Service Creatio customer service
PDF
Это документация Creatio версии 7.5.0. Мы рекомендуем использовать новую версию документации.

Настройка интеграции с LDAP

Настройка интеграции с LDAP предусматривает настройку связи элементов каталога LDAP с пользователями и ролями bpm’online. Для выполнения настройки необходимо обладать базовыми знаниями структуры каталога LDAP, с которым выполняется интеграция.

Важно

В зависимости от особенностей структуры каталогов LDAP, атрибуты элементов LDAP в вашем каталоге могут отличаться от атрибутов, которые приведены в качестве примеров.

1. Запуск настройки интеграции

Чтобы начать настройку, откройте дизайнер системы и в группе [Импорт и интеграции] щелкните по ссылке [Настройка интеграции с LDAP].

2. Настройка подключения к серверу LDAP

Для настройки подключения укажите:

   [Имя сервера] – имя или IP-адрес сервера LDAP.

   [Тип аутентификации] – тип аутентификации.

На заметку

Тип аутентификации определяется используемым сервером LDAP, а также требованиями к защищенности аутентификации. Например, выберите тип “Ntlm” для аутентификации “NT LanManager”, поддерживаемой Windows.

   [Логин администратора], [Пароль] – логин администратора и пароль соответственно.

   [Интервал синхронизации (часов)] – интервал, по которому будет происходить автоматическая синхронизация пользователей с LDAP.

   [Атрибут даты изменения] – название атрибута, в который автоматически записывается дата и время последнего изменения элемента LDAP, например “WhenChanged”.

На заметку

При следующей синхронизации с LDAP эта дата будет использоваться для определения новых пользователей, которые появились в группах LDAP с момента предыдущей синхронизации.

3. Настройка синхронизации пользователей

Для настройки синхронизации пользователей укажите атрибуты элементов каталога LDAP, из которых будут импортированы данные о пользователях:

   [Имя домена] – уникальное имя элемента организационной структуры LDAP, в который входят синхронизируемые пользователи. При этом для синхронизации будут доступны только те пользователи, которые входят в указанный элемент либо в подчиненные ему элементы, вне зависимости от уровня вложенности. Например, если вы укажете корневой элемент структуры каталога, для синхронизации будут доступны все пользователи в каталоге.

   [ФИО пользователя] – атрибут LDAP, который содержит имя и фамилию пользователя LDAP. Значение атрибута используется для автоматического заполнения поля [ФИО] страницы контакта при импорте пользователей. Например, ФИО пользователя может содержать атрибут “name” или “cn” (Common Name).

   [Имя пользователя] – атрибут, который содержит имя пользователя LDAP, используемое для входа в систему. Пользователь, учетная запись которого синхронизирована с LDAP, будет входить в систему под этим именем. Например, “sAMAccountName”.

   [Уникальный идентификатор пользователя] – атрибут, который может быть использован в качестве уникального идентификатора пользователя. Значение указанного атрибута должно быть уникальным для каждого пользователя.

Вы также можете указать дополнительные атрибуты, из которых будет взята информация для автоматического заполнения страницы контакта пользователя:

   [Имя организации] — атрибут, который содержит название организации, в которой работает пользователь. Используется для заполнения поля [Контрагент] страницы контакта. При синхронизации в поле указывается контрагент, название которого полностью соответствует значению указанного атрибута.

   [Должность] — атрибут, который содержит должность пользователя. Используется для заполнения поля [Должность] страницы контакта. При синхронизации будет выбрана из справочника должность, название которой полностью соответствует значению указанного атрибута.

   [Номер телефона] — атрибут, который содержит номер рабочего телефона пользователя. Используется для заполнения поля [Рабочий телефон] страницы контакта.

   [E-mail] — атрибут, который содержит адрес электронной почты пользователя. Используется для заполнения поля [E-mail] страницы контакта.

Важно

Если поля не заполнены, то соответствующие поля страницы контакта не будут автоматически заполняться при импорте пользователей из LDAP.

4. Настройка синхронизации групп пользователей с ролями bpm’online

Настройка синхронизации групп обеспечивает возможность привязки групп LDAP к элементам организационной структуры bpm’online. Для настройки укажите атрибуты элементов каталога LDAP, из которых будут импортированы данные о группах:

   [Название группы LDAP] — атрибут, который содержит название группы пользователей в LDAP. Например, здесь можно указать атрибут “cn” (“common name”).

   [Идентификатор группы] — атрибут, который может быть использован в качестве уникального идентификатора группы. Значение указанного атрибута должно быть уникальным для каждой группы. Например, может быть использован атрибут “objectSid”.

   [Имя домена групп] — уникальное имя элемента организационной структуры LDAP, в который входят синхронизируемые группы. Для синхронизации будут доступны только те группы, которые входят в указанный элемент либо в подчиненные ему элементы независимо от уровня вложенности. Например, если вы укажете корневой элемент структуры каталога, то для синхронизации будут доступны все группы в каталоге.

5. Настройка условий фильтрации

Настройка условий фильтрации позволяет определить, по каким критериям элементы LDAP будут включатся в список синхронизируемых групп и пользователей. Для настройки фильтрации укажите:

   [Список пользователей] – фильтр, по которому из общего списка элементов каталога LDAP будут выбраны только те, которые будут синхронизированы с пользователями bpm’online. Фильтр должен выбирать только активные элементы. Пример фильтра:

“(&(objectClass=user)(objectClass=person)(!objectClass=computer)(!userAccountControl:1.2.840.113556.1.4.803:=2))”.

   [Список групп] – фильтр, по которому будут выбраны только те элементы LDAP, которые будут синхронизированы с элементами организационной структуры bpm’online (группами пользователей). Фильтр должен выбирать только активные элементы. Пример фильтра:

“(&(objectClass=group)(!userAccountControl:1.2.840.113556.1.4.803:=2))”.

   [Список пользователей группы] – фильтр для получения списка пользователей, которые входят в группу LDAP. Вхождение пользователя в группу определяется одним или несколькими атрибутами. Например, в большинстве каталогов используется такой атрибут, как “memberOf”.

Условия формирования списка пользователей группы вы можете указать в виде фильтра поиска. Для указания параметров фильтра используйте следующие переменные:

a.   [#LDAPGroupDN#] — уникальное имя (Distinguished Name) искомой группы;

b.   [#LDAPGroupName#] — название искомой группы. Переменная будет содержать значение атрибута, указанного в поле [Название группы LDAP].

c.   [#LDAPGroupIdentity#] — уникальный идентификатор искомой группы. Переменная будет содержать значение атрибута, указанного в поле [Идентификатор группы].

Например, вхождение в группу определяется атрибутом “memberOf”, в качестве значения которого выступает уникальное имя группы (Distinguished Name). Для настройки синхронизации с таким каталогом, в поле [Список пользователей группы] достаточно указать “(memberOf=[#LDAPGroupDN#])”.

Смотрите также

   Описание системных настроек

Был ли данный материал полезен?

Как можно улучшить эту статью?