Настройка интеграции с LDAP предусматривает настройку связи элементов каталога LDAP с пользователями и ролями bpm’online. Для выполнения настройки необходимо обладать базовыми знаниями структуры каталога LDAP, с которым выполняется интеграция.
Важно
В зависимости от особенностей структуры каталогов LDAP, атрибуты элементов LDAP в вашем каталоге могут отличаться от атрибутов, которые приведены в качестве примеров.
1. Запуск настройки интеграции
Чтобы начать настройку, откройте дизайнер системы и в группе [Импорт и интеграции] щелкните по ссылке [Настройка интеграции с LDAP]. Откроется страница настроек (Рис. 438). Поля, выделенные на Рис. 438, нужно обязательно настроить. Для остальных можно использовать значения по умолчанию.
Ниже приведено детальное описание настроек.
2. Настройка подключения к серверу LDAP
Укажите настройки подключения к серверу LDAP (Рис. 439).
-
[Имя сервера] – имя или IP-адрес сервера LDAP.
-
[Тип аутентификации] – тип аутентификации.
На заметку
Тип аутентификации определяется используемым сервером LDAP, а также требованиями к защищенности аутентификации. Например, выберите тип “Ntlm” для аутентификации “NT LanManager”, поддерживаемой Windows.
-
[Логин администратора], [Пароль] – логин администратора и пароль соответственно.
-
[Интервал синхронизации (часов)] – интервал, по которому будет происходить автоматическая синхронизация пользователей с LDAP.
-
[Дата последней синхронизации] – название атрибута, в который автоматически записывается дата и время последнего изменения элемента LDAP, например “WhenChanged”.
На заметку
При следующей синхронизации с LDAP эта дата будет использоваться для определения изменений с момента предыдущей синхронизации.
3. Настройка синхронизации пользователей
Для настройки синхронизации пользователей укажите атрибуты элементов каталога LDAP, из которых будут импортированы данные о пользователях (Рис. 440).
-
[Имя домена] – уникальное имя элемента организационной структуры LDAP, в который входят синхронизируемые пользователи. При этом для синхронизации будут доступны только те пользователи, которые входят в указанный элемент либо в подчиненные ему элементы, вне зависимости от уровня вложенности. Например, если вы укажете корневой элемент структуры каталога, для синхронизации будут доступны все пользователи в каталоге.
-
[ФИО пользователя] – атрибут LDAP, который содержит имя и фамилию пользователя LDAP. Значение атрибута используется для автоматического заполнения поля [ФИО] страницы контакта при импорте пользователей. Например, ФИО пользователя может содержать атрибут “name” или “cn” (Common Name).
-
[Имя пользователя] – атрибут, который содержит имя пользователя LDAP, используемое для входа в систему. Пользователь, учетная запись которого синхронизирована с LDAP, будет входить в систему под этим именем. Например, “sAMAccountName”.
-
[Уникальный идентификатор пользователя] – атрибут, который может быть использован в качестве уникального идентификатора пользователя. Значение указанного атрибута должно быть уникальным для каждого пользователя.
Вы также можете указать дополнительные атрибуты, из которых будет взята информация для автоматического заполнения страницы контакта пользователя:
-
[Имя организации] — атрибут, который содержит название организации, в которой работает пользователь. Используется для заполнения поля [Контрагент] страницы контакта. При синхронизации в поле указывается контрагент, название которого полностью соответствует значению указанного атрибута.
-
[Должность] — атрибут, который содержит должность пользователя. Используется для заполнения поля [Должность] страницы контакта. При синхронизации будет выбрана из справочника должность, название которой полностью соответствует значению указанного атрибута.
На заметку
Организации и должности в bpm’online не создаются автоматически в результате синхронизации, поэтому их необходимо создавать вручную.
-
[Номер телефона] — атрибут, который содержит номер рабочего телефона пользователя. Используется для заполнения поля [Рабочий телефон] страницы контакта.
-
[E-mail] — атрибут, который содержит адрес электронной почты пользователя. Используется для заполнения поля [E-mail] страницы контакта.
Важно
Если поля не заполнены, то соответствующие поля страницы контакта не будут автоматически заполняться при импорте пользователей из LDAP.
4. Настройка синхронизации групп пользователей с ролями bpm’online
Настройка синхронизации групп обеспечивает возможность привязки групп LDAP к элементам организационной структуры bpm’online. Для настройки укажите атрибуты элементов каталога LDAP, из которых будут импортированы данные о группах (Рис. 441).
-
[Название группы LDAP] — атрибут, который содержит название группы пользователей в LDAP. Например, здесь можно указать атрибут “cn” (“common name”).
-
[Идентификатор группы] — атрибут, который может быть использован в качестве уникального идентификатора группы. Значение указанного атрибута должно быть уникальным для каждой группы. Например, может быть использован атрибут “objectSid”.
-
[Имя домена групп] — уникальное имя элемента организационной структуры LDAP, в который входят синхронизируемые группы. Для синхронизации будут доступны только те группы, которые входят в указанный элемент либо в подчиненные ему элементы независимо от уровня вложенности. Например, если вы укажете корневой элемент структуры каталога, то для синхронизации будут доступны все группы в каталоге.
5. Настройка условий фильтрации
Настройка условий фильтрации позволяет определить, по каким критериям элементы LDAP будут включатся в список синхронизируемых групп и пользователей. Укажите настройки фильтрации (Рис. 442).
-
[Список пользователей] – фильтр, по которому из общего списка элементов каталога LDAP будут выбраны только те, которые будут синхронизированы с пользователями bpm’online. Фильтр должен выбирать только активные элементы.
-
[Список групп] – фильтр, по которому будут выбраны только элементы LDAP для синхронизации с элементами организационной структуры bpm’online (группами пользователей). Фильтр должен выбирать только активные элементы.
-
[Список пользователей группы] – фильтр для получения списка пользователей, которые входят в группу LDAP. Вхождение пользователя в группу определяется одним или несколькими атрибутами. Например, в большинстве каталогов используется такой атрибут, как “memberOf”. Фильтр (memberOf=[#LDAPGroupDN#]) содержит макрос bpm’online и приведет к получению всех объектов (пользователей), которые входят в группу [#LDAPGroupDN#].
6. Настройка файла Web.config
Для включения возможности авторизации пользователей с помощью LDAP внесите изменения в файл Web.config в корневой папке приложения.
Укажите Ldap и SspLdapProvider в списке доступных провайдеров авторизации:
<terrasoft>
<auth providerNames="InternalUserPassword,SSPUserPassword,Ldap,SSPLdapProvider" autoLoginProviderNames="" defLanguage="ru-RU" defWorkspaceName="Default" useIPRestriction="false" loginTimeout="30000">
<providers>
Важно
Необходимо соблюдать регистр согласно примеру.
Укажите IP или адрес сервера а также параметры домена для пользователей в секции Ldap:
<provider name="Ldap" type="Terrasoft.WebApp.Loader.Authentication.Ldap.LdapProvider, Terrasoft.WebApp.Loader">
<parameters>
...
<add name="ServerPath" value="192.168.5.25" />
...
<add name="DistinguishedName" value="dc=tscrm,dc=com" />
...
</parameters>
Укажите IP или адрес сервера а также параметры домена для портальных пользователей в секции SspLdapProvider:
<provider name="SSPLdapProvider" type="Terrasoft.WebApp.Loader.Authentication.SSPUserPassword.SSPLdapProvider, Terrasoft.WebApp.Loader">
<parameters>
...
<add name="ServerPath" value="bpmonlineapp.com" />
...
<add name="DistinguishedName" value="dc=tscrm,dc=com" />
...
</parameters>
Сохраните изменения в файле web.config.
Смотрите также