LDAP

Навигатор по разделу:

1. Общие сведения

Кадровый коннектор Avanpost IDM к LDAP системам по запросу модуля синхронизации с доверенным источником данных позволяет получить список должностей, иерархическую структуру организаций и подразделений, список сотрудников: 

  • Список организаций с атрибутами;
  • Список подразделений с атрибутами;
  • Список должностей с атрибутами;
  • Список сотрудников с атрибутами;
  • Конкретное подразделение с его атрибутами по его уникальному идентификатору;
  • Конкретного сотрудника с его атрибутами по его уникальному идентификатору.

Кадровый коннектор Avanpost IDM к LDAP считывает подразделения как объекты класса "organizationalUnit", сотрудников — как объекты класса "person", должности — как объекты класса "person". Коннектор считывает должности из свойств сотрудника и удаляет дублирующиеся значения.

2. Настройка интеграции

Для настройки интеграции необходимо выполнить шаги:

Шаг 2.1. Поместить библиотеку коннектора "Ldap.HrConnector.dll" на сервер Avanpost IDM в директорию "/opt/avanpost/connectors" или на удаленный сервис коннекторов.

Примечание:

Подробнее о настройке удаленного сервиса коннекторов см. статью "5.4. Установка и настройка удаленного сервиса коннекторов Avanpost IDM" руководства по установке.

Шаг 2.2. Настроить конфигурационный файл коннектора "Config.json".

Для настройки конфигурации коннектора требуется:

  1. Создать файл "Config.json" в произвольной директории на сервере Avanpost IDM или на удаленном сервисе коннекторов.
  2. Указать в файле значения параметров конфигурации коннектора в соответствии с примером:
    Config.json
    {
"Domains": [
    {
      "id": 1,
      "host": "10.10.10.10",
      "userName": "cn=admin,dc=oldap,dc=company,dc=ru",
      "password": "user_password",
      "useSSL": false,
      "annonymousAuthentication": false,
      "roots": [
        "dc=oldap,dc=company,dc=ru"
      ]
    }
  ],
  "MappedDivision": {
    "Properties": [
      {
        "Name": "Id",
        "LDAPAttribute": "uid"
      },
      {
        "Name": "Name",
        "LDAPAttribute": "ou"
      }
    ]
  },

  "MappedPosition": {
    "Properties": [
      {
        "Name": "Name",
        "LDAPAttribute": "title"
      }
    ]
  },

  "MappedEmployee": {
    "Properties": [
      {
        "Name": "Id",
        "LDAPAttribute": "entryUUID"
      },
      {
        "Name": "LastName",
        "LDAPAttribute": "sn"
      },
      {
        "Name": "FirstName",
        "LDAPAttribute": "givenName"
      },
      {
        "Name": "PersonnelNumber",
        "LDAPAttribute": "uidNumber"
      },
      {
        "Name": "Status",
        "LDAPAttribute": "description"
      },
      {
        "Name": "EmailAddress",
        "LDAPAttribute": "mail"
      }
    ],
    "AdditionalProperties": [
      {
        "Name": "Login",
        "ADAttribute": "sAMAccountName"
      },
      {
        "Name": "mobile",
        "LDAPAttribute": "mobile"
      }
    ]
  }
}

2.2.1. Описание параметров файла конфигурации

ПараметрОписание
Domains

Список доменов, которые будут использоваться для кадровой синхронизации. Каждый домен содержит параметры:

ПараметрОписание
idИдентификатор домена
hostАдрес хоста, на котором расположена LDAP система
userNameИмя пользователя для подключения
passwordПароль пользователя для подключения
useSSLЛогический параметр. При значении "true" будет использоваться SSL при подключении
annonymousAuthenticationЛогический параметр. При значении "true" будет использоваться анонимное подключение
rootsСписок DN (distinguishedName) корневых папок, откуда будут загружаться данные
MappedDivisionАтрибуты, которые будут загружаться коннектором, для подразделений. Содержит параметры:
ПараметрОписание
PropertiesСписок основных свойств. Каждое свойство содержит параметры, описанные в разделе 2.2.1.1.
AdditionalPropertiesСписок дополнительных свойств. Каждое свойство содержит параметры, описанные в разделе 2.2.1.1.
MappedPositionАтрибуты, которые будут загружаться коннектором, для должностей. Содержит параметры:
ПараметрОписание
PropertiesСписок основных свойств. Каждое свойство содержит параметры, описанные в разделе 2.2.1.1.
MappedEmployeeАтрибуты, которые будут загружаться коннектором, для сотрудников. Содержит параметры:
ПараметрОписание
PropertiesСписок основных свойств. Каждое свойство содержит параметры, описанные в разделе 2.2.1.1.
AdditionalPropertiesСписок дополнительных свойств. Каждое свойство содержит параметры, описанные в разделе 2.2.1.1.

2.2.1.1. Описание параметров свойств

ПараметрОписание
NameИмя свойства
LDAPAttributeНазвание атрибута из LDAP
TypeТип атрибута LDAP. Поддерживаемые значения: "String", "Guid". По умолчанию "String"

Шаг 2.3. Добавить новый источник кадровых событий в Avanpost IDM.

Для добавления нового источника кадровых событий требуется: 

  1. Нажать кнопку  в разделе "Интеграции"→"Кадровые системы" веб-интерфейса администратора Avanpost IDM.
  2. Из выпадающего списка выбрать тип источника "Кадровый".
  3. Заполнить поля в открывшейся форме:
    ПолеЗначение
    НазваниеПроизвольное название источника.
    Библиотека коннекторов

    Выбрать из выпадающего списка библиотеку коннекторов "Ldap.HrConnector.dll" для подключаемого источника.

    Примечание:

    Подробнее про коннекторы см. статью "6.1.6. Настройка сервисов коннекторов".

    Строка подключения

    Параметры в строке подключения записываются последовательно с указанием передаваемых значений после знака равно (=). Разделителем между параметрами служит точка с запятой (;).

    Формат строки подключения
    ConfigPath=[Путь к файлу конфигурации "Config.json"];AddRootDivisionToTree=[true/false];
    Пример строки подключения
    ConfigPath=Config.json;AddRootDivisionToTree=true;

    Обязательные параметры

    Наименование параметра

    Описание

    ConfigPathПуть к файлу конфигурации коннектора

    Опциональные параметры

    Наименование параметра

    Описание

    AddRootDivisionToTreeЛогический параметр. При значении "true" корневое подразделение, указанное в конфигурации (Domain.Root), будет включено в дерево подразделений. Значение по умолчанию "false"
    Использовать VaultОтметить чекбокс для настройки работы защищенного хранилища секретов "Vault". В таком случае Avanpost IDM будет получать данные авторизации для управляемой системы из защищенного хранилища.
    Vault URI

    Идентификатор хранилища. По данному URI Avanpost IDM будет запрашивать данные для авторизации. При обращении к нему Avanpost IDM с помощью сертификата установленного в Vault получает токен.
    Можно указать более одного экземпляра хранилища, разделяя их точкой с запятой.

    Атрибут активен и требует заполнения только в случае отмеченного чекбокса "Использовать Vault".

    Vault Script

    Выбрать необходимый скрипт строковой операции из списка. Данный скрипт должен запрашивать в Vault данные для авторизации в управляемой системе с помощью полученного от Vault токена, и возвращать эти данные для добавления к строке подключения.

    Атрибут активен и требует заполнения только в случае отмеченного чекбокса "Использовать Vault".

  4. Нажать кнопку для сохранения настроек нового источника.

Шаг 2.4. Провести синхронизацию данных с созданным кадровым источником с помощью запланированных заданий.

Примечание:

Подробнее о работе с запланированными заданиями см. статью "6.1.9. Настройка запланированных заданий" руководства по администрированию.

Обсуждение