Внешняя аутентификация

На этой странице описано, как пользоваться функциями интеграции Платформы с серверами Active Directory/FreeIPA/ALD pro в едином профиле LDAP.

Чтобы воспользоваться функционалом LDAP, нажмите на шестерёнку настроек → Интеграции → Внешняя аутентификация.

Откроется вкладка LDAP страницы «Внешняя аутентификация»:

Подключение к LDAP и настройка профиля

Внимание

Ответственность за безопасную настройку конфигурации LDAP и настройку безопасного соединения несет клиент компании.

Ниже рассмотрены варианты подключения к следующим службам каталогов:

Active Directory (AD)

Чтобы подключиться к LDAP и настроить профиль, выполните следующие действия:

Шаг 1.

  • Укажите доменное имя или IP-адрес контроллера домена, например, «10.128.0.189».

  • Укажите порт — 389 для незащищенного соединения или 636 для защищённого.

  • Если необходимо, поставьте галочку в чекбоксе «Защищённое подключение».

Шаг 2.

  • Укажите адрес почты пользователя, от имени которого Платформа будет аутентифицироваться в LDAP, например, «serviceman@ad.tantorlabs.ru».

  • Введите пароль пользователя, от имени которого Платформа будет аутентифицироваться в LDAP

Шаг 3.

Настройте условия для поиска пользователей и групп в LDAP:

  • путь к пользователям, например, «cn=Users, dc=company,dc=com»;

  • путь к группам, например, «cn=Users, dc=ad, dc=tantorlabs, dc=ru»;

  • фильтр поиска по группам, например, «(&(objectClass=group)(cn=Tantor*))».

Шаг 4.

Настройте сопоставление атрибутов пользователей в LDAP с платформой Tantor:

  • параметр «Логин» пользователя LDAP, например, «sAMAccountName»;

  • параметр «Имя» пользователя LDAP, например, «givenName»;

  • параметр «Фамилия» пользователя LDAP, например, «sn»;

  • параметр «Email» пользователя LDAP, например, «mail».

Важно

Пользователь не будет добавлен, если в качестве логина указан незаполненный/пустой атрибут LDAP.

После ввода всех параметров происходит проверка соединения с целевым сервером. Таймаут на установку подключения — 10 секунд. Если соединение успешно, активируется кнопка «Подтвердить и завершить интеграцию».

После нажатия этой кнопки начнётся загрузка пользователей.

При успешной интеграции с LDAP в списке групп и списке пользователей появятся дополнительные пользователи из AD/FreeIPA/ALD pro, несвязанные с внутренними пользователями и группами.

FreeIPA

Для того, чтобы подключиться к LDAP и настроить профиль, выполните следующие действия:

Шаг 1.

  • Укажите доменное имя или IP-адрес контроллера домена, например, «freeipa.tantorlabs.ru».

  • Укажите порт — 389 для незащищенного соединения или 636 для защищённого.

  • Если необходимо, поставьте галочку в чекбоксе «Защищённое подключение».

Шаг 2.

  • Укажите имя пользователя в формате DN, от имени которого Платформа будет аутентифицироваться в LDAP, например, «uid=serviceman,cn=users,cn=accounts,dc=freeipa,dc=tantorlabs,dc=ru».

  • Введите пароль пользователя, от имени которого Платформа будет аутентифицироваться в LDAP.

Шаг 3.

Настройте условия для поиска пользователей и групп в LDAP:

  • путь к пользователям, например, «cn=users,cn=accounts,dc=freeipa,dc=tantorlabs,dc=ru»;

  • путь к группам, например, «cn=groups,cn=accounts,dc=freeipa,dc=tantorlabs,dc=ru»;

  • фильтр поиска по группам, например, ««(cn=*)»».

Шаг 4.

Настройте сопоставление атрибутов пользователей в LDAP с платформой Tantor:

  • параметр «Логин» пользователя LDAP, например, «krbPrincipalName»;

  • параметр «Имя» пользователя LDAP, например, «givenName»;

  • параметр «Фамилия» пользователя LDAP, например, «sn»;

  • параметр «Email» пользователя LDAP, например, «mail».

Важно

Пользователь не будет добавлен, если в качестве логина указан незаполненный/пустой атрибут LDAP.

После ввода всех параметров происходит проверка соединения с целевым сервером. Таймаут на установку подключения — 10 секунд. Если соединение успешно, то активируется кнопка «Подтвердить и завершить интеграцию».

После нажатия этой кнопки начнётся загрузка пользователей.

При успешной интеграции с LDAP в списке групп и списке пользователей появятся дополнительные пользователи из AD/FreeIPA/ALD pro, несвязанные с внутренними пользователями и группами.

ALD Pro

Чтобы подключиться к LDAP и настроить профиль, выполните следующие действия:

Шаг 1.

  • Укажите доменное имя или IP-адрес контроллера домена, например, «master-01.aldpro.tantorlabs.ru».

  • Укажите порт — 389 для незащищенного соединения или 636 для защищённого.

  • Если необходимо, поставьте галочку в чекбоксе «Защищённое подключение».

Шаг 2.

  • Укажите имя пользователя в формате DN, от имени которого Платформа будет аутентифицироваться в LDAP, например, «uid=serviceman,cn=users,cn=accounts,dc=aldpro,dc=tantorlabs,dc=ru».

  • Введите пароль пользователя, от имени которого Платформа будет аутентифицироваться в LDAP.

Шаг 3.

  • Настройте условия для поиска пользователей и групп в LDAP:

    • путь к пользователям, например, «cn=users,cn=accounts,dc=aldpro,dc=tantorlabs,dc=ru»;

    • путь к группам, например, «cn=groups,cn=accounts,dc=aldpro,dc=tantorlabs,dc=ru»;

    • фильтр поиска по группам, например, ««(cn=*)»».

Шаг 4.

  • Настройте сопоставление атрибутов пользователей в LDAP с платформой Tantor:

    • параметр «Логин» пользователя LDAP, например, «krbPrincipalName»;

    • параметр «Имя» пользователя LDAP, например, «givenName»;

    • параметр «Фамилия» пользователя LDAP, например, «sn»;

    • параметр «Email» пользователя LDAP, например, «mail».

Важно

Пользователь не будет добавлен, если в качестве логина указан незаполненный/пустой атрибут LDAP.

После ввода всех параметров происходит проверка соединения с целевым сервером. Таймаут на установку подключения - 10 секунд. Если соединение успешно, то активируется кнопка «Подтвердить и завершить интеграцию».

После нажатия этой кнопки начнётся загрузка пользователей.

При успешной интеграции с LDAP в списке групп и списке пользователей появятся дополнительные пользователи из AD/FreeIPA/ALD pro, несвязанные с внутренними пользователями и группами.

Смена подключения или настроек профиля

Чтобы изменить подключение или другие параметры профиля, нажмите на кнопку «Изменить» в правом верхнем углу.

Удаление LDAP интеграции

Чтобы удалить LDAP интеграцию, нажмите на кнопку «Удалить» в правом верхнем углу.

В текстовом поле введите «удалить» и нажмите на кнопку «Удалить».

Группы пользователей LDAP

Чтобы открыть страницу групп пользователей нажмите на шестеренку настроек → Группы.

На странице групп пользователей в столбце «Тип группы» отображается, в какую группу добавлены пользователи каталогов идентификации — тип группы «Внешний», а в какую локальные пользователи — тип группы «Локальный».

Нажмите на иконку карандаша в столбце «Пользователи», чтобы перейти к списку пользователей группы. На этой странице можно посмотреть имя пользователя LDAP.

Внимание

На странице «Группы» нельзя редактировать название и описание групп LDAP. Кнопки добавления и удаления групп LDAP на этой странице открывают профиль LDAP.