Навигатор по разделу:

1. Общие сведения

Avanpost IDM позволяет автоматизировать управление учётными записями и правами доступа пользователей в подключенных службах каталогов, доступ к которым осуществляется по протоколу LDAP v3. 

Коннектор "Ldap.ProvisioningConnector", состоящий из библиотеки (.dll) и конфигурационного файла (.json), устанавливается на сервере Avanpost IDM. С помощью коннектора создается подключение к управляемой службе каталогов. Взаимодействие IDM с управляемой службой каталогов осуществляется с использованием протокола LDAP v3 в одностороннем порядке:

1. Avanpost IDM инициирует запрос;
2. Служба каталогов исполняет запрос и возвращает результат исполнения запроса.

2. Поддерживаемые функции

Коннектор Avanpost IDM к управляемой службе каталогов обладает следующими функциональными возможностями:

1. Управление УЗ пользователей:

• Создание УЗ пользователя;
• Изменение атрибутов УЗ пользователя;
• Блокировка УЗ пользователя;
• Разблокировка УЗ пользователя;
• Удаление УЗ пользователя;
• Получение атрибутов с генерируемыми значениями.

2. Управление доступом и мониторинг активности пользователей:

• Включение УЗ пользователя в группы доступа;
• Исключение УЗ пользователя из групп доступа;
• Получение времени последнего входа пользователя.

3. Управление организационной структурой:

• Создание, изменение, удаление подразделений;
• Перемещение УЗ пользователя между подразделениями.

4. Управление каталогами или файлами общего файлового хранилища:

• Проверка наличия у пользователя прав на использование каталога или файла;
• Назначение и отзыв у пользователя прав на использование каталога или файла.

3. Поддерживаемые управляемые системы

• OpenLdap
• Novell Edirectory
• Любая служба каталогов, использующая протокол LDAP v3, кроме перечисленных ниже систем:
  • Microsoft Active Directory
  • ALD Pro
  • FreeIPA

4. Порядок установки и настройки подключения

Для установки подключения через коннектор "Ldap.ProvisioningConnector" к управляемой системе необходимо:

1. Установить коннектор на сервере Avanpost IDM.
2. Создать служебную УЗ с правами администратора в подключаемой службе каталогов.
3. Настроить ресурс для подключаемой управляемой системы в IDM.
4. Проверить настроенную интеграцию.

5. Установка коннектора на сервере Avanpost IDM

Для установки коннектора на сервере Avanpost IDM необходимо выполнить шаги:

Шаг 5.1. Поместить библиотеку коннектора "Ldap.ProvisioningConnector.dll" в директорию "/opt/avanpost/connectors" или на удаленный сервис коннекторов.

Шаг 5.2. Настроить конфигурационный файл "ldapconnector.config.json".

Конфигурационный файл ресурса представляет собой расположенный локально файл в формате json (ldapconnector.config.json).

При наличии в организации нескольких доменов для каждого может быть реализован отдельный ресурс с уникальным контекстом, при этом передаваемые свойства могут быть настроены в составе одного конфигурационного файла.

[
  {
    "username": "cn={0},dc=wsso,dc=local",
    "resourceId": "openldap",
    "provider": "OpenLdap",
    "baseDn": "dc=wsso,dc=local",
    "sessionOptions": {
      "server": "10.10.10.10"
    },
    "groups": {
      "objectKey": "cn",
      "searchKey": "cn",
      "memberAttribute": "memberUid",
      "objectClass": [ "posixGroup", "top" ]
    },
    "users": {
      "distinguishedName": "uid={0},ou=ZAGS,dc=wsso,dc=local",
       "lockAttributes": [
          {
            "attributeKey": "nsaccountlock",
            "lockValue": "TRUE",
            "unlockValue": "FALSE"
          }
      ],
      "memberOfAttribute": "memberUid",
      "searchUserGroups": "Member",
      "objectKey": "uid",
      "objectGroupKey": "entryDn",
      "objectClass": [ "top", "inetOrgPerson", "person", "posixAccount" ],
      "searchClass": [ "person" ],
      "customSearchAllUsersLdapFilter": "(&(cn=*)(uid=usr*))",
      "attributes": [
        {
          "name": "userPassword",
          "description": "Пароль",
          "required": true,
          "isPassword": true
        },
        {
          "name": "sn",
          "description": "Фамилия сотрудника",
          "required": true
        },
        {
          "name": "givenName",
          "description": "Имя сотрудника",
          "required": true
        },
        {
          "name": "cn",
          "required": true,
          "description": "Полное имя"
        },
        {
          "name": "homeDirectory",
          "description": "Домашний каталог",
          "required": true
        },
        {
          "name": "mail",
          "required": false,
          "description": "E-mail"
        },
        {
          "name": "loginShell",
          "required": true,
          "description": "Оболочка входа"
        },
        {
          "name": "gidNumber",
          "required": false,
          "description": "gidNumber"
        },
        {
          "name": "uidNumber",
          "required": false,
          "description": "uidNumber"
        }
      ]
    }
  }
]

5.2.1. Описание параметров файла конфигурации

6. Настройка интеграции в Avanpost IDM

Для настройки интеграции управляемой системы в IDM необходимо выполнить шаги:

Шаг 6.1. Создать и настроить ресурс для подключаемой управляемой системы в Avanpost IDM.

Для этого требуется:

1. В разделе "Интеграции"→"Целевые системы" веб-интерфейса администратора Avanpost IDM нажать и выбрать "Ресурс" из списка.
2. В открывшейся форме указать произвольное название ресурса.
3. Нажать . Ресурс будет добавлен в список в разделе "Целевые системы".

   

   Рисунок – Создание ресурса

4. Нажать на созданный ресурс в списке. Откроется форма с настройками ресурса.
5. На вкладке "Атрибуты ресурса" требуется указать следующие атрибуты:
   

   Атрибут	Значение
   Каталог	Каталог в иерархии, в котором находится ресурс. Для смены каталога выбрать из выпадающего списка требуемый каталог.
   Название	Произвольное название ресурса.
   Библиотека коннекторов	Выбрать из выпадающего списка библиотеку коннекторов "Ldap.ProvisioningConnector".
   Строка подключения	Формат строки подключения Параметры в строке подключения записываются последовательно с указанием передаваемых значений после знака равно (=). Разделителем между параметрами служит точка с запятой (;). Шаблон строки подключения userName=[Учетная запись];password=[Пароль];resourceid=[Идентификатор ресурса];file=[Путь до файла конфигурации] Пример строки подключения userName=admin;password=Avanp0st;resourceid=freeipaigor;file=../ldapconnector.config.json"; Параметры строки подключения Параметр Описание userName Маска для формирования имени учетной записи, от которой будет работать коннектор password Пароль к учетной записи resourceid Идентификатор ресурса, который задается в файле конфигурации. file Расположение файла конфигурации "ldapconnector.config.json"
   Ресурс включен	Отметить чекбокс для активации ресурса в системе.
   Число потоков синхронизации	Указать число потоков синхронизации ресурса с Avanpost IDM.
   Использовать ограничение потоков синхронизации для операций чтения	Отметить чекбокс для использования ограничения потоков синхронизации для операций чтения.
   Использовать как источник почтовых адресов	Отметить чекбокс, если ресурс является источником почтовых адресов.
   Применение изменений прав к ресурсу	Выбрать из выпадающего списка "Все назначаемые ролью" или "Только недостающие".

   Примечание:

   Подробнее о настройке ресурсов см. статью "6.1.4. Настройка интеграции с целевыми системами" руководства по администрированию.

Шаг 6.2. Добавить профиль для созданного ресурса.

Требуется добавить хотя бы один общий или необщий профиль (по инструкции 6.2.1. или 6.2.2.)

6.2.1. Создание общего профиля ресурсов

Для создания общего профиля необходимо:

1. Перейти в раздел "Интеграции"→"Целевые системы"  в веб-интерфейсе администратора Системы.
2. Нажать и выбрать из списка "Общий профиль".
3. Заполнить атрибуты профиля в открывшейся форме (Таблица).
4. Нажать .

6.2.2. Создание необщего профиля ресурсов

Для создания необщего профиля необходимо:

1. Перейти в раздел "Интеграции"→"Целевые системы"  в веб-интерфейсе администратора Системы.
2. Нажать  в строке ресурса, в котором требуется создать профиль, и выбрать из открывшегося списка "Добавить профиль".
3. Заполнить атрибуты профиля в открывшейся форме (Таблица).
4. Нажать .

Таблица - Атрибуты профиля.

Шаг 6.3. Провести синхронизацию прав и учетных записей с созданным ресурсом с помощью запланированных заданий.

7. Проверка настроенной интеграции

Для проверки настроенной интеграции с управляемой службой каталогов необходимо выполнить шаги:

Шаг 7.1. Проверка подключения к управляемой службе каталогов

Для проверки установки соединения с управляемой системой требуется:

1. В веб-интерфейсе администратора Avanpost IDM открыть ресурс управляемой системы.
2. На вкладке "Права" добавить глобальное право.

Если право успешно добавлено, то подключение управляемой системы через коннектор выполнено корректно.

Шаг 7.2. Проверка сетевого соединения

Для проверки сетевого соединения необходимо подключиться к управляемой службе каталогов при помощи telnet. При корректном подключении будет выполнен переход в среду службы каталогов.

Шаг 7.3. Проверка обработки запросов

Чтобы убедиться в правильной обработке запросов коннектором, требуется открыть лог-файл, расположенный на сервере Avanpost IDM в папке коннектора, и проверить его на отсутствие ошибок.

8. Методы API коннектора