его:
   • Заголовок: Распределение сотрудников по отделам
   • Разрез: departments[] → "employee"."departments[]"
   • Мера: Количество → count("employee"."id")
7. Добавьте виджет Столбиковая диаграмма и настройте его:
   • Заголовок: Распределение сотрудников по отделам
   • Разрез: additional_fields_values[] → "employee"."additional_fields_values[]"
   • Мера: Активные пользователи → countIf("employee"."id", "employee"."authentication_assigned" = 'true')
   • Мера: Неактивные пользователи → countIf("employee"."id", "employee"."authentication_assigned" = 'false')
8. Добавьте виджет Таблица и настройте его:
   • Заголовок: Таблица пользователей
   • Разрез: Имя пользователя → "employee"."name"
   • Разрез: Страна → "employee"."additional_fields_values[]"
   • Разрез: Отделы → "employee"."departments[]"
   • Разрез: Возможность аутентификации у пользователя → "employee"."authentication_assigned"
   • Сортировка: name → По возрастанию
9. В образе включите автообновление каждые 5 минут.
10. Опубликуйте готовый дашборд.

Пример рабочего процесса: реагирование на массовое отключение пользователей

Ситуация

В компании «Синтраксия Глобал» настроена автоматическая загрузка данных из AD в дашборд.

В дашборде видно, что:

• Виджет Распределение сотрудников по странам показывает девять активных пользователей в Казахстане
• В табличном виджете все девять сотрудников отображаются с полными данными и статусом Активен
• Настроенный скрипт обновляется каждые 15 минут, дашборд — каждые 5 минут, что обеспечивает актуальность данных в режиме, близком к реальному времени

В конце квартала компания проводит оптимизацию затрат. В филиале «КазМирентал» увольняются трое сотрудников из отдела дирекции по работе с клиентами. Их учетные записи в Active Directory удаляются вручную IT-специалистом в течение одного дня.

Процесс увольнения

• Увольнение и удаление учетной записи — IT-специалист филиала «КазМирентал» удаляет учетные записи трех сотрудников из локального домена dc.kazagro.local через консоль управления AD
• Результат в AD — учетные записи исчезают из дерева OU, атрибут userAccountControl больше не доступен

Автоматическая синхронизация с Proceset

• Следующий цикл синхронизации, настроенный на каждые 15 минут:
  • Система Proceset обнаруживает, что трое пользователей больше не присутствуют в AD
  • Для каждой учетной записи обновляется статус: authentication_assigned = false
  • Персональные данные (displayName, mail, telephoneNumber) обезличиваются (заменяются на *** или anonymized в зависимости от политики)
  • Все изменения фиксируются в журнале синхронизации с временной меткой и доменом

Обновление модели данных

• Следующее выполнение скрипта загрузки, настроенное на каждые 15 минут после синхронизации:
  • Блок Получить системную таблицу employee выгружает актуальный список пользователей
  • Таблица в хранилище данных обновляется: три строки теперь имеют authentication_assigned = 'false', страна — Казахстан, отдел — Аналитика

Отображение изменений на дашборде

• Автообновление дашборда каждые 5 минут → изменения отображаются не позднее чем через 20 минут после удаления из AD:
  • В виджете Распределение сотрудников по странам количество активных пользователей в Казахстане уменьшается с девяти до шести
  • На графике Активные / Неактивные пользователи на три единицы растет сегмент «Неактивные» в Казахстане
  • В таблице пользователей записи этих сотрудников отображаются с пометкой authentication_assigned = false
    • Айдар Темирханович Жумагулов (id=103)
    • Ерлан Аманжолович Тулегенов (id=108)
    • Руслан Маратович Бекетов (id=119)
  

Реакция аналитика безопасности

• Аналитик ИБ из центрального офиса (Москва):
  • Утром открывает дашборд и замечает аномальный скачок неактивных пользователей в Казахстане
  • Фильтрует таблицу по стране = «Казахстан» и статусу = «false»
  • Убеждается, что все данные обезличены (нет ФИО, email, телефона)
  • Проверяет, нет ли похожей динамики в других странах (в России и Беларуси — все стабильно)
  • Подтверждает через HR-систему: увольнения были плановыми
• Результат — инцидент не требует расследования, но фиксируется в отчете за квартал как «плановое сокращение»

Дополнительные бизнес-действия

• ИТ-дирекция — освобождает три лицензии на аналитические инструменты и перераспределяет их в Сибирский филиал, где наблюдается рост нагрузки
• Финансовый контролер — учитывает снижение затрат на лицензии в отчете за квартал
• Аудитор — при запросе предоставляет скриншот дашборда и выгрузку из таблицы employee с отметкой времени обезличивания, после чего подтверждает соответствие GDPR и внутренним политикам

Ключевые преимущества, продемонстрированные в процессе

• Автоматизация — ни один шаг не требует ручного ввода или экспорта Excel
• Скорость реакции —от удаления в AD до видимого результата — <20 минут
• Соблюдение регуляторных требований — персональные данные немедленно обезличиваются
• Прозрачность — все роли получают нужную информацию в своем контексте
• Экономия ресурсов — лицензии высвобождаются и перераспределяются без задержек

Преимущества для пользователя