Общие сведения
Система может использовать корпоративный каталог Microsoft Active Directory (MS AD) или любую другую LDAP-систему (FreeIPA) в качестве источника для учетных записей пользователей. Система выполняет подключение к LDAP-каталогу по протоколу LDAP/LDAPS.
В зависимости от реализуемого типа интеграции, возможно использование следующих сценариев:
- Первичная загрузка/импорт пользователей из домена в Avanpost FAM.
- Автоматическое создание пользователя в Avanpost FAM при его добавлении в домене.
- Обновление атрибутов пользователя при их изменении в домене.
- Аутентификация с проверкой пароля в домене.
Управление LDAP-провайдерами осуществляется во вкладке "Настройки LDAP-провайдеров" режима "Сервис". Вкладка содержит:
- Список настроенных LDAP-провайдеров с информацией о них:
- Имя - Наименование LDAP-провайдера;
- Синхронизация - Статус синхронизации Avanpost FAM с LDAP-провайдером:
- Active - Синхронизация включена;
- Inactive - Синхронизация выключена;
- Кнопка "Добавить" - Требуется нажать для добавления нового LDAP-провайдера.
Добавление LDAP-провайдера
Для добавления нового LDAP-провайдера необходимо нажать кнопку "Добавить" во вкладке "Настройки LDAP-провайдеров" и последовательно заполнить данные в следующих разделах:
- Шаг 1. Основные настройки.
- Шаг 2. Настройки подключения.
- Шаг 3. Настройки интеграции.
- Шаг 4. Завершение.
Наименование параметра | Описание параметра | Обязательность | ||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Шаг 1. Основные настройки | ||||||||||||||||||||||||||||||
Имя | Наименование LDAP-провайдера. | Да | ||||||||||||||||||||||||||||
Домен | Домен LDAP-провайдера. | Нет | ||||||||||||||||||||||||||||
Группы по умолчанию | Группы, в которые по умолчанию добавляются пользователи, загружаемые с LDAP-провайдера. В текстовое поле требуется ввести существующие в Avanpost FAM группы. | Нет | ||||||||||||||||||||||||||||
Шаг 2. Настройки подключения | ||||||||||||||||||||||||||||||
Тип LDAP | Тип службы каталогов LDAP-сервера. Выбрать из выпадающего списка:
| Да | ||||||||||||||||||||||||||||
Host | IP-адрес хоста LDAP-сервера | Да | ||||||||||||||||||||||||||||
Port | Номер порта LDAP-сервера | Да | ||||||||||||||||||||||||||||
SSL | Переключатель "
| Да | ||||||||||||||||||||||||||||
Устанавливать TLS-соединение после успешного ответа от сервера | Данная функция устарела и находится в процессе ликвидации. Появляется при включенном переключателе "SSL". | Нет | ||||||||||||||||||||||||||||
Версия TLS | Выбрать версию протокола TLS, если выбор версии TLS обязателен для установки соединения с сервером LDAP-провайдера (например, некоторые серверы Novell):
Настройка параметра доступна при включенном переключателе "Устанавливать TLS соединение после успешного ответа от сервера". | Нет | ||||||||||||||||||||||||||||
BaseDN | База для поиска: корневой объект LDAP-каталога, в котором производится поиск. Можно указать несколько баз для поиска, используя точку с запятой в качестве разделителя. Формат ввода: | Да | ||||||||||||||||||||||||||||
Имя пользователя | Техническая учетная запись администратора LDAP-провайдера. Может быть добавлен только один пользователь. Формат ввода: | Да | ||||||||||||||||||||||||||||
Пароль | Пароль администратора. | Да | ||||||||||||||||||||||||||||
Расписание синхронизации (Cron или Quartz) | Частота выполнения синхронизации. Формат временного интервала задается в Cron-выражении или в формате Quartz. | Да | ||||||||||||||||||||||||||||
Управление паролями | Разрешить задавать доменные пароли:
При настройке парольной политики для LDAP-источника типа MS AD следует учитывать, что после смены пароля в течение 60 минут остается действительным старый пароль, если иное не было настроено. Настройка срока действия старого пароля производится на стороне MS AD и описана в статье Особенности парольной политики для MS AD раздела Настройка политики паролей. | Да | ||||||||||||||||||||||||||||
Шаг 3. Настройки интеграции | ||||||||||||||||||||||||||||||
Настройки импорта пользователей | ||||||||||||||||||||||||||||||
Фильтр поиска пользователей | Фильтр, ограничивающий зону поиска пользователей для импорта пользователя из LDAP-каталога в Avanpost FAM. Чтобы ввести несколько фильтров требуется открыть поле ввода нажатием кнопки . Пример ввода фильтра: | Да | ||||||||||||||||||||||||||||
Фильтр поиска аутентифицируемого пользователя | Фильтр, ограничивающий зону поиска по LDAP-каталогу для пользователя, который проходят аутентификацию в Avanpost FAM, но еще не импортированы из LDAP-каталога. Чтобы ввести несколько фильтров требуется открыть поле ввода нажатием кнопки . Пример ввода фильтра: | Да | ||||||||||||||||||||||||||||
LDAP-атрибут, содержащий логин пользователя | Наименование атрибута, содержащего логин импортируемого пользователя. Атрибут на стороне LDAP-провайдера. | Да | ||||||||||||||||||||||||||||
Внешний ключ учетной записи | Наименование атрибута, содержащего идентификатор безопасности (значение, используемое для идентификации) пользователя. Атрибут на стороне LDAP-провайдера. | Да | ||||||||||||||||||||||||||||
Атрибут для связывания учетной записи из LDAP c учетной записью IDP | Наименование атрибута, по которому осуществляется идентификация и привязка данных пользователя из LDAP-провайдера к IdP Avanpost FAM. Атрибут на стороне LDAP-провайдера. | Нет | ||||||||||||||||||||||||||||
Атрибут пользователя(или DN), перечисляемый в поле member группы LDAP | Название атрибута или DN (Distinguished Name), значения которого перечисляются в перечне участников группы (в поле member). Атрибут на стороне LDAP-провайдера. ПРи включенной синхронизации группы и выключенной синхронизации пользователей данный позволяет ранее загруженного пользователя из LDAP | Нет | ||||||||||||||||||||||||||||
Импорт дополнительных атрибутов учетной записи | Список дополнительных атрибутов, которые импортируются из LDAP-каталога в Avanpost FAM. Если не настраивать данное поле, по умолчанию импортируются только основные атрибуты. Для добавления импортируемого атрибута следует нажать. Для удаления атрибута из списка требуется нажать . При добавлении атрибуты заполняются поля:
Импорт дополнительных атрибутов из LDAP-каталога Администратор при настройке интеграции Avanpost FAM совершил ряд ошибок при заполнении граф с атрибутами и хочет понять, что произошло с импортированными атрибутами в Avanpost FAM в зависимости от введенных условий. Эффект от действий отображается в таблице.
. | Нет | ||||||||||||||||||||||||||||
Настройки импорта групп | ||||||||||||||||||||||||||||||
Импортировать группы | Установить/убрать флажок из чекбокса:
| Да | ||||||||||||||||||||||||||||
Искать группу с учётом домена | Установить/убрать флажок из чекбокса:
| Да | ||||||||||||||||||||||||||||
Фильтр поиска групп | Фильтр, ограничивающий зону поиска групп для импорта пользователя из LDAP-каталога в Avanpost FAM. Чтобы ввести несколько фильтров, требуется открыть поле ввода нажатием кнопки . | Нет | ||||||||||||||||||||||||||||
Атрибут наименования группы | Наименование атрибута, содержащего наименование импортируемой группы. Атрибут на стороне LDAP-провайдера. | Нет | ||||||||||||||||||||||||||||
Фильтр для поиска пользователей для привязки к группам | Фильтр предназначен для добавления/удаления из групп пользователей, по какой-либо причине отсутствующих в фильтре "Фильтр поиска групп", но при этом уже существующих в Avanpost FAM. Фильтр ускоряет привязку импортированных пользователей и групп. Чтобы ввести несколько фильтров, требуется открыть поле ввода нажатием кнопки . | Нет | ||||||||||||||||||||||||||||
Атрибут для поиска существующего пользователя | Атрибут пользователя, добавленного в Avanpost FAM. Атрибут на стороне Avanpost FAM, который связывается с атрибутом для связывания учетной записи из LDAP c учетной записью IDP на стороне LDAP-провайдера. По связанному атрибуту осуществляется поиск пользователя во внешнем LDAP-каталоге для синхронизации данных (актуализации членства в группах). Выбирается из выпадающего списка с атрибутами, настроенными для Avanpost FAM. | Нет | ||||||||||||||||||||||||||||
Атрибут для связывания учетной записи из LDAP c учетной записью IDP | Атрибут пользователя на стороне LDAP-каталога, при помощи которого осуществляется поиск в LDAP-каталоге и синхронизация данных (актуализации членства в группах). Атрибут связывается с атрибутом для поиска существующего пользователя на стороне Avanpost FAM. | Нет | ||||||||||||||||||||||||||||
Атрибут или DN (Distinguished Name) пользователя, по которому пользователь добавляется в список участников группы. Атрибут на стороне LDAP-провайдера. | Нет | |||||||||||||||||||||||||||||
Атрибут описания группы | Атрибут на стороне LDAP-провайдера, содержащий описание группы. | Нет | ||||||||||||||||||||||||||||
Атрибут со списком участников группы | Атрибут, содержащий перечень участников группы. Атрибут на стороне LDAP-провайдера. | Нет | ||||||||||||||||||||||||||||
Шаг 4. Завершение | ||||||||||||||||||||||||||||||
Сделать активным | Установить/убрать флажок из чекбокса:
| Да |
Для перехода на следующий шаг требуется нажать "Далее", для возврата на предыдущий шаг - "Назад". Для отказа от создания LDAP-провайдера следует нажать "Отмена".
Настройка существующего LDAP-провайдера
Настройка добавленных LDAP-провайдеров осуществляется в профиле LDAP-провайдера. Переход в профиль осуществляется нажатием на название провайдера во вкладке "Настройки LDAP-провайдеров" режима "Сервис". В профиле представлены следующие возможности:
- проверить соединение (кнопка ) - проверка соединения с LDAP-провайдером, по результатам которой сообщается об успехе или выдается лог ошибки;
- провести внеплановую синхронизацию (кнопка ) - запуск внеплановой синхронизации (во избежание параллельного запуска двух импортов функция доступна, когда синхронизация выключена и импорт данных не осуществляется);
- включить синхронизацию (кнопка )/выключить синхронизацию (кнопка ) - включение/выключение синхронизации с LDAP-провайдером и перевод в статус Active/Inactive;
- удалить (кнопка) - удаление (после подтверждения) существующего LDAP-провайдера;
- изменить настройки - для редактирования параметров следует нажать в одном из разделов:
- Основное;
- Подключение;
- Интеграция.
В профиле возможна настройка параметров, часть из которых воспроизводит параметры из добавления нового LDAP-провайдера.
Название параметра | Описание параметра |
---|---|
Основное | |
Имя | Соответствуют параметрам, используемым при добавлении приложения. |
Домен | |
Группы по умолчанию | |
Подключение | |
Тип LDAP | Соответствуют параметрам, используемым при добавлении приложения. |
Host | |
Port | |
SSL | |
Устанавливать TLS соединение после успешного ответа от сервера | |
Версия TLS | |
BaseDN | |
Имя пользователя | |
Расписание синхронизации (Cron или Quartz) | |
Управление паролями | |
Смена пароля | Для смены пароля следует нажать и ввести новый пароль в графу "Новый пароль". Для сохранения - нажать "Сохранить", для отмены действия - "Отмена". |
Интеграция | |
Настройки интеграции | |
Синхронизировать данные пользователей | Установить/убрать флажок из чекбокса:
|
Вести запись в журнал безопасности | Установить/убрать флажок из чекбокса:
|
Создавать новых пользователей | Установить/убрать флажок из чекбокса:
|
Обновлять данные пользователя | Установить/убрать флажок из чекбокса:
При включенном флажке, если пользователь, загруженный в Avanpost FAM из внешнего LDAP-провайдера изменит свои данные в личном кабинете, то Avanpost FAM автоматически восстановит данные из LDAP-провайдера при очередной синхронизации. |
Фильтр поиска пользователей | Соответствуют параметрам, используемым при добавлении приложения. |
LDAP-атрибут, содержащий логин пользователя | |
Внешний ключ учетной записи | |
Атрибут для связывания учетной записи из LDAP c учетной записью IDP | |
Атрибут пользователя(или DN), перечисляемый в поле member группы LDAP | |
Новые пользователи должны сменить пароль | Установить/убрать флажок из чекбокса:
|
Импорт дополнительных атрибутов учетной записи | Соответствует параметру, используемому при добавлении приложения. |
Удалять пользователей, отсутствующих в текущей выборке | Установить/убрать флажок из чекбокса:
|
Настройки импорта групп | |
Включить синхронизацию групп | Установить/убрать флажок из чекбокса:
|
Искать группу с учётом домена | Соответствуют параметрам, используемым при добавлении приложения. |
Фильтр поиска групп | |
Атрибут наименования группы | |
Фильтр для поиска пользователей для привязки к группам | |
Атрибут для поиска существующего пользователя | |
Атрибут для связывания учетной записи из LDAP c учетной записью IDP | Атрибут пользователя на стороне LDAP-каталога, при помощи которого осуществляется поиск в LDAP-каталоге и синхронизация данных (актуализации членства в группах). Устанавливается в разделе настройки импорта групп при включенной синхронизации групп и выключенной синхронизации пользователей. |
Атрибут пользователя(или DN), перечисляемый в поле member группы LDAP | Соответствуют параметрам, используемым при добавлении приложения. |
Атрибут описания группы | |
Атрибут со списком участников группы | |
Настройки проверки пароля | |
Разрешить проверку пароля | Установить/убрать флажок из чекбокса:
|
Фильтр поиска пользователя | Фильтр, ограничивающий зону поиска пользователей, для которых разрешается проверка пароля. Пример ввода фильтра: |
Создавать пользователя в процессе аутентификации | Установить/убрать флажок из чекбокса:
|
Обновлять данные пользователя в процессе аутентификации | Установить/убрать флажок из чекбокса:
|
Обновлять пароль в процессе аутентификации | Установить/убрать флажок из чекбокса:
|
Установить/убрать флажок из чекбокса:
|