Настройка интеграции с целевыми системами

Документация Avanpost IDM 7 : 5.1.4. Настройка интеграции с целевыми системами

Для управления учетными записями и правами пользователей в корпоративных ресурсах требуется зарегистрировать эти ресурсы в Avanpost IDM. Для этого необходимо настроить интеграцию с целевыми системами посредством создания и настройки ресурса и профилей ресурса для каждой из систем.

После интеграции целевых систем требуется выполнить загрузку данных из них в Avanpost IDM с помощью запланированного задания

Примечание:

Подробнее о запланированных заданиях см. статью "5.1.8. Настройка запланированных заданий" руководства по администрированию

Настройка интеграции с целевыми системами производится в разделе "Интеграции" → "Целевые системы" веб-интерфейса администратора Avanpost IDM.

Раздел "Целевые системы" предназначен для:

  • создания ресурса и каталога ресурсов;
  • настройки атрибутов ресурса;
  • создания и настройки профилей ресурсов;
  • настройки периодов недоступности ресурса;
  • настройки почтовых уведомлений;
  • настройки фильтра событий аудита;
  • удаления ресурса.

Рисунок – Раздел "Целевые системы"

 Навигатор по разделу:

1. Ресурсы

Ресурс в Avanpost IDM описывает подключение к информационной системе, управляемой IDM. Ресурс – это пространство имён УЗ. В ресурсе не могут существовать УЗ с одинаковыми именами.
Правила создания учётных данных определяются на уровне ресурса. Включение ресурса в роль означает требование создания УЗ в соответствующей информационной системе для пользователей с данной ролью.

1.1. Создание ресурсов

Для создания нового ресурса необходимо: 

  1. В разделе "Целевые системы" веб-интерфейса администратора Avanpost IDM нажать и выбрать "Ресурс" из списка.
  2. В открывшейся форме указать произвольное название ресурса.
  3. Нажать .

Рисунок – Создание ресурса

1.2. Настройка ресурсов

После создания ресурса необходимо задать его атрибуты, свойства и прочие настройки. Для этого необходимо нажать на требуемый ресурс в списке. Откроется форма с настройками ресурса.

1.2.1. Вкладка "Атрибуты ресурса"

На вкладке "Атрибуты ресурса" требуется указать следующие атрибуты:

АтрибутЗначение
КаталогКаталог в иерархии, в котором находится ресурс. Для смены каталога выбрать из выпадающего списка требуемый каталог. (Подробнее про каталоги см. раздел "3. Каталоги")
НазваниеПроизвольное название ресурса
Библиотека коннекторовВыбрать из выпадающего списка библиотеку коннекторов для подключаемого ресурса.
(Подробнее про коннекторы см. статью "5.1.5. Настройка сервисов коннекторов")
Строка подключения

Указать данные для подключения к ресурсу (путь, параметры и т. д.). Например, "url=http://localhost:801/1C_base_2/ws/idm7.1cws;user=idm;password=Avanp0st".

Текстовое поле с параметрами подключения в формате ИмяПараметра=Значение, разделённых одинарной точкой с запятой. В каждой такой паре:

  • Именем параметра считается часть строки до первого знака равно или до конца строки, без пробелов по концам;

  • Имя параметра не может содержать "=";

  • Пробелы по концам имени игнорируются (например, запрос подсказок происходит по имени без пробелов);

  • Значение начинается после знака равно продолжается до одинарной точки запятой или до конца строки;

  • Пробелы по концам также часть значения (тем не менее коннектор может их игнорировать).

Если значение содержит точку с запятой, перед ней нужно поставить ещё одну точку с запятой, чтобы она не считалась разделителем.

Закрытая часть строки подключения является необязательной. Она не отображается в интерфейсе - значение задаётся вслепую. Когда задана, является продолжением открытой строки подключения.

Для изменения строки подключения необходимо:

  1. Нажать .
  2. В открывшемся окне изменить значения параметров.
  3. Для добавления параметров требуется нажать и выбрать "Свободный параметр", затем указать имя и значение параметра в добавившейся строке.
  4. Для удаления параметра требуется нажать в строке параметра.
  5. Нажать . (Для сброса внесенных изменений нажать )

Для изменения закрытой части строки подключения необходимо:

  1. Нажать в карточке кадрового источника.
  2. В открывшемся окне изменить значения параметров.
  3. Для добавления параметров требуется нажать и выбрать "Свободный параметр", затем указать имя и значение параметра в добавившейся строке.
  4. Для удаления параметра требуется нажать в строке параметра.
  5. Для сохранения изменений нажать. (Для сброса внесенных изменений нажать )
Использовать VaultОтметить чекбокс для настройки работы защищенного хранилища секретов "Vault". В таком случае Avanpost IDM будет получать данные авторизации для управляемой системы из защищенного хранилища
Vault URI 

Идентификатор хранилища. По данному URI Avanpost IDM будет запрашивать данные для авторизации. При обращении к нему Avanpost IDM с помощью сертификата установленного в Vault получает токен.
Можно указать более одного экземпляра хранилища, разделяя их символом ";".

Атрибут активен и требует заполнения только в случае отмеченного чекбокса "Использовать Vault"

Vault Script

Выбрать необходимый скрипт строковой операции из списка. Данный скрипт должен запрашивать в Vault данные для авторизации в управляемой системе с помощью полученного от Vault токена, и возвращать эти данные для добавления к строке подключения.

Атрибут активен и требует заполнения только в случае отмеченного чекбокса "Использовать Vault"

Ресурс включенОтметить чекбокс для активации ресурса в системе
Число потоков синхронизацииУказать число потоков синхронизации ресурса с Avanpost IDM
Использовать ограничение потоков синхронизации для операций чтенияОтметить чекбокс для использования ограничения потоков синхронизации для операций чтения
Использовать как источник почтовых адресовОтметить чекбокс, если ресурс является источником почтовых адресов
Применение изменений прав к ресурсуВыбрать из выпадающего списка "Все назначаемые ролью" или "Только недостающие"

После внесения всех изменений требуется нажать .


Рисунок – Настройка ресурса, Вкладка "Атрибуты ресурса"

1.2.2. Вкладка "Свойства"

На вкладке "Свойства" можно указать значения свойств, которые заданы для типа объектов "Ресурс" в Системе.
Для изменения значений свойств необходимо нажать на напротив нужного свойства, изменить значение в поле и нажать. (Для отмены изменения нажать )

Так же здесь при необходимости можно задать подтип ресурса, нажав , выбрав нужный подтип из выпадающего списка и нажав. В таком случае свойства ресурса на этой вкладке будут заменены свойствами выбранного подтипа.

Примечание:

Свойства и подтипы объектов создаются и настраиваются в разделе "Типы объектов" → "Объекты" веб-интерфейса администратора Системы. (См. статью "5.1.7. Настройка типов объектов и юнитов" руководства по администрированию)


Рисунок – Настройка ресурса, Вкладка "Свойства"

1.2.3. Вкладка "Права"

После синхронизации с данной управляемой системой на вкладке "Права" будет доступен для настройки список глобальных и объектных прав для данной системы, которыми будет управлять Avanpost IDM.

Объектные права доступа — это права доступа разных уровней (например, чтение, запись, выполнение, удаление и др.) к конкретным объектам целевой системы, имеющим свои уникальные идентификаторы и атрибуты, которые определяют их свойства и характеристики.
Глобальные права доступа — это настроенные в рамках ресурса права. (Например, группы безопасности в MS Active Directory)
Оба вида прав загружаются в Avanpost IDM в результате синхронизации с целевой системой. (См. статью "5.1.8. Настройка запланированных заданий")

1.2.3.1. Добавление глобальных прав доступа

Для добавления глобальных прав необходимо:

  1. Нажать и выбрать "Глобальное право".
  2. Выбрать в открывшемся списке требуемые права. При необходимости указать дополнительные параметры прав. (Например, подразделения и организации) Доступен поиск по списку с помощью поля "Начните ввод названия права".
  3. Нажать .


Рисунок – Добавление глобальных прав

1.2.3.2. Добавление объектных прав доступа

Для добавления объектных прав необходимо:

  1. Нажать и выбрать "Объектное право".
  2. Указать Object URI в открывшейся форме и нажать .
  3. Выбрать в загрузившемся списке требуемые права.
  4. Нажать .


Рисунок – Добавление объектных прав

1.2.3.2. Редактирование прав доступа

Для изменения права доступа необходимо:

  1. Нажать на требуемое право в списке. (Доступен поиск по списку прав с помощью поля "Фильтр по имени".)
  2. Изменить значения в открывшейся форме.
    ПолеЗначение
    НазваниеНазвание права
    ОписаниеПроизвольное описание
    Risk pointsЧисло очков риска. Чем более высокие привилегии предоставляются правом, тем больше следует указать очков риска для данного права
  3. Нажать .


Рисунок – Редактирование прав

1.2.3.3. Удаление прав доступа

Для удаления права доступа необходимо нажать → "Удалить" в строке этого права и подтвердить удаление во всплывающем окне (Рисунок 12). (Доступен поиск по списку прав с помощью поля "Фильтр по имени".)


Рисунок 12 – Удаление прав

1.2.4. Вкладка "Периоды недоступности"

На вкладке "Периоды недоступности" можно задать периоды, когда ресурс недоступен. Во время таких периодов приостанавливаются все запросы к целевой системе. При попытке запроса Avanpost IDM будет выдавать сообщение о недоступности целевой системы.

В эти периоды:

  • Назначение и отзыв ролей пропускают недоступный ресурс и происходят без создания учётных записей или изменения прав, регистрируя это событие как ошибку ресурса - изменения будут продолжены после окончания периода без участия администратора;

  • Блокировка/разблокировка учётных записей по кадровым событиям откладывается до окончания периода и продолжается без участия администратора;

  • Не выполняется аудит и исправление ошибок в ресурсе;

  • Не выполняются задачи отложенной блокировки/разблокировки;

  • Не выполняется сброс паролей по расписанию;

  • Не выполняется поиск незарегистрированных учётных записей.

Остальные обращения к ресурсу, например, по команде администратора (блокировка учётных записей, сброс паролей и т.п.), запросы необходимые для обслуживания зависимостей между ресурсами и другие не запрещаются.

Предполагается, что запрет обусловлен только особенностями ресурса, из-за которых в заранее известные моменты времени (например, во время обслуживания) запросы со стороны idm нарушают функционирование ресурса. Запрет служит только для защиты ресурса, idm в любом случае не создаёт пиковой нагрузки на ресурс и устойчив к ошибкам подключения к ресурсу.

Примечание:

Период недоступности не является средством управления нагрузкой на ресурс со стороны idm и при возникновении проблем с производительностью ресурса может использоваться только для исключения запросов со стороны idm в часы пиковой нагрузки на ресурс

1.2.4.1. Добавление периода недоступности

Для добавления периода необходимо:

  1. Нажать и выбрать "Еженедельный" или "По датам".
  2. Задать время начала и окончания периода в открывшемся окне. 
  3. Нажать .


Рисунок – Добавление периода недоступности

1.2.4.2. Удаление периода недоступности

Для удаления периода необходимо нажать в строке данного периода и подтвердить удаление во всплывающем окне.


Рисунок – Удаление периода недоступности

1.2.5. Вкладка "Подписчики"

На вкладке "Подписчики" можно задать пользователей, которые будут получать уведомления по событиям по данному ресурсу.

Подписчики ресурса получают письма на электронную почту о событиях учёных записей, которые обычно отправляются владельцам учётных записей:

  • Создание учётной записи и изменение пароля (с самим паролем в письме);

  • Сброс пароля;

  • Блокировка, разблокировка учётной записи.

1.2.5.1. Добавление подписчиков на ресурс

Для добавления подписчиков необходимо:

  1. Нажать .
  2. В открывшемся списке отметить чекбоксы в строках нужных пользователей (для поиска по списку пользователей можно использовать фильтр).
  3. Нажать .


Рисунок – Добавление подписчиков

1.2.5.2. Удаление подписчиков на ресурс

Для удаления подписчика необходимо нажать в строке подписчика в списке.


Рисунок 16 – Удаление подписчиков

1.2.6. Вкладка "Фильтр событий аудита"

На вкладке "Фильтр событий аудита" можно задать скрипты обработки расхождений при аудите прав для юнитов и для сотрудников. Фильтр позволяет отсеивать и/или дополнительно обрабатывать сторонние изменения учётных записей, обнаруженные при аудите, сразу после обнаружения до отправки уведомлений и сохранения в журнале аудита. Главным образом для автоматического пропуска несущественных с точки зрения нарушения доступа прав, когда таких событий много.
Для этого необходимо:

  1. Нажать скрипт юнита или сотрудника.
  2. В открывшемся окне написать скрипт.
  3. Нажать .


Рисунок – Скрипт фильтра событий аудита

1.2.7. Вкладка "Учетные записи"

На вкладке "Учетные записи" представлен список УЗ данного ресурса и доступен следующий функционал:

  • Задание пароля для УЗ;
  • Блокировка и разблокировка УЗ;
  • Выключение и включение УЗ;
  • Удаление УЗ.

Внимание:

Учетные записи необходимо загрузить из целевой системы в Avanpost IDM с помощью запланированного задания. (См. статью "5.1.8. Настройка запланированных заданий" руководства по администрированию.)

Для поиска УЗ в списке можно использовать фильтр.


Рисунок – Вкладка "Учетные записи". Фильтр

1.2.7.1. Задание пароля для УЗ

Для установки нового пароля учетной записи необходимо:

  1. В строке нужной УЗ в списке нажать →"Задать пароль".
  2. В открывшемся окне указать новый пароль или нажать .
  3. Нажать .


Рисунок – Задание пароля для УЗ

1.2.7.2. Блокировка УЗ

Для блокировки учетной записи необходимо: 

  1. В строке нужной УЗ в списке нажать →"Заблокировать".
  2. В открывшейся форме указать причину блокировки (можно выбрать одну из указанных ранее причин из выпадающего списка).
  3. Если требуется, указать дату и время, на которое откладывается блокировка. В Системе будет создана задача на блокировку УЗ в указанное время.
  4. Нажать .


Рисунок – Блокировка УЗ

1.2.7.3. Разблокировка УЗ

Для разблокировки учетной записи необходимо: 

  1. В строке нужной УЗ в списке нажать →"Разблокировать".
  2. В открывшейся форме указать причину разблокировки (можно выбрать одну из указанных ранее причин из выпадающего списка).
  3. Если требуется, указать дату и время, на которое откладывается разблокировка. В Системе будет создана задача на разблокировку УЗ в указанное время.
  4. Нажать .


Рисунок – Разблокировка УЗ

1.2.7.4. Выключение УЗ

Для выключения учетной записи необходимо: 

  1. В строке нужной УЗ в списке нажать →"Выключить".
  2. В открывшейся форме указать причину выключения УЗ.
  3. Нажать .


Рисунок – Выключение УЗ

1.2.7.5. Удаление УЗ

Для удаления учетной записи необходимо в строке нужной УЗ в списке нажать →"Удалить" и подтвердить удаление во всплывающем окне.
Учетная запись будет удалена из Avanpost IDM, но останется в целевой системе.


Рисунок – Удаление УЗ

1.2.8. Карточка учетной записи

Для просмотра подробной информации об учетной записи необходимо во вкладке "Учетные записи"  в строке нужной УЗ в списке нажать →"Подробнее". Откроется карточка УЗ.

1.2.8.1. Вкладка "Основное" карточки учетной записи

На вкладке "Основное" представлены основные атрибуты учетной записи.


 Рисунок – Карточка УЗ, вкладка "Основное"

На вкладке доступен функционал:

  1. Изменение имени учетной записи. Для этого необходимо:
    1. Нажать рядом с именем УЗ.
    2. Указать новое имя УЗ в открывшейся форме.
    3. Нажать .
  2. Разрешение или запрет восстановления пароля для УЗ с помощью чекбокса "Разрешено восстановление пароля".
  3. С помощью кнопки можно запустить выполнение скриптов формирующих значения свойств УЗ из данных из целевой системы.
    Данные скрипты задаются в профиле УЗ для ресурса. (Подробнее см. раздел: "2. Профили учетных записей для ресурса").

1.2.8.2. Вкладка "Роли" карточки учетной записи

На вкладке "Роли" представлен список ролей данной УЗ.

 
Рисунок – Карточка УЗ, вкладка "Роли"

При нажатии на роль в списке в новой вкладке браузера откроется карточка данной роли в веб-интерфейсе пользователя Avanpost IDM.

Подробнее о работе с ролями см. статью "5.2.5. Роли" руководства пользователя.

1.2.8.3. Вкладка "Права в ресурсе" карточки учетной записи

На вкладке "Права в ресурсе" представлен список прав данной УЗ. Здесь можно отследить, какие роли предоставили права учетной записи. 
Для просмотра подробной информации о праве требуется нажать рядом с нужным правом.


Рисунок – Карточка УЗ, вкладка "Права в ресурсе"

1.2.8.4. Вкладка "Свойства в ресурсе" карточки учетной записи

На вкладке "Свойства в ресурсе" представлен список свойств учетной записи и их значений. Данные свойства описываются в профиле ресурса. (Подробнее см. раздел: "2. Профили учетных записей для ресурса").


Рисунок – Карточка УЗ, вкладка "Свойства в ресурсе"

1.2.8.5. Вкладка "Свободные права" карточки учетной записи

На вкладке "Свободные права" представлен список дополнительных прав УЗ, которые не наследуются от ролей. Здесь можно добавить и удалить глобальные и объектные права для УЗ.
Для просмотра подробной информации о праве требуется нажать в строке с нужным правом.


Рисунок – Карточка УЗ, вкладка "Свободные права"

1.2.8.5.1. Добавление глобальных прав доступа для УЗ

Для добавления глобальных прав для УЗ необходимо:

  1. Нажать и выбрать "Глобальное право".
  2. Выбрать в открывшемся списке требуемые права. При необходимости указать дополнительные параметры прав. (Например, подразделения и организации) Доступен поиск по списку с помощью поля "Начните ввод названия права".
  3. Нажать .


Рисунок – Добавление глобальных прав

1.2.8.5.2. Добавление объектных прав доступа для УЗ

Для добавления объектных прав для УЗ необходимо:

  1. Нажать и выбрать "Объектное право".
  2. Указать Object URI и нажать .
  3. Выбрать в загрузившемся списке требуемые права.
  4. Нажать .


Рисунок – Добавление объектных прав

1.2.8.5.3. Удаление прав доступа УЗ

Для удаления права доступа УЗ необходимо нажать в строке этого права в списке. 


Рисунок – Удаление прав

1.2.8.6. Вкладка "Свойства" карточки учетной записи

На вкладке "Свойства" представлены дополнительные свойства УЗ, которые заданы для типа объектов "Учетная запись" в Системе. (См. раздел "5.1.7. Настройка типов объектов и юнитов" руководства по администрированию)
Данные свойства доступны для редактирования. Для этого необходимо нажать  напротив нужного свойства, изменить значение в поле и нажать.


Рисунок – Карточка УЗ, вкладка "Свойства"

1.3. Удаление ресурса

Для удаления ресурса необходимо в строке выбранного ресурса в иерархии нажать и выбрать "Удалить". Затем подтвердить удаление во всплывающем окне.


Рисунок – Удаление ресурса

2. Профили ресурсов

Профиль ресурса – это набор значений атрибутов, определяющих УЗ пользователя в Системе Avanpost IDM. Профили ресурса делят учётные записи на группы с общими правилами формирования имён, парольными политиками, шаблонами свойств и т.п.

В Системе предусмотрено создание двух типов профилей УЗ:

  • Общий профиль;
  • Необщий профиль (в Системе "Профиль").

Общий профиль не зависит от определенного ресурса и может быть добавлен к любому из существующих ресурсов после его формирования и настройки.
Создание общего профиля необходимо для централизованного управления множеством ресурсов. Изменения в общем профиле будут применены сразу для всех ресурсов, к которым он был добавлен.

Необщий профиль создается и настраивается в привязке к определенному ресурсу.
Одному ресурсу может быть присвоено несколько разных профилей. Например, профиль для пользовательских УЗ и профиль для технических УЗ.

2.1. Создание и настройка профиля ресурсов

2.1.1. Создание общего профиля ресурсов

Для создания общего профиля необходимо:

  1. Перейти в раздел "Интеграции" → "Целевые системы"  в веб-интерфейсе администратора Системы.
  2. Нажать и выбрать из списка "Общий профиль".
  3. Заполнить атрибуты профиля в открывшейся форме (Таблица).
  4. Нажать .
  5. Нажать на профиль в иерархии ресурсов.
  6. Настроить профиль на вкладке "Шаблон учетных записей".

2.1.2. Создание необщего профиля ресурсов

Для создания необщего профиля необходимо:

  1. Перейти в раздел "Интеграции"→"Целевые системы"  в веб-интерфейсе администратора Системы.
  2. Нажать  в строке ресурса, в котором требуется создать профиль, и выбрать из открывшегося списка "Добавить профиль".
  3. Заполнить атрибуты профиля в открывшейся форме (Таблица).
  4. Нажать .
  5. Нажать на профиль в иерархии ресурсов.
  6. Настроить профиль на вкладках:
    1. "Шаблон учетных записей";
    2. "Зависимости учетных записей".

Таблица - Атрибуты профиля.

АтрибутЗначение
1НазваниеУказать произвольное название профиля
2Профиль-источник учётных данных

Заполнять, только если в поле "Источник имен учетных записей" выбран вариант "Другой профиль"

Выбрать из списка уже созданных профилей источник учётных данных пользователей.

3Чекбокс "Синхронизировать пароли с источником учётных данных"Включает синхронизацию паролей с источником учётных данных
4Чекбокс "При создании учётных записей генерировать пароль"Включает генерацию первоначального пароля при создании УЗ пользователя в ресурсе
5Чекбокс "Разрешить неуникальность учетных записей по владельцу"Разрешает одному пользователю иметь более одной УЗ в ресурсе
6Чекбокс "Разрешить восстановление пароля"Разрешает восстановление пароля для УЗ в ресурсе
7Источник имен учетных записей

Выбрать из списка источник имен учетных записей:

  • Скрипт – для указания скрипта генерации имен учетных записей.

  • Другой профиль – для выбора другого профиля в качестве источника имен учетных записей.

Возможен вариант создания новых учетных записей только вручную. В таком случае необходимо задать скрипт возвращающий ошибку на запрос генерации имени УЗ

8Сценарий генерации имён учётных записей

Данное поле доступно, только если в поле "Источник имен учетных записей" выбран вариант "Скрипт"

Задать сценарий генерации имен учетных записей на Python.

Кнопка открывает окно редактирования скрипта.

При разработке скрипта:

 – для генерации логина сотрудника использовать параметры, описанные в Приложении C. Сценарий генерации логина сотрудника;

 – для генерации логина юнита использовать параметры, описанные в Приложении D. Сценарий генерации логина юнита.

Примечание:

Подробнее о юнитах см. статью "5.1.7. Настройка типов объектов и юнитов" руководства по администрированию

После указания скрипта нажать и выбрать подходящий вариант в зависимости от того, кто будет владельцами учетных записей данного профиля:

  • "Проверить на сотруднике"
  • "Проверить на юните"

Например, владельцами пользовательских УЗ обычно являются сотрудники, а владельцами технических УЗ могут быть юниты, такие как рабочие группы.

После выбора одного из вариантов откроется окно со списком сотрудников или юнитов. Требуется выбрать объект в списке и нажать .
Во всплывающем окне будет указан результат отладочного запуска. В данном случае сгенерированное имя учетной записи

9Чекбокс «Отклонять возвращаемые имена для уже существующих учётных записей»

Данное поле доступно, только если в поле "Источник имен учетных записей" выбран вариант "Скрипт"

При отмеченном чекбоксе отклоняются возвращаемые скриптом имена УЗ, незарегистрированные в IDM, но существующие в ресурсе

Примечание: По умолчанию существование или отсутствие УЗ в ресурсе не влияет на процесс назначения ролей

10Способ разрешения конфликтов

Данное поле доступно, только если в поле "Источник имен учетных записей" выбран вариант "Скрипт"

Выбрать из списка способ разрешения конфликтов при генерации имён УЗ:

  • Автоматический – по умолчанию к полученному имени прибавляется суффикс "_n" (n ϵ N), и используется первое незанятое имя (сценарий вызывается один раз и не участвует в разрешении конфликта).
  • Повторное выполнение – сценарий берёт на себя разрешение конфликтов, т.е. повторный вызов сценария должен вернуть следующий вариант имени

Примечание: Номер попытки сохраняется в переменной Iteration, нумерация с 0

 Парольные политики
11Минимальная длина пароляУказать число минимального количества символов в пароле для УЗ в ресурсе
12Чекбокс «Применять политики в отношении истечения и смены пароля»

Отметить чекбокс при необходимости применения парольных политик в отношении истечения времени действия и смены пароля.
При отмеченном чекбоксе станут доступны числовые поля для настройки параметров:

  • Минимальное время действия пароля (в днях);
  • Максимальное время действия пароля (в днях); 
  • Минимальное количество изменяемых символов; 
  • Длина истории пароля
13Настройка символов пароля

Для настройки требований к символам в паролях УЗ в ресурсе выбрать для каждого типа символов один из вариантов в выпадающем списке:

  • Не разрешен;
  • Разрешен;
  • Обязательный.

Если тип символов установлен как обязательный, то в числовом поле справа требуется задать минимальное необходимое количество символов этого типа в паролях УЗ в ресурсе

2.1.3. Вкладка профиля "Шаблон учетных записей" 

На вкладке "Шаблон учётных записей" производится настройка шаблонов свойств УЗ пользователей.
Шаблон позволяет заполнять свойства учетных записей в ресурсе, данными из кадровой системы, и обновлять эти значения при изменении кадровых данных.

Для настройки доступны свойства импортированные из целевой системы (их описывает коннектор) и произвольные свойства.

Подробнее о коннекторах см. статью "5.1.6. Настройка сервисов коннекторов" руководства по администрированию.

Произвольное свойство – параметр, не включенный в доступный набор атрибутов, используемых для хранения информации об учетной записи.
Для общих профилей доступны только произвольные свойства.

2.1.3.1. Добавление свойств в шаблон и их настройка

Для добавления свойства в шаблон необходимо выбрать свойство из выпадающего списка в верхней части вкладки. 

Эти свойства зависят от выбранного источника учетных записей.

Рисунок – Добавление свойства в шаблон

Для добавления произвольного свойства в шаблон необходимо нажать , указать название свойства и нажать .


Рисунок – Добавление произвольного свойства в шаблон

Значения этих свойств в шаблоне задаются с помощью скриптов. Для этого необходимо:

  1. Нажать в строке свойства в списке.
  2. В открывшемся окне написать скрипт для этого свойства.

    В скрипте на определение свойств учетных записей сотрудника использовать параметры, описанные в Приложении А. Сценарий генерации учетной записи сотрудника;
    В скрипте на определение свойств учетных записей юнита использовать параметры, описанные в Приложении B. Сценарий генерации учетной записи юнита.

    Примечание:

    Подробнее о юнитах см. статью "5.1.7. Настройка типов объектов и юнитов" руководства по администрированию

  3. Нажать .

Отмеченный чекбокс «Идентифицирует сотрудника» (1) означает, что значение этого свойства однозначно идентифицирует владельца учётной записи. Например, табельный номер. Несколько свойств образуют составной идентификатор, например (ФИО, дата_рождения).

Отмеченный чекбокс «Неизменяемое» (2) — значение свойства не может быть изменено после создания учётной записи.
Изменяемые значения свойств профиля УЗ (непомеченные как неизменяемые) обновляются по кадровым событиям изменения информации о сотруднике: как при редактировании данных карточки сотрудника вручную, так и при кадровой синхронизации.

Подробнее о синхронизации см. статью "5.1.8. Настройка запланированных заданий" руководства по администрированию

В поле "Зависимость от расширенных свойств" можно указать свойства, значения которых будут указаны в качестве значения данного свойства. Это могут быть свойства ресурса, связанной с профилем ресурса роли, или сотрудника.

Рисунок – Шаблон учетных записей

2.1.3.2. Проверка настроенных в шаблоне свойств 

После настройки всех свойств можно проверить их работу на сотруднике или юните. Для этого необходимо:

  1. Нажать и выбрать "Проверить на сотруднике" или "Проверить на юните".
  2. Выбрать в открывшемся окне сотрудника или юнит.
  3. Нажать .

Во всплывающем окне будет указан результат отладочного запуска. В данном случае список всех заданных свойств и их значений для выбранного пользователя или юнита.

2.1.4. Вкладка профиля "Зависимости учетных записей" 

На вкладке "Зависимости учетных записей" производится настройка зависимых свойств учётных записей. Эта настройка доступна только для необщих профилей.

Зависимости определяют, как передаются значения свойств между УЗ разных профилей. То есть на этой вкладке можно задать в качестве значений свойств профиля значения свойств из другого профиля.
При генерации учетной записи в ресурсе зависимые значения свойств вычисляются на основании этих настроек. Зависимая УЗ не может быть создана без главной.

Отслеживание изменений генерируемых свойств не выполняется. Связь генерируемых свойств учётной записи с именем учётной записи или с обычными свойствами также не подразумевается. В частности, обновление свойств учётной записи по кадровым событиям не ведёт к обновлению свойств зависящих от неё учётных записей. Перевычисление зависящих от другого профиля свойств учётных записей выполняется при аудите, если текущее состояние роли получено с ошибками, либо выполняется вручную через планировщик (задача "Перевычисление свойств учётных записей, зависящих от указанного профиля").

Подробнее о планировщике см. статью "5.1.9. Настройка запланированных заданий" руководства по администрированию

2.1.4.1. Добавление зависимых свойств и их настройка

Для добавления зависимого свойства необходимо:

  1. Выбрать из выпадающего списка в верхней части вкладки одно из свойств, заданных на вкладке "Шаблон учетных записей".
  2. Выбрать из выпадающего списка в строке добавленного зависимого свойства профиль-источник и свойство-источник.
  3. Отметить чекбокс "Обязательное" при необходимости.
    Если зависимость по свойствам является обязательной, то она определяет порядок создания УЗ (свойства задаются при создании) и не допускает кольцевых зависимостей.
    Необязательные зависимые свойства не влияют на порядок создания УЗ, задаются после создания главной или зависимой УЗ.


Рисунок – Настройка зависимого свойства

2.2. Добавление общего профиля в ресурс

Для добавления созданного общего профиля в ресурс необходимо:

  1. Перейти в раздел "Целевые системы" режима "Интеграции" в веб-интерфейсе администратора Системы.
  2. В строке нужного ресурса в иерархии нажать и выбрать "Добавить общий профиль".
  3. В открывшейся справа форме выбрать общий профиль из списка и нажать .


Рисунок – Добавление общего профиля в ресурс

2.3. Удаление профиля ресурсов

Для удаления профиля необходимо нажать в строке нужного профиля в иерархии и выбрать "Удалить". Затем подтвердить удаление во всплывающем окне.


Рисунок – Удаление профиля

При удалении общего профиля из ресурса данный профиль будет удален только из выбранного ресурса.
Чтобы полностью удалить общий профиль, требуется удалить его из каталога "Общие профили" в иерархии. Система не даст удалить общий профиль полностью, пока он применен хотя бы к одному ресурсу.

3. Каталоги

Созданные ресурсы можно распределить по каталогам, чтобы создать иерархию и настроить доступы организаций к ресурсам.

3.1. Создание каталога

Для создания каталога в корне иерархии необходимо:

  1. Перейти в раздел "Интеграции" → "Целевые системы"  в веб-интерфейсе администратора Системы.
  2. Нажать и выбрать из списка "Каталог".
  3. Указать название каталога в открывшейся форме.
  4. Нажать .


Рисунок – Создание каталога

Для создания каталога в другом каталоге необходимо:

  1. Перейти в раздел "Интеграции" → "Целевые системы"  в веб-интерфейсе администратора Системы.
  2. Нажать в строке требуемого родительского каталога в иерархии и выбрать из списка "Добавить каталог".
  3. Указать название каталога в открывшейся форме.
  4. Нажать .

3.2. Настройка каталога

Для изменения каталога и настройки доступа организаций к каталогу необходимо нажать на каталог в иерархии в разделе "Интеграции" → "Целевые системы" веб-интерфейса администратора Системы. Откроется форма настройки каталога.

3.2.1. Вкладка "Информация" формы настройки каталога

3.2.1.1. Изменение каталога

На вкладке "Информация" доступно: 

  1. Перемещение каталога в иерархии, с помощью выбора нового родительского каталога из выпадающего списка.
  2. Изменение названия каталога.

После внесения изменений требуется нажать .


Рисунок – Вкладка "Информация"

3.3. Удаление каталога

Для удаления каталога необходимо:

  1. Перейти в раздел "Интеграции" → "Целевые системы"  в веб-интерфейсе администратора Системы.
  2. Нажать в строке требуемого каталога в иерархии и выбрать из списка "Удалить".
  3. Подтвердить удаление во всплывающем окне.

Внимание: Удалить можно только пустой каталог. Если в каталоге присутствует хотя бы один ресурс, система выдаст ошибку "Ресурс уже существует"


Обсуждение