Настройка синхронизации с LDAP
Настройка синхронизации с LDAP предусматривает настройку связи элементов каталога LDAP с пользователями и ролями bpm’online sales. Для выполнения настройки необходимо обладать базовыми знаниями структуры каталога LDAP, с которым выполняется интеграция.
Важно
В зависимости от особенностей структуры каталогов LDAP, атрибуты элементов LDAP в вашем каталоге могут отличаться от атрибутов, которые приведены в качестве примеров.
1. Запуск настройки синхронизации:
1. Перейдите в рабочее место администратора, для этого на главной странице приложения в меню [Настройки] выберите команду [Управление конфигурацией] (Рис. 219).
Рис. 219 — Команда [Управление конфигурацией] в меню [Настройки] на главной странице
2. В рабочем месте администратора откройте раздел [Пользователи] (Рис. 220).
Рис. 220 — Переход в раздел [Пользователи]
3. Нажмите на кнопку 
панели инструментов реестра и выберите команду [Настроить синхронизацию с LDAP] (Рис. 221).
Рис. 221 — Запуск настройки синхронизации с LDAP
В результате откроется окно настройки синхронизации с LDAP, которое содержит все необходимые настройки.
2. Настройка соединения с сервером LDAP
Укажите IP-адрес или имя сервера и тип аутентификации LDAP, а также имя пользователя и пароль в соответствующих полях блока [Настройте подключения к серверу] (Рис. 222).
Рис. 222 — Блок полей [Настройки подключения к LDAP-серверу] (фрагмент окна настройки синхронизации с LDAP)
На заметку
Тип аутентификации определяется используемым сервером LDAP, а также требованиями к защищенности аутентификации. Например, выберите тип “Ntlm” для аутентификации “NT LanManager”, поддерживаемой Windows.
3. Настройка синхронизации пользователей
Для настройки синхронизации пользователей укажите атрибуты элементов каталога LDAP, из которых будут импортированы данные о пользователе. Для этого заполните поля соответствующего блока в окне настройки синхронизации (Рис. 223):
Рис. 223 — Блок полей для настройки синхронизации пользователей (фрагмент окна настройки синхронизации с LDAP)
1. В поле [ФИО] укажите атрибут, который содержит имя и фамилию пользователя LDAP. Значение атрибута используется для автоматического заполнения поля [ФИО] страницы контакта при импорте пользователей. Например, ФИО пользователя может содержать атрибут “name” или “cn” (Common Name).
2. В поле [Имя пользователя] укажите атрибут, который содержит имя пользователя LDAP, используемое для входа в систему. Пользователь, учетная запись которого синхронизирована с LDAP, будет входить в систему под этим именем. Например, “sAMAccountName”.
3. В поле [Уникальный идентификатор пользователя] укажите атрибут, который может быть использован в качестве уникального идентификатора пользователя. Значение указанного атрибута должно быть уникальным для каждого пользователя.
4. В поле [Элемент орг. структуры LDAP со списком пользователей для синхронизации] укажите уникальное имя элемента организационной структуры LDAP, в который входят синхронизируемые пользователи. При этом для синхронизации будут доступны только те пользователи, которые входят в указанный элемент либо в подчиненные ему элементы, вне зависимости от уровня вложенности. Например, если вы укажете корневой элемент структуры каталога, для синхронизации будут доступны все пользователи в каталоге.
5. Вы также можете указать дополнительные атрибуты, из которых будет взята информация для автоматического заполнения страницы контакта пользователя:
a. [Место работы] — компания, в которой работает пользователь. Используется для заполнения поля [Контрагент] страницы контакта. При синхронизации в поле указывается контрагент, название которого полностью соответствует значению указанного атрибута.
b. [Номер телефона] — номер рабочего телефона пользователя. Используется для заполнения поля [Рабочий телефон] страницы контакта.
c. [Email] — адрес электронной почты пользователя. Используется для заполнения поля [Email] страницы контакта.
d. [Должность] — должность, занимаемая пользователем. Используется для заполнения поля [Должность] страницы контакта. При синхронизации будет выбрана из справочника должность, название которой полностью соответствует значению указанного атрибута.
Если оставить поля незаполненными, то соответствующие поля страницы контакта не будут автоматически заполняться при импорте пользователей из LDAP.
4. Настройка синхронизации групп пользователей с ролями bpm’online sales
Настройки синхронизации групп обеспечивают возможность привязки групп LDAP к элементам организационной структуры bpm’online sales. Заполните обязательные поля соответствующего блока в окне настройки синхронизации (Рис. 224):
Рис. 224 — Блок полей для настройки синхронизации групп (фрагмент окна настройки синхронизации с LDAP)
1. [Название группы] — атрибут, который содержит название группы пользователей в LDAP. Например, здесь можно указать атрибут “cn” (“common name”).
2. [Уникальный идентификатор группы] — укажите атрибут, который может быть использован в качестве уникального идентификатора группы. Значение указанного атрибута должно быть уникальным для каждой группы. Например, может быть использован атрибут “objectSid”.
3. [Элемент орг. структуры LDAP со списком групп для синхронизации] — уникальное имя элемента организационной структуры LDAP, в который входят синхронизируемые группы. Для синхронизации будут доступны только те группы, которые входят в указанный элемент либо в подчиненные ему элементы, вне зависимости от уровня вложенности. Например, если вы укажете корневой элемент структуры каталога, то для синхронизации будут доступны все группы в каталоге.
5. Дополнительные параметры синхронизации
Настройте дополнительные параметры синхронизации, чтобы определить, по каким критериям элементы LDAP попадают в список доступных для синхронизации пользователей либо групп (Рис. 225).
Рис. 225 — Блок полей для настройки дополнительных параметров синхронизации (фрагмент окна настройки синхронизации с LDAP)
1. В поле [Условие для формирования списка пользователей LDAP] введите фильтр поиска в LDAP, по которому из общего списка элементов каталога LDAP будут выбраны только те, которые могут быть синхронизированы с пользователями bpm’online sales. Фильтр должен выбирать только активные элементы. Пример фильтра поиска:
“(&(objectClass=user)(objectClass=person)(!objectClass=computer)(!userAccountControl:1.2.840.113556.1.4.803:=2))”.
2. В поле [Условие для формирования списка групп LDAP] введите фильтр поиска в LDAP, по которому будут выбраны только те элементы LDAP, которые могут быть синхронизированы с элементами организационной структуры bpm’online sales (группами пользователей). Фильтр должен выбирать только активные элементы. Например, может быть использован следующий фильтр:
“(&(objectClass=group)(!userAccountControl:1.2.840.113556.1.4.803:=2))”.
3. В поле [Условие для формирования списка пользователей группы LDAP] введите фильтр поиска в LDAP для получения списка пользователей, которые входят в группу LDAP. Вхождение пользователя в группу определяется одним или несколькими атрибутами. Например, в большинстве каталогов используется такой атрибут, как “memberOf”.
Условия формирования списка пользователей группы вы можете указать в виде фильтра поиска. Для указания параметров фильтра используйте следующие переменные:
a. [#LDAPGroupDN#] — уникальное имя (Distinguished Name) искомой группы;
b. [#LDAPGroupName#] — название искомой группы. Переменная будет содержать значение атрибута, указанного в поле [Название группы] окна настройки синхронизации.
c. [#LDAPGroupIdentity#] — уникальный идентификатор искомой группы. Переменная будет содержать значение атрибута, указанного в поле [Уникальный идентификатор группы] окна настройки синхронизации.
Например, вхождение в группу определяется атрибутом “memberOf”, в качестве значения которого выступает уникальное имя группы (Distinguished Name). Для настройки синхронизации с таким каталогом, в поле [Условие для формирования списка пользователей группы LDAP] достаточно указать “(memberOf=[#LDAPGroupDN#])”.
4. [Название атрибута, содержащего дату изменения элемента LDAP] — укажите атрибут, в который автоматически записывается дата и время последнего изменения элемента LDAP. Например, “WhenChanged”. При синхронизации с LDAP дата используется для определения новых пользователей, которые появились в группах LDAP со времени предыдущей синхронизации.
5. [Интервал автоматической синхронизации с LDAP, часов] — укажите интервал, по которому будет происходить автоматическая синхронизация пользователей с LDAP.
Смотрите также
