Versions Compared

Old Version 13

changes.mady.by.user Dina Baksheeva

Saved on

compared with

New Version Current

changes.mady.by.user Dina Baksheeva

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Merged branch "DOC0001296" into parent

Легковесный протокол доступа к каталогам (LDAP) – это открытый, независимый от поставщика, стандартный для отрасли прикладной протокол для доступа и обслуживания распределенных информационных служб каталогов по сети Internet Protocol (IP).

Интеграция с LDAP позволяет подключить экземпляр подключиться к серверу LDAP или AD служб каталогов по LDAP (например Active Directory) и использовать его в качестве источника пользовательских данных. Он предоставляет возможность подключения к службе каталогов, в которой хранятся данные аутентификации, такие как имена пользователей, пароли, домашние каталоги пользователей, используемые для хранения деловых и других данных и т. д. Глобальной целью механизма LDAP является импорт пользователей в систему. А за счет этого может быть достигнута синхронизация с различными корпоративными сервисами, и одна учетная запись может быть использована для авторизации во всех корпоративных сервисах, таких как электронная почта, сайт, VoIP и т.д.

Image RemovedImage Added

Относительное уникальное имя (RDN) – это атрибут, определяющий каталог поиска, например: dc=instance,dc=com.

В этой схеме клиент-серверной инфраструктуры экземпляр SimpleOne должен быть клиентом, подключающимся к серверу LDAP.

Пользователь может авторизоваться через свойство user.ldap_autoprovision, включающее Автоматическую инициализацию.

Note

При самостоятельной попытке авторизации пользователя, который есть в каталоге LDAP, но которого нет в системе, на экземпляре автоматически создается запись пользователя  со сгенерированной электронной почтой в формате {случайная строка в 10 символов}@simple.test

  • Если пользовательские аккаунты создаются импортом из LDAP, установите значение false у свойства user.ldap_autoprovision.
  • Если автоматическая инициализация необходима, то обновите вручную поля в записи пользователя на корректные значения.

Вы также можете использовать сторонние службы авторизации на своем экземпляре. Подробнее читайте в статье Технология единого входа (SSO).

Система синхронизируется с сервером LDAP двумя способами:только через Запланированные задания (автоматически) – скрипт по расписанию, задающий периоды синхронизации (например, каждые 3 часа). Подробнее читайте в статье

Скрипты по расписанию.
  • через Автоматическую инициализацию (запускается при входе в систему) – когда пользователь входит в систему, система обновляет запрошенные данные. Настройте этот способ синхронизации через свойство user.ldap_autoprovision.

    •  Запланированные скриптыТаким образом, при авторизации и других операциях данные не обновляются. 

    Tip

    Вы также можете использовать сторонние службы авторизации на своем экземпляре. Подробнее читайте в статье Технология единого входа (SSO).

    Установка соединения LDAP

    Чтобы установить соединение между вашим экземпляром SimpleOne и сервером LDAP, выполните следующие действия:

    1. Настройте сервер LDAP.
    2. Определите URL-адрес LDAP.
    3. (необязательно) Добавьте сертификат для установки безопасного LDAP-соединения.
    4. Настройте LDAP.
    5. Проверьте настройки.
    6. (Необязательнонеобязательно) Импорт данных.

    Дополнительные инструменты для настройки LDAP-соединения:

    1. Журнал LDAP
    2. Системные свойства LDAP

    Настройка LDAP-

    сервера

    сервера 
    Anchor
    ldap server
    ldap server

    Для успешного подключения к серверу, сервер и текущий экземпляр SimpleOne должны быть доступны для подключения. Также должен быть открыт порт, по которому производится подключение. 

    Учётная запись, с которой производится подключение, должна принадлежать к группе Domain User. Это означает, что пользователь должен иметь право на чтение каталога.

    Чтобы настроить LDAP-соединение, выполните следующие шаги:

    1. Перейдите в Настройки в LDAP → Серверы LDAP.
    2. Нажмите Создать и заполните поля.
    3. Нажмите Сохранить или Сохранить и выйти, чтобы применить изменения.
    4. Скопируйте ID текущей записи.

    Поля формы Сервер LDAP

    ПолеОбязательноОписание
    НаименованиеДаВведите название сервера.
    Корневой каталогДа

    Введите относительно уникальное имя (RDN) каталога поиска.

    Пример: dc=instance,dc=ru

    АктивенНетУстановите флажок, чтобы активировать сервер.
    Имя пользователяДаУкажите логин пользователя для аутентификации в LDAP-соединения.
    ПарольНетУкажите пароль сервера.


    Info

    Если атрибут RDN не указан, то сервер LDAP попытается получить доступ к корневому каталогу сервера в процессе авторизации. Если пользователь, вошедший в систему, не авторизован для доступа к этому каталогу, процесс авторизации будет прерван.

    Определение URL-адреса LDAP
    Anchor
    ldap url
    ldap url

    Иногда клиентская инфраструктура может содержать более одного сервера LDAP, например, в качестве резервного сервера. В этом случае может потребоваться указать какой-то конкретный сервер, используемый для авторизации, выставив порядок URL. Если у вас несколько серверов, создайте отдельный URL-адрес LDAP для каждого из них.

    Чтобы задать URL, выполните следующие шаги:

    1. Перейдите в Настройки LDAP → Адреса LDAP.
    2. Нажмите Создать и заполните поля.
    3. Нажмите Сохранить или Сохранить и выйти, чтобы применить изменения.

    Поля формы Адрес LDAP

    ПолеОбязательноОписание
    URLДа

    Введите LDAP/LDAPS URL. SSL-сертификат проверяет домен, а не IP-адрес, поэтому подключение производится по доменному адресу.

    Пример для LDAP:

    ldap://123.456.1.12:363

    Пример для LDAPS:

    ldaps://dc02-ds1.simpleone.ru:636

    АктивенНетУстановите флажок, чтобы активировать URL-адрес.
    ПорядокНет

    Укажите порядок этого URL-адреса, если есть более одного похожего элемента. В этом случае они будут обрабатываться в порядке возрастания.

    Операционный статусНет

    Статус LDAP-соединения. Доступные значения:

    • Готов к соединению – резервный сервер настроен и готов к использованию.
    • Соединен – соединение установлено.
    • Нет соединения – система не синхронизуется с сервером.
    • Ошибка – что-то пошло не так. Проверьте Журнал LDAP.
    Сервер LDAPДаУкажите соответствующий сервер.

    Добавление сертификата
    Anchor
    create an LDAP certificate
    create an LDAP certificate

    Если вам необходимо установить безопасное LDAP-соединение с помощью протоколов SSL, LDAPS через порт 636, вам нужно предоставить SSL-сертификат. Если у вас нет работающего сертификата, LDAP-соединение будет незащищённым. В таком случае используйте порт 389 (TCP/UDP).

    Чтобы добавить SSL-сертификат, выполните следующие шаги:

    1. Перейдите в LDAP → Сертификаты.
    2. Нажмите Создать.

    3. Прикрепите файл SSL-сертификата.

      Info
      titleТребования к сертификату
      • Для корректной работы сертификат должен быть корневым (CA). 
      • Поддерживаемые форматы PEM (Privacy Enhanced Mail) имеют расширение .pem, .crt, .cer.
      • Файлы должны быть закодированы Base64 и начинаться со строки "----- BEGIN CERTIFICATE -----", а заканчиваться "----- END CERTIFICATE -----".


    4. После загрузки файла укажите Наименование сертификата и установите флажок Активен. Вы также можете добавить Краткое описание. Все остальные поля будут заполнены автоматически данными из прикрепленного файла. 
    5. Нажмите Сохранить или Сохранить и выйти, чтобы применить изменения. 

    Поля формы Сертификат

    Поле

    Обязательно

    Описание

    Наименование

    Да

    Укажите наименование сертификата, по которому вы сможете идентифицировать его в списках.

    Тема

    Нет

    Атрибуты сертификата. Это поле заполняется автоматически на основе данных сертификата. Вы можете найти больше информации об атрибутах в документации RFC 5280.

    Эмитент

    Нет

    Кем выдан сертификат. Поле заполняется автоматически. 

    Путь к файлу

    Нет

     

    Note

    Поле не используется.


    Краткое описание

    Нет

    Укажите краткое описание сертификата. 

    Активен

    Нет

    Установите флажок, чтобы сделать сертификат активным.

    Действителен с

    Нет

    Дата, с которой сертификат действителен. Это поле заполняется автоматически на основе данных сертификата.

    Действителен до

    Нет

    Дата, до которой сертификат действителен. Это поле заполняется автоматически на основе данных сертификата. SimpleOne не проверяет значение этого поля, однако соединение не будет установлено если срок действия сертификата истек.


    Tip

    Вы можете просмотреть список существующих сертификатов с формы записи Сервер LDAP. Для этого кликните Список сертификатов.

    Настройка LDAP
    Anchor
    ldap
    ldap

    После того, как вы настроили сервера LDAP и URL-адреса, а также выполнили все необходимые подготовки инфраструктуры клиента, настройте LDAP.

    Чтобы настроить LDAP, выполните следующие шаги:

    1. Перейдите в Настройки LDAP → Настройка LDAP.
    2. Нажмите Создать и заполните поля.
    3. Нажмите Сохранить или Сохранить и выйти, чтобы применить изменения.

    Excerpt Include
    Импорт из LDAP
    Импорт из LDAP
    nopaneltrue

    Вы можете проверить структуру LDAP, нажав Обзор LDAP в соответствующей записи сервера LDAP.

    Проверка

    настроек

    настроек 
    Anchor
    test
    test

    Убедитесь, что соединение настроено, выполнив следующие действия:

    1. Перейдите в LDAP → Серверы LDAP.
    2. Откройте нужную запись.
      1. Нажмите Проверить соединение, чтобы проверить первое по порядку соединение по URL. 
      2. Нажмите Проверить соединения, чтобы проверить все соединения. 

    При возникновении ошибок, проверьте Журнал LDAP записи.

    Импорт из LDAP 
    Anchor
    ldap import
    ldap import

    Импортируйте все необходимые данные с вашего сервера LDAP в экземпляр.

    Для завершения импорта данных с помощью LDAP вам потребуется настроить следующие системные элементы:

    • Настройка LDAP – указывает фильтры для извлечения данных из определенной таблицы LDAP.
    • Источник импорта – загружает строки данных для дальнейшей обработки и преобразования.

    На схеме ниже показан процесс импорта данных с сервера LDAP.

    Image RemovedImage Added

    Подробнее читайте в статье Импорт из LDAP.

    Демоданные для интеграции


    Пример настройки интеграции с AD

    Готовое решение SimpleOne содержит демонстрационные данные для упрощения пример настройки подключения к службе Active Directory (AD).

    Ознакомьтесь с ним перед настройкой LDAP импорта на экземпляре. Настройки примера поставляются в не редактируемом виде. Используйте пункт бургер-меню Создать копию на формах каждой записи для копирования настроек.

    Созданы и настроены следующие записи:

    • LDAP Сервер Demo_Active_Directory . Чтобы использовать готовую запись, измените значения и активируйте ее.с примером LDAP URL. В копии записи задайте параметры необходимого сервера.

    • настройки Настройки LDAP SimpleOneCourses1 и SimpleOneCourses2. Используйте одну из настроек в качестве примера для создания рабочего соединения с AD.

      Expand
      titleЗначения полей


      ПолеЗначениеОписание
      Фильтр


      Section


      Column
      width50%


      Panel
      titleSimpleOneCourses1

      (&

       (objectClass=person)

      (sn=*)

      )



      Column
      width50%


      Panel
      titleSimpleOneCourses2

      (&

       (objectClass=person,top)

      (sn=*)

      )




      		Заданный фильтр выбирает записи пользователей с любым именем для импорта из AD.
      LDAP URL для сервера Demo_Active_Directory
      Поле запросаsAMAccountNameПоле, которое используется для подключения к AD и запроса записей.
      Перечень атрибутовsamaccountname,sn,givenname,distinguishedname,msDS-cloudExtensionAttribute6,telephonenumber, mobile,mail,manager,company,useraccountcontrol,thumbnailphotoАтрибуты, возвращаемые запросом LDAP.



    • источник импорта LDAP Users. Используйте один источник импорта для похожих настроек LDAP.
    • запланированные импорты Daily Import SimpleOne Employees и Daily Import SimpleOne Employees 2. Данные AD импортируются каждый день в определенное время. Используйте один из импортов как пример создания своего запланированного импорта.
    • запланированный скрипт Daily Deletion of Obsolete Import Sets. Скрипт удаляет наборы для источника импорта данных LDAP Users и связанные записи в таблице Элементы наборов. Скрипт удаляет все наборы импорта, кроме последнего созданного.

    Для соединения и импорта пользователей из AD, выполните следующие шаги:

    1. Создайте локальный пакет в приложении Simple для настройки LDAP импорта.
    2. Создайте копии записей, упомянутых выше, и настройте интеграцию LDAP, изменив значения полей на нужныеИзмените значения на нужные в упомянутых выше записях.
    3. Нажмите Проверить соединение на форме сервера LDAP. Если соединение установлено успешно, нажмите Обзор LDAP, чтобы проверить структуру LDAP.
    4. После проверки структуры, перейдите на форму нужной настройки LDAP и откройте связанный источник импорта. 
    5. Нажмите (опционально) Нажмите Пробная загрузка (20 записей), чтобы создать тестовый набор импорта.
    6. Нажмите Загрузить всe.
    7. Нажмите Соотношения таблиц для просмотра настроенных соотношений полейсоздания Схемы трансформации. Значение поля Исходная таблица должно совпадать со значением поля Таблица на форме Настройки LDAP.
    8. На форме Схемы трансформации создайте соотношения полей через связанный список. Для полей Логин и Электронная почта установлен флажок Объединить данные, так как значения этих полей должны быть уникальными.
    9. Для некоторых полей созданы исходные скрипты, которые:
      • деактивируют запись Сотрудника, если соотнесенная учетная запись в AD неактивна.
      • пропускают импорт набора, если учетная запись сотрудника неактивна в AD.
    10. На форме источника импорта нажмите Трансформировать, чтобы импортировать записи сотрудников.
    InfoСоздан запланированный импорт, который ежедневно импортирует данные AD в определенное время. Активируйте запись
    1. . Параметр определяет поля целевой таблицы, которые будут использоваться для поиска записей на основе импортированных данных. Если запись найдена в целевой таблице, она будет обновлена. В противном случае будет создана новая запись.
    2. Вернитесь на форму Источника импорта и откройте запись Набора импорта через связанный список.
    3. Нажмите Трансформировать, чтобы импортировать данные из AD.
    4. Настройте копию запланированного импорта Daily Import SimpleOne Employees
    и настройте параметры для ежедневной загрузки данных.
    1. . Добавьте ссылку на ранее созданный источник импорта.
    2. Настройте копию запланированного скрипта Daily Deletion of Obsolete Import Sets и установите флажок Активно. Скопируйте ID источника импорта в переменную import_source_id скрипта
    Создан запланированный скрипт, который удаляет неактивные наборы импорта. Активируйте запись запланированный скрипта Deletion of Obsolete Import Sets, чтобы удалять ненужные наборы импорта. При удалении набора импорта происходит каскадное удаление колонки Набор импорта в таблице Элементы наборов
    1. .


    Журнал LDAP
    Anchor
    ldap log
    ldap log

    Если в системе произошла ошибка, вы можете проверить сообщения журнала, чтобы найти причину. В Журнале LDAP можно найти записи о неудачных попытках авторизации или попытках обхода политики авторизации. На самом деле все эти сообщения записываются в таблицу Main Logs Основной журнал (sys_log).

    Чтобы перейти в записи журнала, перейдите в Настройки LDAP → Журнал LDAP.

    Системные свойства LDAP

    Некоторые возможности LDAP можно настроить на стороне клиента с помощью системных свойств. Доступные свойства перечислены ниже:

    Название свойстваТипЗначение по умолчаниюОписание

    user.authorization_when_no_ldap_connection

    BooleantrueВключает авторизацию при отсутствии соединения LDAP.

    user.ldap_authentication

    BooleantrueВключает или отключает аутентификацию LDAP.

    user.ldap_autoprovision

    BooleantrueВключает автоматическое создание пользователей в таблице Пользователи, если на экземпляре нет такой записи

    Поля формы Журнал LDAP

    ПоляОписание
    ИсточникОтображает источник, из которого поступает эта запись журнала (например, LDAP authorization или LDAP autoprovision).
    СообщениеТекст сообщения записи журнала.
    Уровень

    В этом поле указывается уровень ошибки. Доступные варианты:

    • Информация
    • Ошибка
    • Предупреждение
    • Отладка
    Имя пользователяСсылка на пользователя, инициировавшего создание этой записи.


    Системные свойства LDAP 
    Anchor
    properties
    properties

    Некоторые возможности LDAP можно настроить на стороне клиента с помощью системных свойств. Доступные свойства можно найти в статье Свойства LDAP.

    Table of Contents
    absoluteUrltrue
    classfixedPosition
    printablefalse

    Panel

    Связанные статьи

  • Свойства LDAP
  • Запланированные скрипты
  • Single Sign-On
    • Импорт из LDAP