Конфигурирование интеграции с Active Directory

Запустите сервер PassOffice с помощью файла PassOfficeSrv.bat
Затем откройте браузер, в адресную строку введите адрес хоста, на котором запущен сервер PassOffice (например, localhost:80) и авторизуйтесь под учетной записью Администратора (логин и пароль Администратора задается во время установки системы)
Откройте пункт меню «Администрирование / Настройки интеграции»

Соединение

Отредактируйте настройки интеграции Active Directory, указав:

логин и пароль оператора Active Directory, от лица которого будет работать PassOffice
URL Active Directory
Поисковая база
поставьте флажок Блокировка человека и его карт при деактивации в Active Directory, тогда заблокированный пользователь в Active Directory после импорта станет неактивным (будет снята галка Активен)
Connection timeout и Read timeout

SSL

На вкладке «SSL» добавьте сертификат. Поддерживаются сертификаты x509 и хранилища JKS, PKCS12. При включенной настройке «Упрощенная проверка» не происходит проверка хоста и домена.

Аутентификация

На вкладке «Аутентификация»:

поставьте флажок Разрешать аутентификацию и Разрешать саморегистрацию, после авторизации будет создан оператор с соответствующими ролями (в Active Directory у оператора должны быть указаны ФИ и email)
Синхронизировать роли при входе - при активной настройке роли будут всегда синхронизироваться
Синхронизировать настройки при входе - при активном чек-боксе настройки оператора будут всегда синхронизироваться

Выберите стратегию в случае обнаружения совпадений:

Приоритет импортируемой системы, при расхождении данных, поля из PassOffice заменятся на поля из Active Directory, указав Что делать, если нет каких-либо данных в сторонней системе:
Игнорировать, если поле есть и в PassOffice и в Active Directory, то оно будет заменено на соответствующее из Active Directory. Если поле есть в PassOffice, но нет в Active Directorу, то поле останется из PassOffice.
Очищать в бюро пропусков, если поле есть и в PassOffice и в Active Directory, то оно будет заменено на соответствующее из Active Directory. Если поле есть в PassOffice, но нет в Active Directorу, то поле в PassOffice будет очищено.
Приоритет данных в бюро пропусков, при расхождении данных, поля из PassOffice останутся приоритетными. Если каких-то полей нет в PassOffice, но есть в Active Directory, то оно заменится на соответствующее из Active Directory.

Атрибуты

На вкладке «Артибуты» укажите:

Приоритет импорта активности - Active Directory - при заданном чек-боксе при импорте операторов, активность будет из Active Directory. Например, оператор в Active Directory активен, а в PassOffice неактивен. Данная настройка активна. После импорта операторов из Active Directory c автоматическим слиянием и стратегией Приоритет данных в бюро пропусков, оператор в PassOffice станет активным.
Категорию при импорте
Маску даты рождения, например, dd/MM/yyyy
Маску ФИО, например, {name} {surname} {middlename} необходимо для того, чтобы указать в каком порядке будут импортированы ФИО
Добавьте соответствия полей и атрибутов, например:

ФИО=displayName
Имя=givenName,GivenName
Фамилия=sn
Почта=mail
Логин=userPrincipalName
Телефон=telephoneNumber
Рабочий телефон=telephoneNumber
Комната=physicalDeliveryOfficeName
Отдел=department
Должность=title
Организация=Company
Страна=co

Настройки операторов

На вкладке «Настройки операторов» задайте соответствие Настроек оператора в PassOffice и группы Active Directory.

В случае, если у пользователя несколько групп, подходящих под отображение, ему будут присвоены те настройки оператора, которые в таблице указаны выше.

При импорте оператора из Active Directory или саморегистрации, настройки аудита и настройки каналов берутся из корневых, если не указаны настройки оператора в соответствии. Если настройки оператора указаны, то настройки аудита и настройки каналов подтягиваются из настроек оператора в соответствии.

Если были изменены настройки оператора, то при повторном импорте настройки оператора обновятся, а при повторном логине обновление данных не производится.

Настройки внешнего вида

На вкладке «Настройки внешнего вида» задайте соответствие Настроек внешнего вида в PassOffice и группы Active Directory.

Дополнительные настройки

Конфигурация фильтров - при выборе Пользовательская можно задать определенные значения при импорте операторов и людей:

(&(objectGUID=*)..

начало фильтра, которое указывает, что все условия, перечисленные далее, должны быть выполнены.

objectGUID=*

означает, что фильтр применяется ко всем объектам Active Directory.

(|(objectclass=person)(objectclass=user)

условие, которое указывает, что фильтр должен применяться только к объектам класса "person" или "user". Фильтр будет искать только пользователей, а не группы или другие типы объектов.

(|(givenName=*)(GivenName=*))

условие, которое указывает, что фильтр должен применяться к объектам, у которых задан атрибут "givenName" (имя) или "GivenName" (имя, записанное в формате, используемом в Active Directory). Звездочка (*) после равенства означает, что любое значение атрибута подходит для фильтра.

(sn=*)

условие, которое указывает, что фильтр должен применяться к объектам, у которых задан атрибут "sn" (фамилия).

(mail=*)

условие, которое указывает, что фильтр должен применяться к объектам, у которых задан атрибут "mail" (адрес электронной почты).

(userPrincipalName=*)

условие, которое указывает, что фильтр должен применяться к объектам, у которых задан атрибут "userPrincipalName" (имя пользователя в формате UPN).

Размер пакетов для импорта - добавьте тип объекта - Человек, Оператор, По умолчанию и укажите размер пакета.

Проведите Тест соединения. Если тест проходит успешно - активируйте данные настройки соединения. В случае ошибок проверьте логи сервера PassOffice.
После активации соединения возможно опционально автоматическое задание Ролей на основе групп Active Directory. Для этого на вкладке «Роли» задайте соответствие ролей - Подача заявок, Согласование заявок, Выдача пропусков, Перевыдача пропусков, Изъятие пропусков, Картотека, Управление доступом без заявки, Дежурный режим, Работа с реестром, Администрирование, Терминалы, История проходов, Служба безопасности, выбрав необходимую группу из выпадающего списка. При этом можно указать только одно значение, ввести название группы или выбрав необходимую группу из выпадающего списка. После того как оператор авторизуется, ему автоматически будут присвоены права в соответствии с его группой в Active Directory.
Реактивировать/Деактивировать соединение можно с помощью соответствующих кнопок. Если после активации внесены изменения в настройки необходимо нажать «Реактивировать», чтобы применились настройки.

Общая настройка

1.1. Конфигурирование сервера ADFS

В PassOffice используется стратегия авторизации implicit-grant flow.

Прежде чем использовать авторизацию OpenID, необходимо сконфигурировать сервер ADFS.

Откройте утилиту ADFS Management
Перейдите в папку Application Groups и создайте группу для приложения, в которой будет использована авторизация:

При создании группы нужно выбрать шаблон «Web browser accessing a web application»

Необходимо настроить список поддерживаемых URL-адресов для перенаправления, добавьте полный URL-адрес до PassOffice.

После создания группы нужно добавить scope «openid» в список доступных

2. Настройка атрибутов

2.1. Настройка атрибутов в ADFS

Добавляем новые атрибуты в наш аутентификационный токен, новое правило:

Слева выбираем атрибут, предназначенный для токена, справа - название поля, в котором будет атрибут:

Название поля, в которое хотите положить атрибут, можно выбрать из существующих либо задать кастомное название. На рисунке выше задаются кастомные названия.

Также необходимо добавить заголовок Content-Security-Policy в ответ от ADFS сервера. Это нужно для того, чтобы система могла обновлять аутентификационные токены при их истечении. Сделать это можно командой:

Set-AdfsResponseHeaders -SetHeaderName "Content-Security-Policy" -SetHeaderValue "frame-ancestors [адрес до PassOffice]"

Для большинства случаев данной конфигурации достаточно. Чтобы убедиться, что остальные опции, относящиеся к ADFS, настроены правильно, можно посмотреть конфигурацию вашего ADFS сервера, находящуюся по адресу: https://example.ru/adfs/.well-known/openid-configuration

3. Возможные ошибки при работе с OpenID и их решение

MSIS9622 client authentication error, type: "token_error" и Failed to parse oauth token. При такой ошибке необходимо настроить политику доступа. Самое простое решение - выбрать политику Permit everyone.
На странице авторизации нет опции «Авторизация через SSO». В таком случае убедитесь, что плагины, блокирующие рекламу (adblock, adguard и т.д.) выключены.
Error details: MSIS9224: Received invalid OAuth authorization request. The received 'redirect_uri' parameter is not a valid registered redirect URI for the client identifier: '*******'. Received redirect_uri: 'https://example.ru/auth/login'. В таком случае, добавьте https://example.ru в список поддерживаемых адресов для перенаправления и убедитесь, что сертификаты валидны и настроены правильно.

Для рефреша токена необходимо, чтобы была разрешена работа с iframe, это можно сделать следующим образом:

     Set-AdfsResponseHeaders 
    -SetHeaderName "Content-Security-Policy" 
    -SetHeaderValue "frame-ancestors http://[myapp]"

где myapp - url, где развернут PassOffice.

4. Настройка отображения ролей

Чтобы настроить отображение ролей для авторизации через OpenID, необходимо сконфигурировать клеймы. Для этого, в настройках ADFS на вкладке «Issue Transform Rules» добавьте новое правило,

выбрав шаблон «Send Group Membership as a Claim».

Далее введите название правила, выберите группу в Active Directory, введите произвольное название клейма и его значение - true.

При этом в токене аутентификации будет клейм adminRole со значением true.

Задайте аналогичные правила для всех ролей, которые необходимо синхронизировать в PassOffice.

После редактирования параметров клейма, изменения вступят в силу после обновления токена (время жизни токена можно настроить на стороне ADFS командой Set-AdfsWebApiApplication -TokenLifeTime «минуты» -TargetIdentifier ). Также обновить токен можно, если выйти из аккаунта и авторизоваться заново.

Синхронизация ролей оператора в Active Directory:

Синхронизация ролей через запуск фоновой задачи «Синхронизация операторов» или синхронизация в разделе Администрирование - Операторы. При этом в Настройках интеграции на вкладке «Роли» должны быть заданы соответствующие роли.
Синхронизация ролей при авторизации через OpenID. Для каждой роли указывается название клейма, который приходит с сервера Active Directory. Например, есть клейм requestRole и его значение – true, то оператору при авторизации будет доступна роль «Подача заявок».

PreviousКонфигурирование интеграции с СКД RusGuard NextКонфигурирование интеграции с OpenID

Last updated 4 months ago

Was this helpful?

Конфигурирование интеграции с Active Directory

Запустите сервер PassOffice с помощью файла PassOfficeSrv.bat
Затем откройте браузер, в адресную строку введите адрес хоста, на котором запущен сервер PassOffice (например, localhost:80) и авторизуйтесь под учетной записью Администратора (логин и пароль Администратора задается во время установки системы)
Откройте пункт меню «Администрирование / Настройки интеграции»

Соединение

Отредактируйте настройки интеграции Active Directory, указав:

логин и пароль оператора Active Directory, от лица которого будет работать PassOffice
URL Active Directory
Поисковая база
поставьте флажок Блокировка человека и его карт при деактивации в Active Directory, тогда заблокированный пользователь в Active Directory после импорта станет неактивным (будет снята галка Активен)
Connection timeout и Read timeout

SSL

Аутентификация

На вкладке «Аутентификация»:

поставьте флажок Разрешать аутентификацию и Разрешать саморегистрацию, после авторизации будет создан оператор с соответствующими ролями (в Active Directory у оператора должны быть указаны ФИ и email)
Синхронизировать роли при входе - при активной настройке роли будут всегда синхронизироваться
Синхронизировать настройки при входе - при активном чек-боксе настройки оператора будут всегда синхронизироваться

Выберите стратегию в случае обнаружения совпадений:

Приоритет импортируемой системы, при расхождении данных, поля из PassOffice заменятся на поля из Active Directory, указав Что делать, если нет каких-либо данных в сторонней системе:
Игнорировать, если поле есть и в PassOffice и в Active Directory, то оно будет заменено на соответствующее из Active Directory. Если поле есть в PassOffice, но нет в Active Directorу, то поле останется из PassOffice.
Очищать в бюро пропусков, если поле есть и в PassOffice и в Active Directory, то оно будет заменено на соответствующее из Active Directory. Если поле есть в PassOffice, но нет в Active Directorу, то поле в PassOffice будет очищено.
Приоритет данных в бюро пропусков, при расхождении данных, поля из PassOffice останутся приоритетными. Если каких-то полей нет в PassOffice, но есть в Active Directory, то оно заменится на соответствующее из Active Directory.

Атрибуты

На вкладке «Артибуты» укажите:

Приоритет импорта активности - Active Directory - при заданном чек-боксе при импорте операторов, активность будет из Active Directory. Например, оператор в Active Directory активен, а в PassOffice неактивен. Данная настройка активна. После импорта операторов из Active Directory c автоматическим слиянием и стратегией Приоритет данных в бюро пропусков, оператор в PassOffice станет активным.
Категорию при импорте
Маску даты рождения, например, dd/MM/yyyy
Маску ФИО, например, {name} {surname} {middlename} необходимо для того, чтобы указать в каком порядке будут импортированы ФИО
Добавьте соответствия полей и атрибутов, например:

ФИО=displayName
Имя=givenName,GivenName
Фамилия=sn
Почта=mail
Логин=userPrincipalName
Телефон=telephoneNumber
Рабочий телефон=telephoneNumber
Комната=physicalDeliveryOfficeName
Отдел=department
Должность=title
Организация=Company
Страна=co

Настройки операторов

На вкладке «Настройки операторов» задайте соответствие Настроек оператора в PassOffice и группы Active Directory.

Настройки внешнего вида

Дополнительные настройки

Конфигурация фильтров - при выборе Пользовательская можно задать определенные значения при импорте операторов и людей:

(&(objectGUID=*)..

начало фильтра, которое указывает, что все условия, перечисленные далее, должны быть выполнены.

objectGUID=*

означает, что фильтр применяется ко всем объектам Active Directory.

(|(objectclass=person)(objectclass=user)

(|(givenName=*)(GivenName=*))

(sn=*)

условие, которое указывает, что фильтр должен применяться к объектам, у которых задан атрибут "sn" (фамилия).

(mail=*)

(userPrincipalName=*)

Размер пакетов для импорта - добавьте тип объекта - Человек, Оператор, По умолчанию и укажите размер пакета.

Проведите Тест соединения. Если тест проходит успешно - активируйте данные настройки соединения. В случае ошибок проверьте логи сервера PassOffice.
После активации соединения возможно опционально автоматическое задание Ролей на основе групп Active Directory. Для этого на вкладке «Роли» задайте соответствие ролей - Подача заявок, Согласование заявок, Выдача пропусков, Перевыдача пропусков, Изъятие пропусков, Картотека, Управление доступом без заявки, Дежурный режим, Работа с реестром, Администрирование, Терминалы, История проходов, Служба безопасности, выбрав необходимую группу из выпадающего списка. При этом можно указать только одно значение, ввести название группы или выбрав необходимую группу из выпадающего списка. После того как оператор авторизуется, ему автоматически будут присвоены права в соответствии с его группой в Active Directory.
Реактивировать/Деактивировать соединение можно с помощью соответствующих кнопок. Если после активации внесены изменения в настройки необходимо нажать «Реактивировать», чтобы применились настройки.

Общая настройка

1.1. Конфигурирование сервера ADFS

В PassOffice используется стратегия авторизации implicit-grant flow.

Прежде чем использовать авторизацию OpenID, необходимо сконфигурировать сервер ADFS.

Откройте утилиту ADFS Management
Перейдите в папку Application Groups и создайте группу для приложения, в которой будет использована авторизация:

При создании группы нужно выбрать шаблон «Web browser accessing a web application»

Необходимо настроить список поддерживаемых URL-адресов для перенаправления, добавьте полный URL-адрес до PassOffice.

После создания группы нужно добавить scope «openid» в список доступных

2. Настройка атрибутов

2.1. Настройка атрибутов в ADFS

Добавляем новые атрибуты в наш аутентификационный токен, новое правило:

Слева выбираем атрибут, предназначенный для токена, справа - название поля, в котором будет атрибут:

Set-AdfsResponseHeaders -SetHeaderName "Content-Security-Policy" -SetHeaderValue "frame-ancestors [адрес до PassOffice]"

3. Возможные ошибки при работе с OpenID и их решение

MSIS9622 client authentication error, type: "token_error" и Failed to parse oauth token. При такой ошибке необходимо настроить политику доступа. Самое простое решение - выбрать политику Permit everyone.
На странице авторизации нет опции «Авторизация через SSO». В таком случае убедитесь, что плагины, блокирующие рекламу (adblock, adguard и т.д.) выключены.
Error details: MSIS9224: Received invalid OAuth authorization request. The received 'redirect_uri' parameter is not a valid registered redirect URI for the client identifier: '*******'. Received redirect_uri: 'https://example.ru/auth/login'. В таком случае, добавьте https://example.ru в список поддерживаемых адресов для перенаправления и убедитесь, что сертификаты валидны и настроены правильно.

Для рефреша токена необходимо, чтобы была разрешена работа с iframe, это можно сделать следующим образом:

     Set-AdfsResponseHeaders 
    -SetHeaderName "Content-Security-Policy" 
    -SetHeaderValue "frame-ancestors http://[myapp]"

где myapp - url, где развернут PassOffice.

4. Настройка отображения ролей

выбрав шаблон «Send Group Membership as a Claim».

При этом в токене аутентификации будет клейм adminRole со значением true.

Задайте аналогичные правила для всех ролей, которые необходимо синхронизировать в PassOffice.

Синхронизация ролей оператора в Active Directory:

Синхронизация ролей через запуск фоновой задачи «Синхронизация операторов» или синхронизация в разделе Администрирование - Операторы. При этом в Настройках интеграции на вкладке «Роли» должны быть заданы соответствующие роли.
Синхронизация ролей при авторизации через OpenID. Для каждой роли указывается название клейма, который приходит с сервера Active Directory. Например, есть клейм requestRole и его значение – true, то оператору при авторизации будет доступна роль «Подача заявок».

PreviousКонфигурирование интеграции с СКД RusGuard NextКонфигурирование интеграции с OpenID

Last updated 4 months ago

Was this helpful?