Справка по системе Платформа ELMA BPM
×
Меню

Интеграция с LDAP-сервером

Если на предприятии используется LDAP-сервер (Active Directory, 389 Directory Server и т.д.), имеется возможность использовать данные о пользователях из LDAP-каталога в системе ELMA.
В блоке Внешние модули авторизации осуществляется настройка авторизации, в которых определяются настройки, необходимые для осуществления импорта пользователей из LDAP в систему ELMA.
Рис. 1. Блок "Внешние модули авторизации"
В блоке Внешние модули авторизации сохраняются все настроенные ранее модули авторизации. По умолчанию в списке присутствует пустой модуль LDAP, который доступен только для редактирования. Добавленные пользователями модули могут быть отредактированы с помощью кнопки или удалены с помощью кнопки (данные кнопки отображаются при наведении курсора мыши на название модуля).
Для добавления нового модуля авторизации необходимо нажать на кнопку . После этого появится диалоговое окно Модули (рис. 2).
Рис. 2. Диалоговое окно "Модули"
В данном окне необходимо выбрать тип модуля авторизации (Active Directory, LDAP) и нажать на кнопку Добавить.

Настройки подключения к LDAP

При добавлении нового модуля LDAP появится окно, представленное на рис. 3. Для успешного подключения к серверу LDAP необходимо заполнить описанные ниже поля.
Рис. 3. Настройки LDAP- модуля авторизации
Блок "Настройки подключения ELMA к серверу LDAP"
В поле Отображаемое имя автоматически создается шаблон имени подключения. При наведении мыши на значок отобразится подсказка со свойствами, которые можно использовать в шаблоне.
В поле Адрес сервера требуется указать ip-адрес (подставляется автоматически при открытии окна настроек) или доменное имя, по которому производится обращение к серверу. Если для доступа к серверу выделен порт, отличный от порта LDAP по умолчанию (389), его также требуется указать в этом поле через двоеточие (например, "192.168.0.126:8389" для случая, когда на LDAP-сервере с ip-адресом 192.168.0.126 используется порт 8389).
В поле Пользователь требуется указать имя пользователя, используемое для авторизации на LDAP-сервере. Для интеграции с системой ELMA на LDAP-сервере мы рекомендуем создать системную учетную запись с правами, достаточными для обзора каталога.
В поле Пароль требуется указать пароль к учетной записи путем нажатия на кнопку Установить пароль.
Блок "Настройки подключения пользователей к серверу LDAP"
В поле Тип авторизации требуется указать один из четырех типов авторизации:
Внимание!
При интеграции с сервером LDAPS необходимо выбрать в данном поле тип авторизации Базовая, а также импортировать сертификат на сервер в Доверенные корневые.
В поле Шаблон авторизации требуется указать доменное имя, по которому производится обращение к серверу. При необходимости можно добавить логин пользователя, например, company\{$login}.
Блок "Импорт пользователей"
Путь к пользователям – для указания пути к пользователям используется синтаксис строк подключения ADSI ("сокращенная" форма или формат атрибутов имен).
Атрибуты:
Например, для получения пользователей корневой группы Users домена company.com требуется использовать путь "cn=Users, dc=company, dc=com".
Далее необходимо указать соответствие между полями системы ELMA и LDAP:
Фильтр для импорта – фильтр, который используется в запросах к LDAP-серверу при импорте пользователей.
При установке флажка Использовать лес произойдет подключение одного или нескольких связанных деревьев, совместно использующих информацию каталога.
При установке флажка Синхронизация статусов пользователей произойдет синхронизация импортированных из LDAP пользователей в соответствии с условием, прописанным в поле Фильтр для импорта. Синхронизация статусов пользователей осуществляется каждые 10 минут. Если при синхронизации данных в каталоге LDAP пользователь не был найден, то в системе он будет заблокирован.
Разблокировка импортированного пользователя, который был заблокирован именно в системе ELMA, не осуществляется даже при условии, что в LDAP данный пользователь присутствует.
В том случае, если причиной блокировки пользователя в системе ELMA была его блокировка в LDAP, требуется разблокировать данного пользователя сначала в LDAP. После разблокировки в LDAP в процессе синхронизации осуществляется автоматическая разблокировка данного пользователя и в системе ELMA.
В системе также предусмотрен Ручной импорт, который осуществляет поиск заблокированных и/или незаблокированных пользователей в процессе импорта. В том случае, если ранее импортированный пользователь не был найден в LDAP или по указанному в фильтре Фильтр для импорта условию, произойдет блокировка пользователя. В том случае, если импортированный пользователь был заблокирован именно в системе ELMA, даже при условии, что в LDAP данный пользователь присутствует, разблокирован он не будет.

Настройки подключения к Active Directory

Настройка интеграции с LDAP различается для различных LDAP-серверов. В данном разделе рассматривается пример настройки LDAP для сервера Microsoft Active Directory. Особенности настройки подключений к LDAP-серверам других вендоров описаны в документации к этим серверам.
Для добавления нового модуля авторизации Active Directory необходимо на этапе создания модуля установить переключатель в положение Active Directory (рис. 2). Далее откроется окно для ввода настроек, данное окно полностью аналогично окну модуля авторизации LDAP (рис. 3).
В примере описываются настройки интеграции с LDAP-сервером домена company.com. В качестве учетной записи пользователя, от имени которого выполняется импорт, используется "LDAPAuth". Предполагается, что все необходимые учетные записи пользователей хранятся в каталоге "Users" LDAP-сервера. LDAP-сервер имеет ip-адрес "192.168.0.126" и использует порт по умолчанию:
Для импорта пользователей, входящих в определенную группу, необходимо зайти в настройки интеграции и в поле Фильтр для импорта задать фильтр по участникам определенной группы. Например, для "CRM-users": (&(objectCategory=person)(objectClass=user)(memberOf=CN=CRM-users,OU=AzureAD,OU=Groups,DC=msk,DC=organization,DC=ru)).
Для импорта всех включенных пользователей необходимо использовать фильтр (&(objectCategory=person)(objectClass=user)
(!userAccountControl:1.2.840.113556.1.4.803:=2)).
Можно настроить фильтрацию учетных записей по непустым атрибутам. Например, для отбора записей с заполненными атрибутами Должность (Title), Подразделение (Department), Организация (Company), email (Mail), необходимо использовать фильтр (&(objectClass=user)(objectClass=person)(!objectClass=computer)(!userAccountControl:1.2.840.113556.1.4.803:=2)(company=*)(Title=*)(Department=*)(Mail=*)).

См. также: