Конфигурирование интеграции с Active Directory
Настройка интеграции PassOffice с Active Directory: Пошаговая инструкция
Данное руководство описывает процесс настройки интеграции между PassOffice и Active Directory. Выполните следующие шаги под учетной записью администратора PassOffice.
1. Предварительные действия:
Проверьте, что служба Active Directory запущена и доступна.
Настройка PassOffice:
1. Запуск сервера PassOffice: Запустите сервер PassOffice, используя файл PassOfficeSrv.bat
.
2. Авторизация в PassOffice: Откройте браузер, введите адрес сервера PassOffice (например, localhost:80
) и авторизуйтесь под учетной записью администратора.
3. Переход к настройкам интеграции: Откройте пункт меню «Администрирование / Настройки интеграции».
4. Редактирование настроек Active Directory:
Основные параметры:
логин и пароль оператора
Active Directory, от лица которого будет работать PassOffice.URL Active Directory:
адрес сервера AD например,ldap://dc.example.com.
Поисковая база (Base DN):
корневой объект в AD, с которого начинается поиск пользователей (например,DC=example,DC=com
).Блокировка человека и его карт при деактивации в Active Directory: установите флажок для автоматической блокировки пользователя в PassOffice при его деактивации в Active Directory.
Connection timeout и Read timeout
: задайте значения тайм-аутов для соединения и чтения данных.
• Вкладка «SSL»:
Добавьте сертификат для защищенного соединения.
Поддерживаются сертификаты x509, хранилища JKS и PKCS12.
Включите настройку "Упрощенная проверка" для отключения проверки хоста и домена (не рекомендуется для production-сред).
• Вкладка «Аутентификация»:
Разрешать аутентификацию и Разрешать саморегистрацию: разрешает пользователям AD аутентифицироваться в PassOffice и создавать учетные записи (требуется наличие ФИО и email в AD).
Синхронизировать роли при входе: автоматически синхронизирует роли пользователей при каждом входе в PassOffice.
Синхронизировать настройки при входе: автоматически синхронизирует настройки пользователя при каждом входе.
Стратегия разрешения конфликтов при обнаружении совпадений:
Приоритет импортируемой системы (Active Directory): данные из AD перезаписывают данные в PassOffice. Что делать, если нет каких-либо данных в сторонней системе:
Игнорировать: если поле есть и в PassOffice, и в Active Directory, оно будет заменено на соответствующее из Active Directory. Если поле присутствует в PassOffice, но отсутствует в Active Directory, то оно останется неизменным.
Очищать в бюро пропусков: если поле есть и в PassOffice, и в Active Directory, оно будет заменено на соответствующее из Active Directory. Если поле присутствует в PassOffice, но отсутствует в Active Directory, то поле в PassOffice будет очищено.
Приоритет данных в бюро пропусков (PassOffice): Данные в PassOffice сохраняются, даже если они отличаются от данных в AD. Если каких-то полей нет в PassOffice, но есть в Active Directory, то они заменяются на соотвествующие из Active Directory.
• Вкладка «Атрибуты»:
Приоритет импорта активности - Active Directory: если флажок установлен, активность оператора определяется состоянием активности в Active Directory. Активный в AD -> Активный в PassOffice.
Категория при импорте: категория, присваиваемая пользователям при импорте из AD (например, "Сотрудник").
Маска даты рождения: формат даты рождения, используемый в AD (например,
dd/MM/yyyy
). Важно, чтобы этот формат совпадал с форматом, используемым в PassOffice.Маска ФИО: порядок импорта ФИО из атрибутов AD (например,
{name} {surname} {middlename}
). Это определяет, как PassOffice соберет ФИО из различных полей AD.Определите, каким полям в PassOffice соответствуют атрибуты в AD. Например:
ФИО=displayName
,Имя=givenName,GivenName
(поиск ведется сначала в поле givenName, а затем, если оно не заполнено, в поле GivenName.
Фамилия=sn
Почта=mail
Логин=userPrincipalName
Телефон=telephoneNumber
Рабочий телефон=telephoneNumber
Комната=physicalDeliveryOfficeName
Отдел=department
Должность=title
Организация=Company
Страна=co
• Вкладка «Настройки операторов»:
Соответствие настроек оператора в PassOffice и группы Active Directory: установите соответствие между группами AD и предустановленными "Настройками оператора" в PassOffice.
Приоритет настроек при импорте/саморегистрации: если не указано соответствие для конкретной группы AD, используются корневые (базовые) настройки аудита и каналов. Если соответствие указано, используются настройки оператора, соответствующие группе AD.
Обновление настроек: настройки оператора обновляются при повторном импорте, но не при повторном входе. Это важно учитывать при внесении изменений в настройки оператора.
• Вкладка «Настройки внешнего вида»:
Соответствие настроек оператора в PassOffice и группы Active Directory: установите соответствие между группами AD и предустановленными "Настройками внешнего вида" в PassOffice.
В случае, если у пользователя несколько групп, подходящих под отображение, ему будут присвоены те настройки оператора, которые в таблице указаны выше.
• Вкладка «Дополнительные настройки»:
Конфигурация фильтров - при выборе Пользовательская можно задать определенные значения при импорте операторов и людей:
(&(objectGUID=*)..
начало фильтра, которое указывает, что все условия перечисленные далее должны быть выполнены.
objectGUID=*
означает, что фильтр применяется ко всем объектам Active Directory.
(|(objectclass=person)(objectclass=user)
условие, которое указывает, что фильтр должен применяться только к объектам класса "person" или "user". Фильтр будет искать только пользователей, а не группы или другие типы объектов.
(|(givenName=*)(GivenName=*))
условие, которое указывает, что фильтр должен применяться к объектам, у которых задан атрибут "givenName" (имя) или "GivenName" (имя, записанное в формате, используемом в Active Directory). Звездочка (*) после равенства означает, что любое значение атрибута подходит для фильтра.
(sn=*)
условие, которое указывает, что фильтр должен применяться к объектам, у которых задан атрибут "sn" (фамилия).
(mail=*)
условие, которое указывает, что фильтр должен применяться к объектам, у которых задан атрибут "mail" (адрес электронной почты).
(userPrincipalName=*)
условие, которое указывает, что фильтр должен применяться к объектам, у которых задан атрибут "userPrincipalName" (имя пользователя в формате UPN).
Конфигурация размера пакетов для импорта: оптимизируйте процесс импорта данных из AD, указав размер пакетов для различных типов объектов: человек, оператор.
• Тест соединения: обязательно проведите тест соединения после ввода параметров.
Успешный тест: активируйте настройки соединения с AD.
Ошибка: проверьте логи сервера PassOffice для выявления и устранения проблемы.
• Реактивация/Деактивация соединения: используйте соответствующие кнопки для управления состоянием соединения с AD.
• Вкладка «Роли»:
После активации соединения с AD, можно настроить автоматическое назначение ролей в PassOffice на основе членства пользователей в группах Active Directory.
Соответствие ролей и групп AD: для каждой роли в PassOffice (например, "Подача заявок", "Согласование заявок", "Выдача пропусков", "Администрирование" и т.д.) выберите соответствующую группу AD из выпадающего списка. Можно указать только одну группу AD для каждой роли PassOffice.
Автоматическое назначение ролей при авторизации: после авторизации пользователя AD в PassOffice, ему автоматически будут назначены права в соответствии с группами AD, в которых он состоит, и заданными соответствиями.
После выполнения этих шагов интеграция PassOffice с AD должна быть настроена. Рекомендуется проверить работоспособность интеграции путем создания тестовой заявки и отслеживания её в системе AD.
Last updated
Was this helpful?