You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 16 Next »

Легковесный протокол доступа к каталогам (LDAP) – это открытый, независимый от поставщика, стандартный для отрасли прикладной протокол для доступа и обслуживания распределенных информационных служб каталогов по сети Internet Protocol (IP).

Интеграция с LDAP позволяет подключить экземпляр к серверу LDAP или AD и использовать его в качестве источника пользовательских данных. Он предоставляет возможность подключения к службе каталогов, в которой хранятся данные аутентификации, такие как имена пользователей, пароли, домашние каталоги пользователей, используемые для хранения деловых и других данных и т. д. Глобальной целью механизма LDAP является импорт пользователей в систему. А за счет этого может быть достигнута синхронизация с различными корпоративными сервисами, и одна учетная запись может быть использована для авторизации во всех корпоративных сервисах, таких как электронная почта, сайт, VoIP и т.д.

Относительное уникальное имя (RDN) – это атрибут, определяющий каталог поиска, например: dc=instance,dc=com.

В этой схеме клиент-серверной инфраструктуры экземпляр SimpleOne должен быть клиентом, подключающимся к серверу LDAP.

Система синхронизируется с сервером LDAP двумя способами:

  • через Запланированные задания (автоматически) – скрипт по расписанию, задающий периоды синхронизации (например, каждые 3 часа). Подробнее читайте в статье Скрипты по расписанию.
  • через Автоматическую инициализацию (запускается при входе в систему) – когда пользователь входит в систему, система обновляет запрошенные данные. Настройте этот способ синхронизации через свойство user.ldap_autoprovision.

Вы также можете использовать сторонние службы авторизации на своем экземпляре. Подробнее читайте в статье Технология единого входа (SSO).


Установка соединения LDAP


Чтобы установить соединение между вашим экземпляром SimpleOne и сервером LDAP, выполните следующие действия:

  1. Настройте сервер LDAP.
  2. Определите URL-адрес LDAP.
  3. Настройте LDAP.
  4. Проверьте настройки.
  5. (Необязательно) Импорт данных.

Дополнительные инструменты для настройки LDAP-соединения:

  1. Журнал LDAP
  2. Системные свойства LDAP

Настройка LDAP-сервера


Чтобы настроить LDAP-соединение, выполните следующие шаги:

  1. Перейдите в Настройки LDAP → Серверы LDAP.
  2. Нажмите Создать и заполните поля.
  3. Нажмите Сохранить или Сохранить и выйти, чтобы применить изменения.
  4. Скопируйте ID текущей записи.

Если атрибут RDN не указан, то сервер LDAP попытается получить доступ к корневому каталогу сервера в процессе авторизации. Если пользователь, вошедший в систему, не авторизован для доступа к этому каталогу, процесс авторизации будет прерван.

Определение URL-адреса LDAP


Иногда клиентская инфраструктура может содержать более одного сервера LDAP, например, в качестве резервного сервера. В этом случае может потребоваться указать какой-то конкретный сервер, используемый для авторизации, выставив порядок URL. Если у вас несколько серверов, создайте отдельный URL-адрес LDAP для каждого из них.

Чтобы задать URL, выполните следующие шаги:

  1. Перейдите в Настройки LDAP → Адреса LDAP.
  2. Нажмите Создать и заполните поля.
  3. Нажмите Сохранить или Сохранить и выйти, чтобы применить изменения.

Настройка LDAP


После того как вы настроили сервера LDAP и URL-адреса, а также выполнили все необходимые подготовки инфраструктуры клиента, настройте LDAP.

Чтобы настроить LDAP, выполните следующие шаги:

  1. Перейдите в Настройки LDAP → Настройка LDAP.
  2. Нажмите Создать и заполните поля.
  3. Нажмите Сохранить или Сохранить и выйти, чтобы применить изменения.

Error rendering macro 'excerpt-include'

No link could be created for 'Импорт из LDAP'.

Вы можете проверить структуру LDAP, нажав Обзор LDAP в соответствующей записи сервера LDAP.

Проверка настроек


Импортируйте все необходимые данные с вашего сервера LDAP в экземпляр.

Для завершения импорта данных с помощью LDAP вам потребуется настроить следующие системные элементы:

  • Настройка LDAP – указывает фильтры для извлечения данных из определенной таблицы LDAP.
  • Источник импорта – загружает строки данных для дальнейшей обработки и преобразования.

На схеме ниже показан процесс импорта данных с сервера LDAP.

Подробнее читайте в статье Импорт из LDAP.


Пример настройки интеграции с AD


Готовое решение SimpleOne содержит пример для упрощения настройки подключения к службе Active Directory (AD).

Ознакомьтесь с ним перед настройкой LDAP импорта на экземпляре. Настройки примера поставляются в нередактируемом виде. Используйте пункт бургер-меню Создать копию на формах каждой записи для копирования настроек.

Созданы и настроены следующие записи:

  • LDAP Сервер Demo_Active_Directory. В копии записи задайте параметры необходимого сервера.
  • LDAP URL для сервера Demo_Active_Directory
  • Настройки LDAP SimpleOneCourses1 и SimpleOneCourses2. Используйте одну из настроек в качестве примера для создания рабочего соединения с AD.

  • источник импорта LDAP Users. Используйте один источник импорта для похожих настроек LDAP.
  • запланированные импорты Daily Import SimpleOne Employees и Daily Import SimpleOne Employees 2. Данные AD импортируются каждый день в определенное время. Используйте один из импортов как пример создания своего запланированного импорта.
  • запланированный скрипт Daily Deletion of Obsolete Import Sets. Скрипт удаляет наборы для источника импорта данных LDAP Users и связанные записи в таблице Элементы наборов. Скрипт удаляет все наборы импорта, кроме последнего созданного.

Для соединения и импорта пользователей из AD, выполните следующие шаги:

  1. Создайте локальный пакет в приложении Simple для настройки LDAP импорта.
  2. Создайте копии записей, упомянутых выше и настройте интеграцию LDAP, изменив значения полей на нужные.
  3. Нажмите Проверить соединение на форме сервера LDAP. Если соединение установлено успешно, нажмите Обзор LDAP, чтобы проверить структуру LDAP.
  4. После проверки структуры, перейдите на форму нужной настройки LDAP и откройте связанный источник импорта. 
  5. (опционально) Нажмите Пробная загрузка (20 записей), чтобы создать тестовый набор импорта.
  6. Нажмите Загрузить всe.
  7. Нажмите Соотношения таблиц для создания Схемы трансформации. Значение поля Исходная таблица должно совпадать со значением поля Таблица на форме Настройки LDAP.
  8. На форме Схемы трансформации нажмите создайте соотношения полей через связанный список. Для полей Логин и Электронная почта установлен флажок Объединить данные. Параметр определяет поля целевой таблицы, которые будут использоваться для поиска записей на основе импортированных данных. Если запись найдена в целевой таблице, она будет обновлена. В противном случае будет создана новая запись.
  9. Вернитесь на форму Источника импорта и откройте запись Набора импорта через связанный список.
  10. Нажмите Трансформировать, чтобы импортировать данные из AD.
  11. Настройте копию запланированного импорта Daily Import SimpleOne Employees. Добавьте ссылку на ранее созданный источник импорта.
  12. Настройте копию запланированного скрипта Daily Deletion of Obsolete Import Sets и установите флажок Активно. Скопируйте ID источника импорта в переменную import_source_id скрипта.


Журнал LDAP


Если в системе произошла ошибка, вы можете проверить сообщения журнала, чтобы найти причину. В Журнале LDAP можно найти записи о неудачных попытках авторизации или попытках обхода политики авторизации. На самом деле все эти сообщения записываются в таблицу Main Logs (sys_log).

Чтобы перейти в записи журнала, перейдите в Настройки LDAP → Журнал LDAP.

Системные свойства LDAP


Некоторые возможности LDAP можно настроить на стороне клиента с помощью системных свойств. Доступные свойства перечислены ниже:

Название свойстваТипЗначение по умолчаниюОписание

user.authorization_when_no_ldap_connection

BooleantrueВключает авторизацию при отсутствии соединения LDAP.

user.ldap_authentication

BooleantrueВключает или отключает аутентификацию LDAP.

user.ldap_autoprovision

BooleantrueВключает автоматическое создание пользователей в таблице Пользователи, если на экземпляре нет такой записи.

Связанные статьи


  • No labels