Общие сведения
Avanpost FAM может использовать корпоративный каталог Microsoft Active Directory (MS AD) или любую другую LDAP-систему в качестве источника для учетных записей пользователей. Система выполняет подключение к LDAP-каталогу по протоколу LDAP/LDAPS.
В зависимости от реализуемого типа интеграции, возможно использование следующих сценариев:
- Первичная загрузка/импорт пользователей из домена в Avanpost FAM.
- Автоматическое создание пользователя в Avanpost FAM при его добавлении в домене.
- Обновление атрибутов пользователя при их изменении в домене.
- Аутентификация с проверкой пароля в домене.
Управление LDAP-провайдерами осуществляется во вкладке "Настройки LDAP-провайдеров" режима "Сервис". Вкладка содержит:
- Список настроенных LDAP-провайдеров с информацией о них:
- Имя - Наименование LDAP-провайдера;
- Синхронизация – Статус синхронизации Avanpost FAM с LDAP-провайдером:
- Active – Синхронизация включена (выполняется автоматический процесс импорта и актуализации данных пользователей из внешнего LDAP-каталога в соответствии с настройками LDAP-провайдера на стороне Avanpost FAM);
- Inactive – Синхронизация выключена;
- Количество пользователей – Количество пользователей, связанных (синхронизирующихся) с внешним LDAP-каталогом, при помощи данного LDAP-провайдера;
- Кнопка "Добавить" - Требуется нажать для добавления нового LDAP-провайдера.
Если два и более экземпляров Avanpost FAM работают с одной БД, требуется перезапуск служб на серверах при изменении настроек LDAP-провайдера. В отказоустойчивой схеме развёртывания с несколькими узлами FAM Server, подключёнными к единой базе данных, реализован механизм очереди задач для LDAP-синхронизации. Синхронизация с LDAP-каталогами выполняется только одним узлом FAM Server в каждый момент времени. Мастер-узел, выполняющий синхронизацию, выбирается автоматически. При выходе активного узла из строя задача синхронизации автоматически передаётся другому доступному узлу. Механизм поддерживает синхронизацию с несколькими LDAP-доменами (параллельная синхронизация разных доменов возможна, если конфигурация это допускает).
Добавление LDAP-провайдера
Для добавления нового LDAP-провайдера необходимо нажать кнопку "Добавить" во вкладке "Настройки LDAP-провайдеров" и последовательно заполнить данные в следующих разделах:
- Шаг 1. Основные настройки.
- Шаг 2. Настройки подключения.
- Шаг 3. Настройки интеграции.
- Шаг 4. Завершение.
| Наименование параметра | Описание параметра | Обязательность | ||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Шаг 1. Основные настройки | ||||||||||||||||||||||||||||||
| Имя | Наименование LDAP-провайдера. | Да | ||||||||||||||||||||||||||||
| Домен | Домен LDAP-провайдера (одному домену должен соответствовать один LDAP-провайдер). Следует указывать NetBIOS-имя домена. Создание нескольких LDAP-провайдеров в одном домене нежелательно. Это может привести к преждевременной блокировке учетных записей при вводе неверного пароля (при установленном чекбоксе "Разрешить проверку пароля"), т.к. будут запущены повторные запросы к различным контроллерам домена и превышено количество допустимых попыток ввода неверного пароля. | Нет | ||||||||||||||||||||||||||||
Группы по умолчанию | Группы, в которые по умолчанию добавляются пользователи, загружаемые с LDAP-провайдера. В текстовое поле требуется ввести существующие в Avanpost FAM группы. Пользователи, добавленные в группу по умолчанию, не удаляется из нее автоматически даже при включенном чекбоксе "Удалять пользователей, отсутствующих в текущей выборке". | Нет | ||||||||||||||||||||||||||||
Доменный пароль | Установить флаг в чекбокс "Создать метод аутентификации Доменный пароль":
| Нет | ||||||||||||||||||||||||||||
Наименование | Наименование автоматически создаваемого метода типа "Доменный пароль". Поле появляется при установке флага в чекбокс "Создать метод аутентификации Доменный пароль". | Нет | ||||||||||||||||||||||||||||
Шаг 2. Настройки подключения | ||||||||||||||||||||||||||||||
| Служба каталогов | Тип службы каталогов LDAP-сервера. Выбрать из выпадающего списка:
| Да | ||||||||||||||||||||||||||||
| Хост | IP-адрес хоста LDAP-сервера | Да | ||||||||||||||||||||||||||||
| Порт | Номер порта LDAP-сервера | Да | ||||||||||||||||||||||||||||
| SSL | Переключатель "Использовать защищенное соединение":
| Да | ||||||||||||||||||||||||||||
| Устанавливать TLS-соединение после успешного ответа от сервера | Данная функция устарела и находится в процессе ликвидации. Появляется при включенном переключателе "SSL". | Нет | ||||||||||||||||||||||||||||
| Версия TLS | Выбрать версию протокола TLS, если выбор версии TLS обязателен для установки соединения с сервером LDAP-провайдера (например, некоторые серверы Novell):
Настройка параметра доступна при включенном переключателе "Устанавливать TLS соединение после успешного ответа от сервера". | Нет | ||||||||||||||||||||||||||||
| BaseDN | База для поиска: корневой объект LDAP-каталога, в котором производится поиск. Можно указать несколько баз для поиска, используя точку с запятой в качестве разделителя. Формат ввода: | Да | ||||||||||||||||||||||||||||
| Имя пользователя | Техническая учетная запись администратора LDAP-провайдера. Может быть добавлен только один пользователь. Формат ввода: | Да | ||||||||||||||||||||||||||||
| Пароль | Пароль администратора. | Да | ||||||||||||||||||||||||||||
| Расписание синхронизации (Cron или Quartz) | Частота выполнения синхронизации. Формат временного интервала задается в Cron-выражении или в формате Quartz. | Да | ||||||||||||||||||||||||||||
| Управление паролями | Разрешить задавать доменные пароли:
При настройке парольной политики для LDAP-источника типа MS AD следует учитывать, что после смены пароля в течение 60 минут остается действительным старый пароль, если иное не было настроено. Настройка срока действия старого пароля производится на стороне MS AD и описана в статье Особенности парольной политики для MS AD раздела Настройка политики паролей. | Да | ||||||||||||||||||||||||||||
Шаг 3. Настройки интеграции | ||||||||||||||||||||||||||||||
| Настройки импорта пользователей | ||||||||||||||||||||||||||||||
| Фильтр поиска пользователей | Фильтр, ограничивающий зону поиска пользователей для импорта пользователя из LDAP-каталога в Avanpost FAM. Чтобы ввести несколько фильтров требуется открыть поле ввода нажатием кнопки Пример ввода фильтра: | Да | ||||||||||||||||||||||||||||
| Фильтр поиска аутентифицируемого пользователя | Фильтр, ограничивающий зону поиска по LDAP-каталогу для пользователя, который проходят аутентификацию в Avanpost FAM, но еще не импортированы из LDAP-каталога. Чтобы ввести несколько фильтров требуется открыть поле ввода нажатием кнопки Примеры ввода фильтра:
| Да | ||||||||||||||||||||||||||||
| LDAP-атрибут, содержащий логин пользователя | Наименование атрибута, содержащего логин импортируемого пользователя. Атрибут на стороне LDAP-провайдера. В случаях, когда на стороне LDAP-каталога изменились основные параметры учетной записи, включая логин (например, после изменения фамилии пользователя), а на стороне Avanpost FAM остались неактуальные данные, рекомендуется синхронизировать учетные записи при помощи дополнительного атрибута пользователя cn. | Да | ||||||||||||||||||||||||||||
| Внешний ключ учетной записи | Наименование атрибута, содержащего идентификатор безопасности (значение, используемое для идентификации) пользователя. Атрибут на стороне LDAP-провайдера. | Да | ||||||||||||||||||||||||||||
| Атрибут для связывания учетной записи из LDAP c учетной записью IDP | Наименование атрибута, по которому осуществляется идентификация и привязка данных пользователя из LDAP-провайдера к IdP Avanpost FAM. Атрибут на стороне LDAP-провайдера. | Нет | ||||||||||||||||||||||||||||
| Атрибут пользователя(или DN), перечисляемый в поле member группы LDAP | Название атрибута или DN (Distinguished Name), значения которого перечисляются в перечне участников группы (в поле member). Атрибут на стороне LDAP-провайдера. ПРи включенной синхронизации группы и выключенной синхронизации пользователей данный позволяет ранее загруженного пользователя из LDAP | Нет | ||||||||||||||||||||||||||||
| Импорт дополнительных атрибутов учетной записи | Список дополнительных атрибутов, которые импортируются из LDAP-каталога в Avanpost FAM. Если не настраивать данное поле, по умолчанию импортируются только основные атрибуты. Для добавления импортируемого атрибута следует нажать
Импорт дополнительных атрибутов из LDAP-каталога Администратор при настройке интеграции Avanpost FAM совершил ряд ошибок при заполнении граф с атрибутами и хочет понять, что произошло с импортированными атрибутами в Avanpost FAM в зависимости от введенных условий. Эффект от действий отображается в таблице.
| Нет | ||||||||||||||||||||||||||||
Настройки импорта групп | ||||||||||||||||||||||||||||||
| Синхронизировать группы | Установить/убрать флажок из чекбокса:
| Да | ||||||||||||||||||||||||||||
| Искать группу с учётом домена | Параметр используется в ситуации, когда из двух или более различных доменов импортируются группы с одинаковыми названиями. Установить/убрать флажок из чекбокса:
| Да | ||||||||||||||||||||||||||||
| Фильтр поиска групп | Фильтр, ограничивающий зону поиска групп для импорта пользователя из LDAP-каталога в Avanpost FAM. Чтобы ввести несколько фильтров, требуется открыть поле ввода нажатием кнопки | Нет | ||||||||||||||||||||||||||||
| Атрибут наименования группы | Наименование атрибута, содержащего наименование импортируемой группы. Атрибут на стороне LDAP-провайдера. | Нет | ||||||||||||||||||||||||||||
| Фильтр для поиска пользователей для привязки к группам | Фильтр предназначен для добавления/удаления из групп пользователей, по какой-либо причине отсутствующих в фильтре "Фильтр поиска групп", но при этом уже существующих в Avanpost FAM. Фильтр ускоряет привязку импортированных пользователей и групп. Чтобы ввести несколько фильтров, требуется открыть поле ввода нажатием кнопки | Нет | ||||||||||||||||||||||||||||
| Атрибут для поиска существующего пользователя | Атрибут пользователя, добавленного в Avanpost FAM. Атрибут на стороне Avanpost FAM, который связывается с атрибутом для связывания учетной записи из LDAP c учетной записью IDP на стороне LDAP-провайдера. По связанному атрибуту осуществляется поиск пользователя во внешнем LDAP-каталоге для синхронизации данных (актуализации членства в группах). Выбирается из выпадающего списка с атрибутами, настроенными для Avanpost FAM. | Нет | ||||||||||||||||||||||||||||
| Атрибут для связывания учетной записи из LDAP c учетной записью IDP | Атрибут пользователя на стороне LDAP-каталога, при помощи которого осуществляется поиск в LDAP-каталоге и синхронизация данных (актуализации членства в группах). Атрибут связывается с атрибутом для поиска существующего пользователя на стороне Avanpost FAM. | Нет | ||||||||||||||||||||||||||||
| Атрибут или DN (Distinguished Name) пользователя, по которому пользователь добавляется в список участников группы. Атрибут на стороне LDAP-провайдера. | Нет | |||||||||||||||||||||||||||||
| Атрибут описания группы | Атрибут на стороне LDAP-провайдера, содержащий описание группы. | Нет | ||||||||||||||||||||||||||||
| Атрибут со списком участников группы | Атрибут, содержащий перечень участников группы. Атрибут на стороне LDAP-провайдера. | Нет | ||||||||||||||||||||||||||||
| Шаг 4. Завершение | ||||||||||||||||||||||||||||||
| Сделать активным | Установить/убрать флажок из чекбокса:
| Да | ||||||||||||||||||||||||||||
Для перехода на следующий шаг требуется нажать "Далее", для возврата на предыдущий шаг - "Назад". Для отказа от создания LDAP-провайдера следует нажать "Отмена".
Настройка существующего LDAP-провайдера
Настройка добавленных LDAP-провайдеров осуществляется в профиле LDAP-провайдера. Переход в профиль осуществляется нажатием на название провайдера во вкладке "Настройки LDAP-провайдеров" режима "Сервис". В профиле представлены следующие возможности:
- проверить соединение (кнопка
) - проверка соединения с LDAP-провайдером, по результатам которой сообщается об успехе или выдается лог ошибки; - провести внеплановую синхронизацию (кнопка
) - запуск внеплановой синхронизации (во избежание параллельного запуска двух импортов функция доступна, когда синхронизация выключена и импорт данных не осуществляется); - включить синхронизацию (кнопка
)/выключить синхронизацию (кнопка
) - включение/выключение синхронизации с LDAP-провайдером и перевод в статус Active/Inactive;
- удалить (кнопка
) - удаление (после подтверждения) существующего LDAP-провайдера;
- изменить настройки - для редактирования параметров следует нажать
в одном из разделов:- Основное;
- Подключение;
- Интеграция.
В профиле возможна настройка параметров, часть из которых воспроизводит параметры из добавления нового LDAP-провайдера.
| Название параметра | Описание параметра |
|---|---|
| Основное | |
| Имя | Соответствуют параметрам, используемым при добавлении приложения. |
| Домен | |
| Группы по умолчанию | |
| Подключение | |
| Служба каталогов | Соответствуют параметрам, используемым при добавлении приложения. |
| Хост | |
| Порт | |
| LDAPS (SSL/TLS) | |
| Версия TLS | |
| Имя пользователя | |
| Управление паролями | |
| Смена пароля | Для смены пароля следует нажать |
| Интеграция | |
| BaseDN | Соответствуют параметрам, используемым при добавлении приложения. |
| Расписание синхронизации в формате Cron | Соответствуют параметрам, используемым при добавлении приложения. Дополнительно имеется возможность установить одно из стандартных значений: "Каждые 5 минут", "Каждый час", "Раз в день в 6 утра" (перевод в формат Cron происходит автоматически при нажатии кнопки). |
Настройки импорта пользователей | |
| Синхронизировать данные пользователей | Установить/убрать флажок из чекбокса:
|
| Вести запись в журнал безопасности | Установить/убрать флажок из чекбокса:
|
| Создавать новых пользователей | Установить/убрать флажок из чекбокса:
|
| Обновлять данные пользователя | Установить/убрать флажок из чекбокса:
При включенном флажке, если пользователь, загруженный в Avanpost FAM из внешнего LDAP-провайдера изменит свои данные в личном кабинете, то Avanpost FAM автоматически восстановит данные из LDAP-провайдера при очередной синхронизации. |
| Фильтр поиска пользователей | Соответствуют параметрам, используемым при добавлении приложения. |
| LDAP-атрибут, содержащий логин пользователя | |
| Разрешить смену логина | Установить/убрать флажок из чекбокса:
|
| Внешний ключ учетной записи | Соответствуют параметрам, используемым при добавлении приложения. |
| Атрибут для связывания учетной записи из LDAP c учетной записью IDP | |
| Атрибут пользователя(или DN), перечисляемый в поле member группы LDAP | |
| Новые пользователи должны сменить пароль | Установить/убрать флажок из чекбокса:
|
| Импорт дополнительных атрибутов учетной записи | Соответствует параметру, используемому при добавлении приложения. |
| Блокировать пользователей, отсутствующих в текущей выборке | Чекбокс для автоматического выключения учетных записей пользователей в Avanpost FAM в случае, если они больше не присутствуют в LDAP-каталоге (не обнаруживаются в соответствии с заданным фильтром синхронизации). При этом сами учётные записи не удаляются, а лишь переводятся в неактивное состояние, что позволяет сохранить их настройки и аутентификаторы для возможного последующего восстановления. Установить/убрать флажок из чекбокса:
Чекбокс не может быть включен одновременно с чекбоксом «Удалять пользователей, отсутствующих в текущей выборке». В случае синхронизации c MS AD поддерживается автоматическая блокировка пользователей, заблокированных на стороне MS AD по истечении срока действия учетной записи. Данный тип блокировки на стороне FAM осуществляется посредством импорта атрибутов accountExpires (блокировка при истечении срока действия УЗ) и lockoutTime (дата блокировки в AD, сохраняется в поле locked_at) из синхронизированного каталога. |
| Удалять пользователей, отсутствующих в текущей выборке | Установить/убрать флажок из чекбокса:
При автоматическом удалении пользователя, отсутствующего в выборке, будут также удалены аутентификаторы пользователя и все его настройки. Данную функцию следует использовать только в случае, когда требуется явное пересоздание УЗ пользователей и только при условии стабильной работы и соединения с контроллером домена. В остальных ситуациях стоит пользоваться функцией автоматического отключения пользователей (не удаления). При установленном флажке удаляются также те пользователи, отсутствующие в подключенном LDAP-каталоге, которые были добавлены администратором вручную. |
| Стратегия очистки пользователей | Выбрать из выпадающего списка:
Настройка параметра доступна только при установленном флаге в чекбоксе "Удалять пользователей, отсутствующих в текущей выборке". |
| Настройки импорта групп | |
| Синхронизировать группы | Установить/убрать флажок из чекбокса:
|
| Искать группу с учётом домена | Соответствуют параметрам, используемым при добавлении приложения. |
| Фильтр поиска групп | |
| Атрибут наименования группы | |
| Фильтр для поиска пользователей для привязки к группам | |
| Атрибут для поиска существующего пользователя | |
| Атрибут для связывания учетной записи из LDAP c учетной записью IDP | Атрибут пользователя на стороне LDAP-каталога, при помощи которого осуществляется поиск в LDAP-каталоге и синхронизация данных (актуализации членства в группах). Устанавливается в разделе настройки импорта групп при включенной синхронизации групп и выключенной синхронизации пользователей. |
| Атрибут пользователя(или DN), перечисляемый в поле member группы LDAP | Соответствуют параметрам, используемым при добавлении приложения. |
| Атрибут со списком участников группы | |
| Настройки проверки пароля | |
| Разрешить проверку пароля | Установить/убрать флажок из чекбокса:
|
| Фильтр поиска пользователя | Фильтр, ограничивающий зону поиска пользователей, для которых разрешается проверка пароля. Пример ввода фильтра: |
| Создавать пользователя в процессе аутентификации | Установить/убрать флажок из чекбокса:
|
| Обновлять данные пользователя в процессе аутентификации | Установить/убрать флажок из чекбокса:
|
| Обновлять пароль в процессе аутентификации | Установить/убрать флажок из чекбокса:
|
Установить/убрать флажок из чекбокса:
| |
UPN-суффиксы в домене | Параметр определяет доменную часть (суффикс) для идентификатора пользователя в виде UPN. Введенный суффикс автоматически добавляется к логину пользователя. |
Синонимы для аутентификации | |
Синонимы домена для аутентификации | Параметр позволяет задать дополнительные доменные имена (синонимы), которые будут эквивалентны параметру Домен, указанному в настройках провайдера. Администратор не может указать синоним с наименованием каталога, если каталог с таким наименованием уже существует. Например, администратор указывает имя домена в настройках как msk.avanpost.ru и вписывает в качестве синонимов знанения "msk" и "avanpost". В таком случае пользователь может авторизовываться по домену\логину через следующие комбинации: msk\login, avanpost\login и msk.avanpost.ru\login. |
Дополнительные настройки LDAP-провайдеров
В Avanpost FAM предусмотрена возможность использования одной учетной записи для авторизации пользователя в двух и более различных доменах. Данная функциональность используется для того, чтобы не создавать дополнительные учетные записи в Avanpost FAM, когда в нескольких внешних LDAP-каталогах пользователь зарегистрирован под одним логином, но использует различные пароли.
Чтобы включить данную функциональность следует перейти в раздел "Системные настройки" режима "Сервис". В подразделе "LDAP-источники" установить флаг в чекбоксе "Общие пользователи на несколько каталогов":
- при включенном чекбоксе пользователь, обладающий учетной записью в Avanpost FAM, может аутентифицироваться в двух и более внешних LDAP-каталогах даже если пароли в доменах отличаются;
- при выключенном чекбоксе для аутентификации во втором и последующих LDAP-каталоге, в которых для пользователя установлены различные пароли, необходимо создавать отдельные учетные записи для каждого следующего домена (в формате домен/логин).