Настроить синхронизацию с LDAP

Продукты
Все продукты

Синхронизация с каталогом LDAP позволяет автоматизировать управление учетными записями пользователей в Creatio. Для входа в приложение пользователи, которые синхронизированы с LDAP, могут использовать свое доменное имя пользователя и пароль. Подробнее: Настроить аутентификацию c LDAP.

LDAP-сервера, с которыми поддерживается синхронизация в Creatio:

В общем случае настройка синхронизации с LDAP состоит из следующих шагов:

  1. Настроить интеграцию с LDAP. Подробнее >>>
  2. Привязать элементы LDAP к пользователям и ролям Creatio. Подробнее >>>
  3. Запустить синхронизацию с LDAP. Подробнее >>>

Настроить интеграцию с LDAP 

Интеграция с LDAP позволяет получить доступ к функциональности по синхронизации с LDAP. Настройка выполняется однократно или при изменении структуры синхронизируемого каталога LDAP. Для выполнения настройки необходимо обладать базовыми знаниями структуры каталога LDAP, с которым выполняется интеграция.

Важно. В зависимости от особенностей структуры каталогов LDAP, атрибуты элементов LDAP в вашем каталоге могут отличаться от атрибутов, которые приведены в текущей статье.

В общем случае настройка интеграции с LDAP состоит из следующих шагов:

  1. Настроить подключение к серверу LDAP. Подробнее >>>
  2. Настроить синхронизацию пользователей. Подробнее >>>
  3. Настроить синхронизацию групп пользователей LDAP с ролями Creatio. Подробнее >>>
  4. Настроить условия фильтрации. Подробнее >>>

1. Настроить подключение к серверу LDAP 

  1. Откройте дизайнер системы, например, по кнопке btn_system_designer.png в правом верхнем углу приложения.
  2. В блоке “Импорт и интеграции“ кликните по ссылке “Настройка интеграции с LDAP“.

  3. Укажите общие настройки подключения к серверу LDAP (Рис. 1 и 2):

    • Имя Сервера — имя или IP-адрес сервера LDAP.
    • Интервал синхронизации (часов) — интервал, с которым будет запускаться автоматическая синхронизация пользователей с LDAP. Подробнее: Настроить автоматическую синхронизации с LDAP.

    • Тип аутентификации — выбор протокола соединения с сервером LDAP. Тип аутентификации определяется используемым сервером LDAP, а также требованиями к защищенности аутентификации. Например, выберите тип “Ntlm” для аутентификации “NT LanManager”, которая поддерживается Windows. Вы можете использовать значение по умолчанию.

      На заметку. Если вы выберете тип аутентификации “Kerberos”, то в полях Имя сервера и Центр распределения ключей укажите доменное имя (URL-адрес), а не IP-адрес. Сервер приложений Creatio должен быть включен в домен, в котором находятся сервер LDAP и центр распределения ключей.

    • Синхронизировать только группы — установка признака автоматически деактивирует пользователей Creatio, исключенных вручную из синхронизируемых групп в каталоге LDAP, и активирует пользователей, добавленных вручную в синхронизируемые с приложением LDAP группы. Вы можете использовать значение по умолчанию.
    • Раздавать лицензии — установка признака обеспечивает автоматическую выдачу лицензий при синхронизации пользователей с LDAP. Вы можете использовать значение по умолчанию.

    • Использовать SSL — установка признака активирует синхронизацию с использованием сертификата SSL. При установленном признака в поле Имя Сервера укажите значение в формате "сервер:порт". Вы можете использовать значение по умолчанию. Поддержка подключения к серверу LDAP по протоколу TLS 1.2 реализована для приложений на базе платформ .NET Framework с версии Creatio 7.17.2 и .NET Core с версии Creatio 8.0.2 Atlas.

      Значение порта по умолчанию для LDAPS-соединения — 636.

      Значение порта по умолчанию для LDAP-соединения — 389.

      На заметку. Если приложение развернуто в облаке, то при использовании самоподписанного сертификата необходимо воспользоваться услугой выделенного блока и предоставить сертификат службе технической поддержки Creatio для указания его доверенным.

  4. Укажите настройки аутентификации (Рис. 1 и 2):

    • Логин администратора, Пароль — учетные данные администратора. Если сервер Creatio установлен на Linux, то используйте формат “domain\login“.

      На заметку. Убедитесь, что у администратора есть права на чтение информации о пользователях и группах.

Рис. 1 — Настройки подключения к серверу LDAP для Active Directory
scr_server_connection_general_settings_active_directory.png
Рис. 2 — Настройки подключения к серверу LDAP для OpenLDAP
scr_server_connection_general_settings_openldap.png

2. Настроить синхронизацию пользователей 

  1. Укажите обязательные атрибуты элементов каталога LDAP, из которых будут импортированы данные о пользователях (Рис. 3 и 4):

    • Имя домена — уникальное имя элемента организационной структуры LDAP, в который входят синхронизируемые пользователи. Для синхронизации будут доступны пользователи, которые входят в указанный элемент или во вложенные элементы, независимо от уровня вложенности. Например, если вы укажете корневой элемент структуры каталога, то для синхронизации будут доступны все пользователи каталога.
    • ФИО пользователя — имя и фамилия пользователя LDAP. Используется для автоматического заполнения поля ФИО страницы контакта при импорте пользователей. Например, ФИО пользователя может содержать атрибут “name” или “cn” (“Common Name”). Вы можете использовать значение по умолчанию.
    • Имя пользователя — имя пользователя LDAP, которое используется для входа в приложение. Пользователь, учетная запись которого синхронизирована с LDAP, будет входить в приложение под этим именем. Например, “sAMAccountName”. Вы можете использовать значение по умолчанию.
    • Атрибут даты изменения — фильтрация импортированных записей. Позволяет оптимизировать синхронизацию, отфильтровывая ранее импортированные записи.
    • Идентификатор пользователя — уникальный идентификатор пользователя. Вы можете использовать значение по умолчанию.

    Важно. Если отсутствует значение хотя бы одного из обязательных атрибутов синхронизируемого пользователя, то интеграция с LDAP выполняется с ошибкой.

  2. При необходимости укажите дополнительные атрибуты, из которых будет взята информация для автоматического заполнения полей страницы контакта пользователя (Рис. 3 и 4):

    • E-mail — адрес электронной почты пользователя. Используется для заполнения поля Email страницы контакта. Вы можете использовать значение по умолчанию.
    • Имя организации — название организации, в которой работает пользователь. Используется для заполнения поля Контрагент страницы контакта. При синхронизации в поле указывается контрагент, название которого полностью соответствует значению указанного атрибута. Вы можете использовать значение по умолчанию.
    • Номер телефона — номер рабочего телефона пользователя. Используется для заполнения поля Рабочий телефон страницы контакта. Вы можете использовать значение по умолчанию.

    • Должность — должность пользователя. Используется для заполнения поля Должность страницы контакта. При синхронизации из справочника будет выбрана должность, название которой полностью соответствует значению указанного атрибута. Вы можете использовать значение по умолчанию.

      На заметку. При синхронизации новые организации и должности в приложении не создаются, их необходимо создать вручную.

    Важно. Если отсутствуют значения вышеперечисленных дополнительных атрибутов, то при импорте пользователей из LDAP соответствующие поля страницы контакта не заполняются.

Рис. 3 — Настройки атрибутов пользователей для Active Directory
scr_user_attributes_active_directory.png
Рис. 4 — Настройки атрибутов пользователей для OpenLDAP
scr_user_attributes_openldap.png

3. Настроить синхронизацию групп пользователей LDAP с ролями Creatio 

Настройка синхронизации групп позволяет привязать группы LDAP к элементам организационной структуры Creatio.

Чтобы настроить синхронизацию групп пользователей LDAP с ролями Creatio, укажите обязательные атрибуты элементов каталога LDAP, из которых будут импортированы данные о группах (Рис. 5 и 6):

  • Название группы LDAP — название группы пользователей в LDAP. Например, здесь можно указать атрибут “cn” (“Common Name”). Вы можете использовать значение по умолчанию.
  • Имя домена групп — уникальное имя элемента организационной структуры LDAP, в который входят синхронизируемые группы. Для синхронизации будут доступны группы, которые входят в указанный элемент или во вложенные элементы, независимо от уровня вложенности. Например, если вы укажете корневой элемент структуры каталога, то для синхронизации будут доступны все группы каталога.
  • Идентификатор группы — уникальный идентификатор группы. Вы можете использовать значение по умолчанию.
Рис. 5 — Настройки атрибутов групп пользователей для Active Directory
scr_user_group_attributes_active_directory.png
Рис. 6 — Настройки атрибутов групп пользователей для OpenLDAP
scr_user_group_attributes_openldap.png

В процессе синхронизации приложение проверяет пользователей, которые входят в синхронизируемые группы. Если дата, которая хранится в атрибуте Атрибут даты изменения, превышает дату последней синхронизации, то выполняется актуализация вхождения этих пользователей в элементы организационной структуры Creatio.

Важно. Если отсутствует значение хотя бы одного из вышеперечисленных атрибутов, то интеграция с LDAP выполняется с ошибкой.

4. Настроить условия фильтрации 

Настройка условий фильтрации позволяет определить критерии для добавления элементов LDAP в список синхронизируемых групп и пользователей.

Чтобы настроить условия фильтрации, укажите общие атрибуты подключения к серверу LDAP (Рис. 7 и 8):

  • Список пользователей — фильтр, по которому из общего списка элементов каталога LDAP будут выбраны только те, которые будут синхронизированы с пользователями Creatio. Фильтр должен выбирать только активные элементы. Вы можете использовать значение по умолчанию.
  • Список групп — фильтр, по которому будут выбраны только элементы LDAP для синхронизации с элементами организационной структуры Creatio (организационными ролями). Фильтр должен выбирать только активные элементы. Вы можете использовать значение по умолчанию.
  • Список пользователей группы — фильтр для получения списка пользователей, которые входят в группу LDAP. Вхождение пользователя в группу определяется одним или несколькими атрибутами. Например, в большинстве каталогов используется такой атрибут, как “memberOf”. Фильтр (memberOf=[#LDAPGroupDN#]) содержит макрос Creatio и позволяет получить все объекты (пользователи), которые входят в группу [#LDAPGroupDN#]. Вы можете использовать значение по умолчанию.

На заметку. Чтобы фильтр корректно работал и на Windows, и на Linux, его необходимо обрамлять круглыми скобками. Подробнее: Настроить фильтры Active Directory.

Рис. 7 — Настройки условий фильтрации для Active Directory
scr_search_data_active_directory.png
Рис. 8 — Настройки условий фильтрации для OpenLDAP
scr_search_data_openldap.png

Привязать элементы LDAP к пользователям и ролям Creatio 

Creatio позволяет синхронизировать организационные и функциональные роли пользователей приложения с группами Active Directory. После выполнения синхронизации с LDAP вы можете перенести организационную структуру компании и настройки всех ролей из Active Directory в приложение.

Привязка элементов каталога LDAP к соответствующим элементам (пользователям и элементам организационной структуры) Creatio выполняется при добавлении новых пользователей или организационных ролей. Вы можете привязать уже зарегистрированных пользователей Creatio или импортировать пользователей из Active Directory. Подробнее: Импортировать новых пользователей и роли из Active Directory.

В общем случае привязка элементов LDAP к пользователям и ролям Creatio состоит из следующих шагов:

  1. Настроить синхронизацию организационных ролей Creatio и групп Active Directory. Подробнее >>>
  2. Настроить синхронизацию функциональных ролей Creatio и групп Active Directory. Подробнее >>>
  3. Связать учетные записи пользователей Creatio и пользователей LDAP. Подробнее >>>

1. Настроить синхронизацию организационных ролей Creatio и групп Active Directory 

  1. Откройте дизайнер системы, например, по кнопке btn_system_designer.png в правом верхнем углу приложения.
  2. В блоке “Пользователи и администрирование“ кликните по ссылке “Организационные роли“.

  3. Из дерева групп выберите роль, для которой вы хотите настроить синхронизацию. Если необходимая роль отсутствует в дереве групп, то добавьте ее. Подробнее: Организационные роли.

    На заметку. Каждая организационная роль является элементом организационной структуры и представляет собой организацию или подразделение.

  4. Перейдите на вкладку Пользователи и задайте основные параметры (Рис. 9):

    • Установите признак Синхронизировать с LDAP.
    • Элемент LDAP — выберите группу Active Directory, которая соответствует текущей организационной роли в Creatio.
    Рис. 9 — Выбор группы Active Directory для настройки синхронизации
    chapter_ldap_synchronization_set_group.png

  5. При необходимости добавьте новых пользователей. Для этого на детали Пользователи нажмите кнопку btn_add_ke.png и выберите пользователей.

    На заметку. Чтобы синхронизировать большое количество пользователей, которые еще не были зарегистрированы в Creatio, рекомендуем импортировать их из каталога LDAP. Подробнее: Импортировать новых пользователей и роли из Active Directory.

В результате при выполнении следующей синхронизации будет синхронизироваться выбранная организационная роль.

2. Настроить синхронизацию функциональных ролей Creatio и групп Active Directory 

  1. Откройте дизайнер системы, например, по кнопке btn_system_designer.png в правом верхнем углу приложения.
  2. В блоке “Пользователи и администрирование“ кликните по ссылке “Функциональные роли“.
  3. Повторите шаги 3-5 процедуры настройки синхронизации организационных ролей Creatio и групп Active Directory.

3. Связать учетные записи пользователей Creatio и пользователей LDAP 

  1. Откройте дизайнер системы, например, по кнопке btn_system_designer.png в правом верхнем углу приложения.
  2. В блоке “Пользователи и администрирование” кликните по ссылке “Организационные роли” или “Функциональные роли” в зависимости от того, для пользователей каких групп вы хотите настроить синхронизацию.
  3. Выберите роль, в которую входит необходимый пользователь.
  4. Перейдите на вкладку Пользователи.
  5. Выберите необходимого пользователя и откройте его страницу.
  6. На вкладке Основная информация выберите опцию Аутентификация средствами LDAP.
  7. В поле Имя пользователя выберите необходимого пользователя LDAP.
Рис. 10 — Привязка пользователя
chapter_ldap_synchronization_user_connect.png

В результате выбранный пользователь Creatio будет связан с пользователем LDAP и сможет входить в приложение, используя имя пользователя и пароль, которые хранятся в каталоге LDAP (например, имя и пароль доменного пользователя).

Запустить синхронизацию с LDAP 

Синхронизация пользователей и элементов организационной структуры Creatio со связанными элементами каталога LDAP необходима для обновления данных в соответствии с изменениями каталога LDAP, которые произошли с момента предыдущей синхронизации. В процессе синхронизации изменения пользователей и групп LDAP переносятся на связанные с ними учетные записи пользователей и элементы организационной структуры Creatio. Creatio позволяет запустить синхронизацию с LDAP автоматически или вручную.

Настроить автоматическую синхронизации с LDAP 

Автоматический запуск синхронизации с LDAP выполняется с интервалом, который указан в поле Интервал синхронизации (часов) страницы настройки интеграции с LDAP. Подробнее: Настроить подключение к серверу LDAP.

После сохранения изменений страницы настройки интеграция с LDAP запуститься автоматически. При этом будет запущен процесс “Запустить импорт элементов с LDAP” (Рис. 11).

Рис. 11 — Процесс “Запустить импорт элементов с LDAP”
scr_chapter_ldap_synchronization_process_log_launch_import.png

Запустить синхронизацию с LDAP вручную 

  1. Откройте дизайнер системы, например, по кнопке btn_system_designer.png в правом верхнем углу приложения.
  2. В блоке “Пользователи и администрирование“ кликните по ссылке “Организационные роли“.

  3. В меню действий раздела выберите действие Синхронизировать с LDAP (Рис. 12).

    Рис. 12 — Действие Синхронизировать с LDAP
    scr_chapter_ldap_synchronization_process_org_roles_ldap_sync.png

В результате будет запущен процесс “Запустить синхронизацию с LDAP”, который в свою очередь вызовет процесс “Синхронизировать данные о пользователях с LDAP” (Рис. 13).

Рис. 13 — Процессы “Запустить синхронизацию с LDAP” и “Синхронизировать данные о пользователях с LDAP”
scr_chapter_ldap_synchronization_process_process_log_sync_users_data.png

После завершения процесса синхронизации будет отображено информационное сообщение.

На заметку. Если при синхронизации c каталогом LDAP количество пользователей превысит количество доступных лицензий, то администраторы приложения получат соответствующее уведомление на коммуникационной панели и детальную информацию в email-сообщении.

Особенности синхронизации с LDAP 

  • Если пользователь LDAP больше не входит в список активных пользователей, то на странице синхронизируемого пользователя Creatio будет снят признак Активен, и он не сможет войти в приложение.
  • Если ранее неактивный пользователь LDAP был активирован, то на странице синхронизируемого пользователя Creatio будет установлен признак Активен.
  • Если пользователь LDAP или группа пользователей LDAP были переименованы, то будут переименованы и синхронизированные пользователь/роль Creatio.
  • Если пользователь LDAP был исключен из группы LDAP, которая связана с элементом организационной структуры Creatio, и установлен признак Синхронизировать только группы, то синхронизируемый пользователь Creatio будет деактивирован и исключен из соответствующего элемента организационной структуры Creatio.
  • Если пользователь LDAP был добавлен в группу LDAP, которая связана с элементом организационной структуры Creatio, и установлен признак Синхронизировать только группы, то синхронизируемый пользователь Creatio будет активирован и добавлен в соответствующий элемент организационной структуры Creatio.
  • Если в синхронизируемый элемент LDAP были включены новые пользователи, которые не были ранее синхронизированы с Creatio, то пользователи будут импортированы в Creatio.
  • Если в Creatio есть пользователи (не импортированные из LDAP) с именами, которые совпадают с именами пользователей в LDAP, то их синхронизация не выполняется.
  • Если синхронизированный пользователь LDAP был удален из группы, которая связана с элементом организационной структуры Creatio, то соответствующий пользователь останется активным в Creatio, но не сможет войти в приложение.
  • Если установлен признак Раздавать лицензии, то всем синхронизированным пользователям будут предоставлены лицензии. Подробнее: Настроить подключение к серверу LDAP.

В результате выполнения синхронизации с LDAP для входа в приложение пользователи могут использовать свои учетные данные. Подробнее: Настроить аутентификацию c LDAP.

Смотрите также
Настроить аутентификацию c LDAP
Официальная документация Active Directory
Официальная документация OpenLDAP
Настроить фильтры Active Directory
Импортировать новых пользователей и роли из Active Directory
Организационные роли