Настройка интеграции с LDAP

Настройка интеграции с LDAP предусматривает настройку связи элементов каталога LDAP с пользователями и ролями bpm’online. Для выполнения настройки необходимо обладать базовыми знаниями структуры каталога LDAP, с которым выполняется интеграция.

Важно

В зависимости от особенностей структуры каталогов LDAP, атрибуты элементов LDAP в вашем каталоге могут отличаться от атрибутов, которые приведены в качестве примеров.

1. Запуск настройки интеграции

Чтобы начать настройку, откройте дизайнер системы и в группе [Импорт и интеграции] щелкните по ссылке [Настройка интеграции с LDAP]. Откроется страница настроек (Рис. 438). Поля, выделенные на Рис. 438, нужно обязательно настроить. Для остальных можно использовать значения по умолчанию.

Рис. 438 — Страница настроек интеграции с LDAP

 

Ниже приведено детальное описание настроек.

2. Настройка подключения к серверу LDAP

Укажите настройки подключения к серверу LDAP (Рис. 439).

Рис. 439 — Настройка подключения к серверу

 

• [Имя сервера] – имя или IP-адрес сервера LDAP.

• [Тип аутентификации] – тип аутентификации.

На заметку

Тип аутентификации определяется используемым сервером LDAP, а также требованиями к защищенности аутентификации. Например, выберите тип “Ntlm” для аутентификации “NT LanManager”, поддерживаемой Windows.

• [Логин администратора], [Пароль] – логин администратора и пароль соответственно.

• [Интервал синхронизации (часов)] – интервал, по которому будет происходить автоматическая синхронизация пользователей с LDAP.

• [Дата последней синхронизации] – название атрибута, в который автоматически записывается дата и время последнего изменения элемента LDAP, например “WhenChanged”.

На заметку

При следующей синхронизации с LDAP эта дата будет использоваться для определения изменений с момента предыдущей синхронизации.

3. Настройка синхронизации пользователей

Для настройки синхронизации пользователей укажите атрибуты элементов каталога LDAP, из которых будут импортированы данные о пользователях (Рис. 440).

Рис. 440 — Настройка атрибутов пользователей

 

• [Имя домена] – уникальное имя элемента организационной структуры LDAP, в который входят синхронизируемые пользователи. При этом для синхронизации будут доступны только те пользователи, которые входят в указанный элемент либо в подчиненные ему элементы, вне зависимости от уровня вложенности. Например, если вы укажете корневой элемент структуры каталога, для синхронизации будут доступны все пользователи в каталоге.

• [ФИО пользователя] – атрибут LDAP, который содержит имя и фамилию пользователя LDAP. Значение атрибута используется для автоматического заполнения поля [ФИО] страницы контакта при импорте пользователей. Например, ФИО пользователя может содержать атрибут “name” или “cn” (Common Name).

• [Имя пользователя] – атрибут, который содержит имя пользователя LDAP, используемое для входа в систему. Пользователь, учетная запись которого синхронизирована с LDAP, будет входить в систему под этим именем. Например, “sAMAccountName”.

• [Уникальный идентификатор пользователя] – атрибут, который может быть использован в качестве уникального идентификатора пользователя. Значение указанного атрибута должно быть уникальным для каждого пользователя.

Вы также можете указать дополнительные атрибуты, из которых будет взята информация для автоматического заполнения страницы контакта пользователя:

• [Имя организации] — атрибут, который содержит название организации, в которой работает пользователь. Используется для заполнения поля [Контрагент] страницы контакта. При синхронизации в поле указывается контрагент, название которого полностью соответствует значению указанного атрибута.

• [Должность] — атрибут, который содержит должность пользователя. Используется для заполнения поля [Должность] страницы контакта. При синхронизации будет выбрана из справочника должность, название которой полностью соответствует значению указанного атрибута.

На заметку

Организации и должности в bpm’online не создаются автоматически в результате синхронизации, поэтому их необходимо создавать вручную.

• [Номер телефона] — атрибут, который содержит номер рабочего телефона пользователя. Используется для заполнения поля [Рабочий телефон] страницы контакта.

• [E-mail] — атрибут, который содержит адрес электронной почты пользователя. Используется для заполнения поля [E-mail] страницы контакта.

Важно

Если поля не заполнены, то соответствующие поля страницы контакта не будут автоматически заполняться при импорте пользователей из LDAP.

4. Настройка синхронизации групп пользователей с ролями bpm’online

Настройка синхронизации групп обеспечивает возможность привязки групп LDAP к элементам организационной структуры bpm’online. Для настройки укажите атрибуты элементов каталога LDAP, из которых будут импортированы данные о группах (Рис. 441).

Рис. 441 — Настройка групп пользователей

 

• [Название группы LDAP] — атрибут, который содержит название группы пользователей в LDAP. Например, здесь можно указать атрибут “cn” (“common name”).

• [Идентификатор группы] — атрибут, который может быть использован в качестве уникального идентификатора группы. Значение указанного атрибута должно быть уникальным для каждой группы. Например, может быть использован атрибут “objectSid”.

• [Имя домена групп] — уникальное имя элемента организационной структуры LDAP, в который входят синхронизируемые группы. Для синхронизации будут доступны только те группы, которые входят в указанный элемент либо в подчиненные ему элементы независимо от уровня вложенности. Например, если вы укажете корневой элемент структуры каталога, то для синхронизации будут доступны все группы в каталоге.

5. Настройка условий фильтрации

Настройка условий фильтрации позволяет определить, по каким критериям элементы LDAP будут включатся в список синхронизируемых групп и пользователей. Укажите настройки фильтрации (Рис. 442).

Рис. 442 — Настройка условий фильтрации

 

• [Список пользователей] – фильтр, по которому из общего списка элементов каталога LDAP будут выбраны только те, которые будут синхронизированы с пользователями bpm’online. Фильтр должен выбирать только активные элементы.

• [Список групп] – фильтр, по которому будут выбраны только элементы LDAP для синхронизации с элементами организационной структуры bpm’online (группами пользователей). Фильтр должен выбирать только активные элементы.

• [Список пользователей группы] – фильтр для получения списка пользователей, которые входят в группу LDAP. Вхождение пользователя в группу определяется одним или несколькими атрибутами. Например, в большинстве каталогов используется такой атрибут, как “memberOf”. Фильтр (memberOf=[#LDAPGroupDN#]) содержит макрос bpm’online и приведет к получению всех объектов (пользователей), которые входят в группу [#LDAPGroupDN#].

6. Настройка файла Web.config

Для включения возможности авторизации пользователей с помощью LDAP внесите изменения в файл Web.config в корневой папке приложения.

Укажите Ldap и SspLdapProvider в списке доступных провайдеров авторизации:

<terrasoft>
<auth providerNames="InternalUserPassword,SSPUserPassword,Ldap,SSPLdapProvider" autoLoginProviderNames="" defLanguage="ru-RU" defWorkspaceName="Default" useIPRestriction="false" loginTimeout="30000">
<providers>

Важно

Необходимо соблюдать регистр согласно примеру.

Укажите IP или адрес сервера а также параметры домена для пользователей в секции Ldap:

<provider name="Ldap" type="Terrasoft.WebApp.Loader.Authentication.Ldap.LdapProvider, Terrasoft.WebApp.Loader">
<parameters>
...
           <add name="ServerPath" value="192.168.5.25" />
...
           <add name="DistinguishedName" value="dc=tscrm,dc=com" />
...
</parameters>

Укажите IP или адрес сервера а также параметры домена для портальных пользователей в секции SspLdapProvider:

<provider name="SSPLdapProvider" type="Terrasoft.WebApp.Loader.Authentication.SSPUserPassword.SSPLdapProvider, Terrasoft.WebApp.Loader">
<parameters>
...
           <add name="ServerPath" value="bpmonlineapp.com" />
...
           <add name="DistinguishedName" value="dc=tscrm,dc=com" />
...
</parameters>

Сохраните изменения в файле web.config.

Смотрите также

•Описание системных настроек